Моя компания в настоящее время занимается керберизацией своей кластерной среды hadoop dev. Мы запускаем несколько кластеров hadoop для разработки (тестирования, разработки и т. Д.) Для различных проектов. Большинство из этих кластеров (но не все) работают под одним и тем же именем хоста.
Что может быть в случае настройки только 1 главного сервера KDC с несколькими подчиненными , в отличие от настройки каждого кластера как отдельных сред Kerberos ? Казалось бы, один KDC значительно упростит управление таблицей ключей. Но иметь несколько производственных кластеров на одном KDC все еще кажется мне рискованным.
С другой стороны, рекомендовано иметь отдельный KDC для каждого кластера, более элегантный и модульный для меня, даже если это подразумевает новое соглашение об именах хостов, согласно которому не следует помещать все в один домен. В этом случае младший пользователь, имеющий доступ к keytab к dev, может не обязательно иметь keytab для производства. Но тогда другие люди, которым нужен доступ к нескольким кластерам, могут быть раздражены необходимостью управлять несколькими клавишами.
Есть ли упрощенный аргумент о плюсах и минусах для каждого случая?