达到仅在配置范围内允许访问或禁止访问PC客户端和云空间的目的。 限制类型包括允许访问和禁止访问： 允许访问：可限制员工仅在配置的IP地址段内能使用PC客户端和WEB云空间，其他IP地址段均不可用。 禁止访问：可限制员工仅在配置的IP地址段内不能使用PC客户端和WEB云空间，其他IP地址段均可用。

查看更多 →

等敏感信息，以确保传输信息的安全，但是该方式对性能影响很大，对比另外两种方式，会带来约60%的读写性能下降。请根据企业安全要求修改配置，且客户端与服务端中该配置项需使用相同设置。 - dfs.encrypt.data.transfer 设置客户端访问HDFS的通道和HDFS数据传

查看更多 →

配置集群安全组规则。 在集群“概览”界面，选择“添加安全组规则 > 管理安全组规则”。 在“入方向规则”页签，选择“添加规则”，在“添加入方向规则”配置ECS节点的IP和放开所有端口。 安全组规则添加完成后，可以直接下载并安装客户端到集群外ECS节点，具体请参考安装客户端。 使用客户端。

查看更多 →

果不同源，默认不能相互访问；除非被访问者在其服务端显示指定访问者的来源。 安全加固：响应头“Access-Control-Allow-Origin”头域默认配置为YARN集群ResourceManager的IP地址，如果源不是来自YARN的，则不能互相访问。 防范敏感信息泄露 防范敏感信息泄露适用于MRS

查看更多 →

。 Spark访问Yarn，Spark访问HDFS的RPC通道。 Mapreduce访问Yarn，MapReduce访问HDFS的RPC通道。 HBase访问HDFS的RPC通道。 说明： 设置后全局生效，即Hadoop中各模块的RPC通道的加密属性全部生效。 安全模式：privacy

查看更多 →

果不同源，默认不能相互访问；除非被访问者在其服务端显示指定访问者的来源。 安全加固：响应头“Access-Control-Allow-Origin”头域默认配置为YARN集群ResourceManager的IP地址，如果源不是来自YARN的，则不能互相访问。 防范敏感信息泄露 带

查看更多 →

租户可以通过VPC，对DCS实例所在的安全组或白名单入站、出站规则进行限制，从而控制可以连接实例的网络范围。 配置安全组/白名单不需要重启实例。 租户创建DCS实例时，建议将访问方式设置为密码访问，并为实例设置访问密码，防止未经认证的客户端误操作实例，以达到对客户端进行认证访问的目的，提高实例使用的安全性。 传输和存储加密

查看更多 →

> 下载客户端”，将客户端中的“core-site.xml”、“hdfs-site.xml”和“hbase-site.xml”复制到样例工程的resources目录下。 在运行样例代码前，需要将样例代码中的userName改为安全认证的用户名。 父主题： Web页面访问类

查看更多 →

口和数据控制接口在服务端无认证和鉴权控制，很容易被黑客利用和攻击。 所以在普通模式下，必须通过严格限定网络访问权限来保障集群的安全。操作建议如下： 尽量将业务应用程序部署在同VPC和子网下的ECS中，避免通过外网访问MRS集群。 配置严格限制访问范围的安全组规则，禁止对MRS集群的入方向端口配置允许Any或0

查看更多 →

中的私网IP改为对应的公网IP。 将krb5.conf文件中的IP地址修改为对应IP的主机名称。 配置集群安全组规则。 在集群“概览”界面，选择“添加安全组规则 > 管理安全组规则”。 在“入方向规则”页签，选择“添加规则”，在“添加入方向规则”窗口配置Windows的IP和21

查看更多 →

中的私网IP改为对应的公网IP。 将krb5.conf文件中的IP地址修改为对应IP的主机名称。 配置集群安全组规则。 在集群“概览”界面，选择“添加安全组规则 > 管理安全组规则”。 在“入方向规则”页签，选择“添加规则”，在“添加入方向规则”配置集Windows的IP和821

查看更多 →

服务。 访问授权会默认授权给网关实例（ingressgateway），通过网关间接访问当前服务不会受到访问授权配置的影响。 选择“访问授权”，单击“立即配置”，在弹出对话框中，单击，选择指定项目下的一个或多个服务进行访问授权设置。 对端认证 Istio通过客户端和服务端的PEP（Policy

查看更多 →

中的私网IP改为对应的公网IP。 将krb5.conf文件中的IP地址修改为对应IP的主机名称。 配置集群安全组规则。 在集群“概览”界面，选择“添加安全组规则 > 管理安全组规则”。 在“入方向规则”页签，选择“添加规则”，在“添加入方向规则”窗口配置Windows的IP和21

