APACHE RANGER 调研----1.基础介绍和安装

最新推荐文章于 2024-02-21 15:51:37 发布
最新推荐文章于 2024-02-21 15:51:37 发布
阅读量4.2k 收藏 11
点赞数 1
分类专栏: hive
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangwenting2016/article/details/53860588
版权
1. 基本介绍
(1) 目前形势:

        目前已有的流行的统一授权管理的开源框架为Ranger和Sentry。

        前者由hortonworks主推(可以支持hive的列级授权,支持审计Audit)

        后者由Cloudera开发,可能更有后劲。另外Cloudera在酝酿一个安全平台, 目前只能通过视图来控制列权限。

(2) ranger 基础概念:

          user: Ranger自己管理的用户,分为internal和external,前者为Ranger自己的用户,例如admin;后者为linux的用户,在操作系统里新增用户后会同步到Ranger。

          group: Ranger自己管理的用户组,没有内外之分,我们看到用户的组应该是Ranger自动生成的,跟linux的用户组无关。

          Service: 即授权管理服务,每个组件可以设置多个Service。(例如hive hdfs hbase 等, 可以对多个hive 进行)

          Policy: 每个Service中可以有多条Policy,组件不同,Policy授权模型不同  (创建策略的时候需要指定用户或组)

(3)  目前ranger 支持的组件:

          HDFS/HBASE/HIVE/YARN/KNOX/STORM/SOLR/KAFKA 等

(4)  hdfs 和 hive 目前权限走的方式:

        hdfs  先走ranger  认证, 如果失败, 在走hdfs 认证。

        hive  直接走ranger认证, 如果成功, 还需走hdfs 的认证, 所以会有当授权给一个用户 INSERT 权限,但是此用户对此表对应的location 目录没有权限。

(5) ranger 主要结构:

        ranger-admin:提供web server以及Ranger管理

        ranger-usersync:与linux或LDAT同步用户。

        ranger-xxx-plugin为针对各组件的插件。


2.版本选型

        ranger 目前大版本 主要是 0.4, 0.5 , 0.6

        0.4 版本  主要支持的hadoop 生态版本(Hadoop 2.6.0 — Hive 0.14.0  – Hbase 0.99.2)  (2015年2月 最后更新)
        0.5 版本  主要支持的hadoop 生态版本(Hadoop 2.7.0 — Hive 1.2.0  – Hbase 1.1.0)  注意: 不支持hadoop2.6.0 因为INodeAttributeProvider 不存在。(2016年9月)
        0.6 版本  主要支持的hadoop 生态版本(Hadoop 2.7.1 — Hive 2.1.0  – Hbase 1.1.3)  最新

        针对目前数仓情况,0.4 更新时间很久,  选取0.5 中ranger-0.5.3-rc3 版本。

3.编译
         unzip  ranger-0.5.3-rc3.zip; cd incubator-ranger-ranger-0.5.3-rc3
         目前数仓用的hive 1.2.1 ,更改 pom.xml   <hive.version>1.2.1</hive.version>
         mvn clean compile package assembly:assembly install -Dmaven.test.skip=true 进行编译
         cd target  就可以看见对应的包了。
4.安装部署
(1)安装Ranger 控制台:Ranger—admin

    tar -zxvf ranger-0.5.3-admin.tar.gz; cd ranger-0.5.3-admin; vim install.properties;

更改配置文件:

SQL_CONNECTOR_JAR=/home/hadoop/hive/lib/mysql-connector-java-5.1.35.jar # mysql 库路径
 
# mysql root 用户
db_root_user=root                                                                                                                                     
db_root_password=xxx                                                                                                                               
db_host=hlg-5p149-wangwenting 
 
# ranger 的db                                                                                                                                                                                                                                                      
db_name=ranger                                                                                                                                        
db_user=root                                                                                                                                          
db_password=xxx
 
# ranger 审计db
audit_db_name=ranger_audit                                                                                                                            
audit_db_user=root                                                                                                                                    
audit_db_password=xxx
 
# ------- UNIX User CONFIG ---------------- 安装的时候会更改ranger-0.5.3-admin 所属用户
unix_user=hadoop
unix_group=hadoop

root 用户执行./setup.sh  此时会在mysql 中创建db ranger 和 ranger_audit
   ranger-admin start   启动服务
   访问  http://host:6080  查看服务知否ok, 通过admin/admin 看是否能够登录
(2) ranger-0.5.3-hdfs-plugin 安装
    tar -zxvf ranger-0.5.3-hdfs-plugin.tar.gz; cd ranger-0.5.3-hdfs-plugin;vim install.properties
   
