crypto

Сергей Остапов

Содержание

createZone
listZones
provisionTrash
getFileEncryptionInfo
reencryptZone
listReencryptionStatus

Более подробную информацию об интерфейсе командной строки crypto можно получить в статье HDFS Transparent Encryption Documentation.

Использование показано ниже:

$ hdfs crypto -createZone -keyName <keyName> -path <path>
$ hdfs crypto -listZones
$ hdfs crypto -provisionTrash -path <path>
$ hdfs crypto -help <command-name>

createZone

Создает новую зону шифрования.

[-createZone -keyName <keyName> -path <path>]

Аргументы
path	Путь к зоне шифрования, которую необходимо создать. Это должен быть пустой каталог. По этому пути создается мусорный каталог
keyName	Имя ключа, используемого для зоны шифрования. Имена ключей в верхнем регистре не поддерживаются

listZones

Показывает список всех зон шифрования. Требуются права суперпользователя.

[-listZones]

provisionTrash

Создает мусорный каталог для зоны шифрования.

[-provisionTrash -path <path>]

Аргументы
path	Путь к корневой директории зоны шифрования

getFileEncryptionInfo

Получает информацию о шифровании из файла. С ее помощью можно узнать, зашифрован ли файл, а также имя/версию ключа, используемые для его шифрования.

[-getFileEncryptionInfo -path <path>]

Arguments
path	Путь к файлу для получения информации о шифровании

reencryptZone

Перешифровывает зону шифрования. Выполняет итерацию по зоне шифрования, вызывая KeyProvider-интерфейс reencryptEncryptedKeys для пакетного повторного шифрования всех файлов с помощью ключа зоны шифрования последней версии в поставщике ключей. Требуются права суперпользователя.

[-reencryptZone <action> -path <zone>]

ПРИМЕЧАНИЕ

Повторное шифрование не применяется к моментальным снимкам, поскольку моментальные снимки неизменяемы.

Аргументы
action	Действие повторного шифрования, которое необходимо выполнить. Можно указать или `-start`, или `-cancel`
path	Путь к корневому каталогу зоны шифрования

Повторное шифрование — это операция, полностью выполняемая NameNode, поэтому может привести к высокой нагрузке на NameNode. Следующие настройки позволяют контролировать нагрузку на NameNode, учитывая допустимую пропускную способность кластера.

dfs.namenode.reencrypt.batch.size

Количество зашифрованных data encryption keys (EDEKs) в пакете для отправки на KMS для повторного шифрования. Для обработки каждого пакета задействуется системная блокировка на чтение/запись, а регулирование (throttling) выполняется между пакетами.

dfs.namenode.reencrypt.throttle.limit.handler.ratio

Соотношение блокировок на чтение для повторного шифрования. 1.0 означает, что регулировка не выполняется (no throttling). 0.5 означает, что процесс повторного шифрования может удерживать блокировку на чтение до 50% от общего времени обработки. Отрицательные значения или 0 не принимаются

dfs.namenode.reencrypt.throttle.limit.updater.ratio

Соотношение блокировок на запись для повторного шифрования. 1.0 означает, что регулировка не выполняется (no throttling). 0.5 означает, что процесс повторного шифрования может удерживать блокировку на чтение до 50% от общего времени обработки. Отрицательные значения или 0 не принимаются

listReencryptionStatus

Выводит список информации о повторном шифровании для всех зон шифрования. Требуются права суперпользователя.

[-listReencryptionStatus]

Нашли ошибку? Выделите текст и нажмите Ctrl+Enter чтобы сообщить о ней