查看更多 →

以下规则，远端可使用安全组，也可以使用具体的IP地址。 配置ECS所在安全组。 ECS所在安全组需要增加如下出方向规则，以保证客户端能正常访问DCS缓存实例。 配置DCS缓存实例所在安全组。 DCS实例所在安全组需要增加如下入方向规则，以保证能被客户端访问。 缓存实例的入方向规则中，源地址建议使用指定IP地址，慎用“0

查看更多 →

以下规则，远端可使用安全组，也可以使用具体的IP地址。 ECS所在安全组需要增加如下规则，以保证客户端能正常访问RabbitMQ实例。 图1 配置ECS安全组 RabbitMQ实例所在安全组需要增加如下规则，以保证能被客户端访问。 图2 配置RabbitMQ实例安全组 通过公网访问实例 Ra

查看更多 →

安全集群外节点安装客户端访问HBase很慢 用户问题 安全集群外节点安装了集群的客户端，并使用客户端命令hbase shell访问hbase，发现访问hbase非常慢。 问题现象 客户创建了安全集群，在集群外节点安装了集群的客户端，并使用客户端命令hbase shell访问hbase，发现访问hbase非常慢。

查看更多 →

客户端提示访问ZooKeeper失败 问题现象 安全集群中，HiveServer服务正常的情况下，通过jdbc接口连接HiveServer执行sql时报出ZooKeeper认证异常"The ZooKeeper client is AuthFailed"，如下： 14/05/19 10:52:00

查看更多 →

配置访问通道协议 配置场景 服务端配置了web访问为https通道，如果客户端没有配置，默认使用http访问，客户端和服务端的配置不同，就会导致访问结果显示乱码。在客户端和服务端配置相同的“yarn.http.policy”参数，可以防止客户端访问结果显示乱码。 操作步骤 在Manager系统中，选择“集群

查看更多 →

用户权限校验流程大致如下： 客户端（用户终端或FusionInsight组件服务）调用FusionInsight认证接口。 FusionInsight使用登录用户名和密码，到Kerberos进行认证。 如果认证成功，客户端会发起访问服务端（FusionInsight组件服务）的请求。 服务端会根据登录的用户，找到其属于的用户组和角色。

查看更多 →

为弹性云服务器申请和绑定弹性公网IP”。 记录公网IP和私网IP的对应关系将hosts文件中的私网IP改为对应的公网IP。 配置集群安全组规则。 在集群“概览”界面，选择“添加安全组规则 > 管理安全组规则”。 在“入方向规则”页签，选择“添加规则”，在“添加入方向规则”窗口配置Windows的IP和21

查看更多 →

TransportClient客户端连接css报错 用户问题 采用spring data elasticsearch方式去连接css不通，报错：None of the configured nodes are availabl。 问题现象 采用spring data elasticsearch方式去连接css报错。

查看更多 →

为弹性云服务器申请和绑定弹性公网IP”。 记录公网IP和私网IP的对应关系将hosts文件中的私网IP改为对应的公网IP。 配置集群安全组规则。 在集群“概览”界面，选择“添加安全组规则 > 管理安全组规则”。 在“入方向规则”页签，选择“添加规则”，在“添加入方向规则”窗口配置Windows的IP和8020、9866端口。

查看更多 →

安全组分别配置了正确的规则，客户端才能访问Kafka专享实例。 建议ECS、Kafka专享实例配置相同的安全组。安全组创建后，默认包含组内网络访问不受限制的规则。 如果配置了不同安全组，可参考如下配置方式： 假设ECS、Kafka专享实例分别配置了安全组：sg-53d4、Default_All。

查看更多 →

管理员可设置是否在客户端补充该隐私声明，该声明链接地址，需要可以公开访问，否则将无法正常访问。 开启后，将在WeLink主声明后补充该隐私声明，该隐私申明的作用是：比如企业需要在WeLink自建应用，需要增加该应用跟用户的交互过程中，可能会收集用户信息等隐私申明。 在“安全”下拉菜单选择“隐私设置”，单击右上角的“编辑”。

查看更多 →

为弹性云服务器申请和绑定弹性公网IP”。 记录公网IP和私网IP的对应关系将hosts文件中的私网IP改为对应的公网IP。 配置集群安全组规则。 在集群“概览”界面，选择“添加安全组规则 > 管理安全组规则”。 在“入方向规则”页签，选择“添加规则”，在“添加入方向规则”窗口配置Windows的IP和8020、9866端口。

