Oozie 不照顾 acl

Question

在我的 hadoop 集群上，我设计了一个具有以下属性的 oozie 工作流。

 <global>
        <configuration>
            <property>
                <name>mapred.job.queue.name</name>
                <value>myQueue</value>
            </property>
            <property>
                <name>oozie.launcher.mapred.job.queue.name</name>
                <value>oozie-launcher</value>
            </property>
            <property>
                <name>tez.queue.name</name>
                <value>myQueue</value>
            </property>
            <property>
                <name>oozie.job.acl</name>
                <value>*</value>
            </property>
            <property>
                <name>mapreduce.job.acl-modify-job</name>
                <value>*</value>
            </property>
        </configuration>

我关心的是 oozie.job.acl 属性，它应该提供一个允许所有人终止我的工作流的 acl。

但是当我尝试用不同于提交它的用户杀死它时，oozie 返回错误 E0508​​

oozie job -oozie http://localhost:11000/oozie -kill 0000000-151020102420689-oozie-oozi-W                             
Error: E0508 : E0508: User [user] not authorized for WF job [0000000-151020102420689-oozie-oozi-W]

我的集群配置中是否缺少某些内容？我正在使用 oozie 4.1.0。

Answer 1

我终于通过查看 Oozie 源代码找到了我的问题的答案，并将发布解决方案。

实际上 Oozie 不识别通配符 '*'，您需要使用以下格式 USER1,USER2,USER3 传递完整的 acl，而且似乎错误 OOZIE-228 中提出的格式 USER1,USER2 GROUP1,GROUP2 不工作，因为 Oozie 根据 , 字符拆分 acl 字符串。为了确保正确处理，oozie.job.acl 需要在 job.properties 中，而不是在 workflow.xml 中。

希望这会为遇到同样问题的人节省时间。

Answer 2

为此，要执行任何操作，如终止/暂停等。我们需要为我们的用户 ID 生成身份验证令牌。 首先，我们需要使用以下命令从文件中清除现有令牌，然后对给定的工作流 id 执行挂起/终止等操作：

rm .oozie-auth-token

来自 Apache Oozie 文档：

一旦认证成功，接收到的 身份验证令牌缓存在用户主目录中 .oozie-auth-token 文件，具有仅所有者权限。随后的 请求在有效时重用缓存的令牌。

更多详情，Apache Oozie 文档的链接（参考认证部分）：Official Documentation