hadoop 2.7.2 yarn中文文档——Web Application Proxy

Web Application Proxy是YARN的一部分。默认情况下它会作为Resource Manager（RM）的一部分运行，但是可以配置为独立运行的模式。Proxy的意义是减少通过YARN的网络攻击的可能性。

在YARN中，Application Master(AM)有责任提供Web UI并将该链接发送至RM。这带来了一些潜在的问题——RM作为一个可信任的用户运行，人们信任正在访问的RM的web地址，以及它提供的链接，但是当AM运行在一个非受信的用户，而且给到RM的链接可能指向恶意的东西。Web Application Proxy通过警告不是特定application属主的用户，他们正在链接到一个非受信的站点，以此来降低风险。

另外，proxy还尝试减少恶意AM对用户的影响。它首先将cookie剥离，并替换为一个简单cookie，只提供登录的用户的username，这是因为多数基于web的认证系统会以cookie为基础标识用户。提供cookie到一个非受信的application，会带来潜在的攻击漏洞。如果cookie设计合理，潜在的危险会相当少，但是这只是减少了潜在攻击的可能性。目前proxy的实现方案没有阻止AM提供链接到外部恶意站点的链接，也没有做任何工作来阻止恶意javascript代码运行。事实上，javascript可以被用来获取cookies，所以从request中剥离coookie也会在这时受益.

在将来我们希望解决上述漏洞攻击，以让AM的web UI更安全。

下一篇: hadoop 2.7.2 yarn中文文档——The YARN Timeline Server