查看更多 →

Memcached实例 暂不支持公网访问，您必须通过同一虚拟私有云下的弹性云服务器来访问缓存实例，以确保缓存数据的安全。如果您在应用开发调试阶段，可以通过ssh代理方式，实现本地环境访问实例。具体操作参考使用SSH隧道代理机制实现公网访问DCS实例。 父主题： 客户端和网络连接

查看更多 →

SSL 支持无认证的SSL加密访问 新API 9093 SASL_SSL 支持Kerberos认证的SSL加密访问 新API 21009 Topic的ACL设置 Kafka支持安全访问，因此可以针对Topic进行ACL设置，从而控制不同的用户可以访问不同的Topic。Topic的权限信

查看更多 →

访问多ZooKeeper场景认证 场景说明 在同一个客户端进程内同时访问FusionInsight ZooKeeper和第三方的ZooKeeper时，为了避免访问连接ZooKeeper认证冲突，提供了样例代码使HBase客户端访问FusionInsight ZooKeeper和客户应用访问第三方ZooKeeper。

查看更多 →

大数据平台用户需要对用户进行身份认证，防止不合法用户访问集群。安全模式或者普通模式的集群均提供认证能力。 安全模式 安全模式的集群统一使用Kerberos认证协议进行安全认证。Kerberos协议支持客户端与服务端进行相互认证，提高了安全性，可有效消除使用网络发送用户凭据进行模拟认证的安全风险。集群中由KrbS

查看更多 →

常见安全问题解答 常见安全问题解答 我的数据存在OBS中，如何保证安全性？ OBS本身是非常安全的。OBS本身也提供端到端的安全服务。访问桶或对象时，如果桶或对象未公开，只有桶或对象的拥有者才能够访问，访问时需要提供访问密钥（AK/SK）。您还可以使用各种访问控制机制，例如桶策略和访问控

查看更多 →

访问多ZooKeeper场景认证 场景说明 在同一个客户端进程内同时访问FusionInsight ZooKeeper和第三方的ZooKeeper时，为了避免访问连接ZooKeeper认证冲突，提供了样例代码使HBase客户端访问FusionInsight ZooKeeper和客户应用访问第三方ZooKeeper。

查看更多 →

准备安全认证 场景说明 访问安全集群环境中的服务，需要先通过Kerberos安全认证。所以Kudu应用程序中需要有安全认证代码，确保Kudu程序能够正常运行。 安全认证有两种方式： 命令行认证： 提交Kudu应用程序运行前，在Kudu客户端执行如下命令进行认证。 kinit 组件业务用户

查看更多 →

为弹性云服务器申请和绑定弹性公网IP”。 记录公网IP和私网IP的对应关系将hosts文件中的私网IP改为对应的公网IP。 配置集群安全组规则。 在集群“概览”界面，选择“添加安全组规则 > 管理安全组规则”。 在“入方向规则”页签，选择“添加规则”，在“添加入方向规则”窗口配置Windows的IP和10000端口。

查看更多 →

管理”页面单击“下载客户端”，下载全部服务的客户端。Beeline客户端不受此限制。 由于权限模型不兼容，使用HCatalog客户端创建的表，在HiveServer客户端中不能访问，但可以使用WebHCat客户端访问。 在普通模式下使用HCatalog客户端，系统将以当前登录操作系统用户来执行DDL命令。

查看更多 →

配置访问通道协议 配置场景 服务端配置了web访问为https通道，如果客户端没有配置，默认使用http访问，客户端和服务端的配置不同，就会导致访问结果显示乱码。在客户端和服务端配置相同的“yarn.http.policy”参数，可以防止客户端访问结果显示乱码。 操作步骤 在Manager系统中，选择“集群

查看更多 →

访问多ZooKeeper 功能简介 在同一个客户端进程内同时访问FusionInsight ZooKeeper和第三方的ZooKeeper，其中HBase客户端访问FusionInsight ZooKeeper，客户应用访问第三方ZooKeeper。 代码样例 以下代码片段在“h

查看更多 →

ient”。 MRS 3.x及之后版本客户端的安装请参考安装客户端（3.x及之后版本）。 如果集群外的节点已安装客户端且只需要更新客户端，请使用安装客户端的用户例如“root”。 在集群外节点安装客户端前提条件 针对MRS 3.x之前版本的集群，需要先确认当前MRS集群节点的CPU架构。针对MRS

查看更多 →

使用Flink客户端（MRS 3.x之前版本） 安装客户端，具体请参考安装客户端章节。 以客户端安装用户，登录安装客户端的节点。 执行以下命令，切换到客户端安装目录。 cd /opt/hadoopclient 执行如下命令初始化环境变量。 source /opt/hadoopclient/bigdata_env

查看更多 →