编辑“︁Knox网关服务”︁

= Knox网关服务 =

'''Knox网关服务'''（Apache Knox Gateway）是Hadoop生态系统中用于安全访问集群REST API和UI的网关服务。它为外部用户或应用程序提供统一的入口点，同时通过身份验证、授权和SSL加密确保安全性。Knox简化了复杂Hadoop集群的安全管理，尤其适用于多租户环境。

== 核心功能 ==
* '''统一访问入口'''：聚合多个Hadoop服务（如HDFS、YARN、Hive）的API和Web UI
* '''身份认证集成'''：支持LDAP/AD、SAML、OAuth等协议
* '''服务代理'''：将REST API请求路由到后端服务
* '''SSL终端'''：处理HTTPS加密/解密
* '''审计日志'''：记录所有访问请求

== 架构原理 ==
<mermaid>
graph LR
    Client -->|HTTPS请求| Knox[Knox网关]
    Knox -->|认证| LDAP[LDAP服务器]
    Knox -->|代理请求| Hadoop[Hadoop集群]
    Hadoop -->|响应| Knox
    Knox -->|响应| Client
</mermaid>

== 安装配置 ==

=== 基础安装 ===
从Apache官网下载二进制包后解压：
<syntaxhighlight lang="bash">
tar -xzf knox-2.0.0.tar.gz
cd knox-2.0.0
</syntaxhighlight>

=== 生成SSL证书 ===
Knox要求SSL证书运行：
<syntaxhighlight lang="bash">
bin/knoxcli create-master --force
bin/knoxcli create-cert --hostname gateway.example.com
</syntaxhighlight>

== 配置示例 ==

=== 配置LDAP认证 ===
编辑''conf/topologies/sandbox.xml''：
<syntaxhighlight lang="xml">
<gateway>
  <provider>
    <role>authentication</role>
    <name>ShiroProvider</name>
    <enabled>true</enabled>
    <param>
      <name>main.ldapRealm</name>
      <value>org.apache.knox.gateway.shirorealm.KnoxLdapRealm</value>
    </param>
    <param>
      <name>main.ldapContextFactory</name>
      <value>org.apache.knox.gateway.shirorealm.KnoxLdapContextFactory</value>
    </param>
    <param>
      <name>main.ldapRealm.contextFactory</name>
      <value>$ldapContextFactory</value>
    </param>
    <param>
      <name>main.ldapRealm.userDnTemplate</name>
      <value>uid={0},ou=people,dc=hadoop,dc=apache,dc=org</value>
    </param>
  </provider>
</gateway>
</syntaxhighlight>

== API访问示例 ==

=== 通过Knox访问HDFS ===
<syntaxhighlight lang="bash">
curl -k -u username:password \
  'https://gateway.example.com:8443/gateway/sandbox/webhdfs/v1/?op=LISTSTATUS'
</syntaxhighlight>

'''响应示例'''：
<syntaxhighlight lang="json">
{
  "FileStatuses": {
    "FileStatus": [
      {
        "pathSuffix": "tmp",
        "type": "DIRECTORY",
        "length": 0,
        "owner": "hdfs",
        "group": "supergroup"
      }
    ]
  }
}
</syntaxhighlight>

== 实际应用场景 ==

=== 企业多租户访问 ===
某金融机构使用Knox实现：
1. 开发团队通过统一API访问Hive
2. 分析师通过Web UI访问Zeppelin
3. 运维人员受限访问集群管理界面
4. 所有访问通过中央LDAP认证

=== 云服务集成 ===
在混合云架构中，Knox作为：
* 公有云Hadoop服务的入口网关
* 私有云与公有云之间的安全代理
* 跨云服务认证的中继站

== 安全配置最佳实践 ==
1. 定期轮换主密钥：<code>bin/knoxcli rotate-master</code>
2. 启用审计日志记录所有访问
3. 配置IP白名单限制访问来源
4. 使用TLS 1.2+协议
5. 实现基于角色的细粒度授权

== 数学原理 ==
Knox的加密过程使用非对称加密算法，密钥生成基于：

<math>
\begin{align}
&\text{选择大素数 } p,q \\
&n = p \times q \\
&\phi(n) = (p-1)(q-1) \\
&\text{选择 } e \text{ 使得 } 1 < e < \phi(n) \text{ 且 } \gcd(e,\phi(n)) = 1 \\
&\text{计算 } d \equiv e^{-1} \pmod{\phi(n)}
\end{align}
</math>

其中公钥为<math>(n,e)</math>，私钥为<math>(n,d)</math>。

== 常见问题 ==

'''Q: Knox与Ranger的区别？'''
A: Ranger是授权管理系统，Knox是访问网关。两者常配合使用，Ranger定义策略，Knox执行访问控制。

'''Q: 如何调试Knox路由问题？'''
A: 启用调试日志：
<syntaxhighlight lang="bash">
bin/gateway.sh start -Dorg.apache.knox.gateway.dispatch.advanced.interceptor.debug=true
</syntaxhighlight>

== 版本兼容性 ==
Knox版本需与Hadoop生态组件匹配：
{| class="wikitable"
|-
! Knox版本 !! 兼容Hadoop版本
|-
| 1.x || 2.6.x-2.9.x
|-
| 2.x || 3.x+
|}

== 扩展阅读 ==
* Knox自定义插件开发
* 与Kerberos深度集成
* 高可用(HA)部署方案
* 性能调优指南

[[Category:大数据框架]]
[[Category:Apache Hadoop]]
[[Category:Apache Hadoop生态工具]]