crypto
Более подробную информацию об интерфейсе командной строки crypto можно получить в статье HDFS Transparent Encryption Documentation.
Использование показано ниже:
$ hdfs crypto -createZone -keyName <keyName> -path <path>
$ hdfs crypto -listZones
$ hdfs crypto -provisionTrash -path <path>
$ hdfs crypto -help <command-name>
createZone
Создает новую зону шифрования.
[-createZone -keyName <keyName> -path <path>]
path |
Путь к зоне шифрования, которую необходимо создать. Это должен быть пустой каталог. По этому пути создается мусорный каталог |
keyName |
Имя ключа, используемого для зоны шифрования. Имена ключей в верхнем регистре не поддерживаются |
provisionTrash
Создает мусорный каталог для зоны шифрования.
[-provisionTrash -path <path>]
path |
Путь к корневой директории зоны шифрования |
getFileEncryptionInfo
Получает информацию о шифровании из файла. С ее помощью можно узнать, зашифрован ли файл, а также имя/версию ключа, используемые для его шифрования.
[-getFileEncryptionInfo -path <path>]
path |
Путь к файлу для получения информации о шифровании |
reencryptZone
Перешифровывает зону шифрования.
Выполняет итерацию по зоне шифрования, вызывая KeyProvider-интерфейс reencryptEncryptedKeys
для пакетного повторного шифрования всех файлов с помощью ключа зоны шифрования последней версии в поставщике ключей.
Требуются права суперпользователя.
[-reencryptZone <action> -path <zone>]
ПРИМЕЧАНИЕ
Повторное шифрование не применяется к моментальным снимкам, поскольку моментальные снимки неизменяемы. |
action |
Действие повторного шифрования, которое необходимо выполнить.
Можно указать или |
path |
Путь к корневому каталогу зоны шифрования |
Повторное шифрование — это операция, полностью выполняемая NameNode, поэтому может привести к высокой нагрузке на NameNode. Следующие настройки позволяют контролировать нагрузку на NameNode, учитывая допустимую пропускную способность кластера.
dfs.namenode.reencrypt.batch.size |
Количество зашифрованных data encryption keys (EDEKs) в пакете для отправки на KMS для повторного шифрования. Для обработки каждого пакета задействуется системная блокировка на чтение/запись, а регулирование (throttling) выполняется между пакетами. |
dfs.namenode.reencrypt.throttle.limit.handler.ratio |
Соотношение блокировок на чтение для повторного шифрования.
|
dfs.namenode.reencrypt.throttle.limit.updater.ratio |
Соотношение блокировок на запись для повторного шифрования.
|