【Ambari Plus】03.Knox 安装

Knox 安装

Knox是集群的统一网关入口。它本身不负责存储或计算，而是把后面的 HDFS、YARN、Hive、Ranger 等 Web/API 入口收敛到同一个安全网关里。前面已经完成 Solr、Ranger、Kerberos 和 LDAP，本篇就先把 Knox Gateway 装起来。

这里有一个容易误解的点：本篇安装 Knox 时，HDFS、YARN、Hive 还没有继续安装，所以不要用 WebHDFS、YARN UI 或 Hive 代理路由来判断 Knox 是否成功。这个阶段重点看两件事：KNOX服务是否运行中，KnoxSSO 登录页是否能打开。

本次仍然沿用三台 FQDN 主机：

::: tip
Knox 对 Kerberos、证书和后端服务地址都比较敏感。这里继续使用hadoop*.test.com，不要在配置里混用短主机名和 IP。
:::

1. 选择 Knox 服务

进入服务与组件，点击新增服务。服务列表里找到Knox，勾选它。

这一步只选择 Knox。页面会显示已选服务 1，说明本次新增服务范围很清楚，不会把 HDFS、YARN、Hive 一起带进来。

2. 分配 Knox Gateway

Master 分配页里，KNOX_GATEWAY默认分配到hadoop1.test.com。

我这里保留这个分配方式。hadoop1.test.com已经是平台入口节点，再把 Knox Gateway 放在这里，后面访问网关时更直观：

https://hadoop1.test.com:6543/

生产环境如果要做 Knox HA，可以在完成单节点安装后再扩展网关实例，并配合负载均衡入口统一访问。

3. 确认没有 Slave 和 Client

Knox 这一版只有KNOX_GATEWAY，没有需要额外分配的 Slave 或 Client 组件。

看到页面提示无 Slave 组件需要分配、无 Client 组件，直接下一步即可。

4. 补齐 Knox Master Secret

进入自定义配置页后，页面会提示还有 1 个必填配置项没有填写。点击待填写，只看缺失项。

缺失项是Knox Master Secret，它位于knox-env.xml。本次演示填写：

::: warning
Knoxadmin123只是教程演示口令。生产环境请使用高复杂度密钥，并按企业密码管理规范保存。
:::

5. 确认安装清单

配置补齐后进入确认页。这里重点看三项：

确认无误后点击开始安装。

6. 提交 KDC 管理员凭据

当前集群已经启用了 Kerberos，Knox 新增服务时需要生成并分发 Kerberos 凭据。安装进度页会弹出KDC 管理员凭据。

本次填写前面 Kerberos 文章里创建的管理员：

填写后点击提交并继续安装。这个凭据只用于本次操作，页面不会保存管理员密码。

提交成功后，页面会提示KDC 管理员凭据已提交。如果 Ranger 与 Knox SSO 的联动配置也被补齐，还会看到Ranger via Knox SSO 已补齐这样的提示。

7. 等待安装和启动

提交 KDC 凭据后，向导会继续注册服务、安装组件包、生成凭据、启动 Knox Gateway。

Knox 安装过程中会自动处理 Ranger via Knox SSO 相关配置。安装完成后，向导会回到服务状态确认阶段；如果RANGER_ADMIN被提交重启请求，稍等它恢复运行即可。

8. 回到服务页确认状态

安装完成后进入KNOX服务详情页，状态应显示为运行中。

此时可以重点看：

如果Ranger Admin因为 SSO 集成被重启，稍等它回到运行中即可。

9. 打开 KnoxSSO 登录页

浏览器访问：

https://hadoop1.test.com:6543/gateway/homepage/home/

首次使用自签证书时，浏览器可能会提示证书风险。内部测试环境可以临时信任，生产环境建议使用企业 CA 或可信证书。

能看到Apache Knox的 KnoxSSO 登录页，就说明网关入口已经响应。等后面 HDFS、YARN、Hive 等服务安装完成后，再把它们逐个接入 Knox 拓扑，通过网关入口访问对应服务。

本篇到这里先收住。下一步回到组件安装，开始铺底层存储服务：HDFS。