更改配置文件: 
# ranger web 服务地址
POLICY_MGR_URL=http://localhost:6080
 
# mysql jar 包
SQL_CONNECTOR_JAR=/home/hadoop/hive/lib/mysql-connector-java-5.1.35.jar
 
# 服务名
REPOSITORY_NAME=hadoopdev
 
# 统计日志db 信息
XAAUDIT.DB.IS_ENABLED=true                                                                                                                            
XAAUDIT.DB.FLAVOUR=MYSQL                                                                                                                              
XAAUDIT.DB.HOSTNAME=hlg-5p149-wangwenting                                                                                                             
XAAUDIT.DB.DATABASE_NAME=ranger_audit                                                                                                                 
XAAUDIT.DB.USER_NAME=root                                                                                                                             
XAAUDIT.DB.PASSWORD=xxx

root 安装 ./enable-hdfs-plugin.sh

安装的时候要生成一些配置文件和jar包,执行前需要进行对应

实例:. hadoop 配置目录 /home/hadoop/hadoop/etc/hadoop/    hdfs 目录/home/hadoop/hadoop/share/hadoop/hdfs/lib/

             ranger  目录       /home/hadoop/ranger-0.5.3        

                                       /home/haoop/ranger-0.5-3/ranger-0.5.3-admin  

                                       /home/hadoop/ranger-0.5-3/ranger-0.5.3-hdfs-plugin

            此时要做的就是在/home/hadoop/ranger-0.5.3 下创建一个目录hadoop,cd hadoop;

             然后 ln -s  /home/hadoop/hadoop/etc/hadoop/  conf    ;   ln -s /home/hadoop/hadoop/share/hadoop/hdfs/lib/ lib

            并将 /home/hadoop/ranger-0.5-3/ranger-0.5.3-hdfs-plugin/lib/ranger-hdfs-plugin-impl 中的jar 包 拷贝到/home/hadoop/hadoop/share/hadoop/hdfs/lib/

安装结束后:

        会看见多了几个配置文件。

        修改了hdfs-site.xml 如下

<property>
        <name>dfs.permissions.enabled</name>
        <value>true</value>
    </property>
    <property>
        <name>dfs.permissions</name>
        <value>true</value>
    </property>
    <property>
        <name>dfs.namenode.inode.attributes.provider.class</name>
        <value>org.apache.ranger.authorization.hadoop.RangerHdfsAuthorizer</value>
    </property>

验证是否成功: 

 登录web ;  点击HDFS plugin 添加按钮,添加服务 ; 输入定义的服务名:hadoopdev(在配置参数时设置的,要保持一致;点击 Test Connection 执行成功


(3)ranger-0.5.3-hive-plugin 安装

tar -zxvf ranger-0.5.3-hive-plugin.tar.gz; cd ranger-0.5.3-hive-plugin;vim install.properties

安装配置同hdfs-plugin   REPOSITORY_NAME=hivedev 

root 安装 ./enable-hive-plugin.sh  具体设置目录同hdfs ,在/home/hadoop/ranger-0.5.3 下mkdir hive, 设置软连接

安装结束后:会生成对应的ranger 配置文件, 修改hiveserver2-site.xml 文件

如下:

<property>
        <name>hive.security.authorization.enabled</name>
        <value>true</value>
    </property>
    <property>
        <name>hive.security.authorization.manager</name>
        <value>org.apache.ranger.authorization.hive.authorizer.RangerHiveAuthorizerFactory</value>
    </property>
    <property>
        <name>hive.security.authenticator.manager</name>
        <value>org.apache.hadoop.hive.ql.security.SessionStateUserAuthenticator</value>
    </property>
    <property>
        <name>hive.conf.restricted.list</name>
        <value>hive.security.authorization.enabled,hive.security.authorization.manager,hive.security.authenticator.manager</value>
    </property>

如果让客户端也生效, 此时hive.security.authenticator.manager 用默认值。 不然会获取不到用户信息

创建hivedev service



添加服务后页面显示


(4) 添加hdfs 和hive 策略

hdfs 策略配置(首先需要在ranger 里面创建用户组和用户 ---- 此处要和linux 对应,配置后,linux 用户就会对应这些策略)



hive 策略配置



wangwenting2016
关注
  • 1
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Apache Ranger 统一授权管理框架(一)编译安装
gmHappy
10-13 1835
一、Apache Ranger是什么? Apache Ranger是一个框架,Hadoop上对于保护数据数据安全性的安全框架。用于在整个Hadoop平台上启用,监视和管理全面的数据安全性。 二、特性 Apache Ranger具有以下特性: 集中式安全管理,可在中央UI或使用REST API管理所有与安全相关的任务。 使用Hadoop组件/工具执行特定操作和/或操作的精细授权,并通过中央管理工具进行管理 跨所有Hadoop组件标准化授权方法。 增强了对不同授权方法的支持-基于角色的访问控制,基于属性的访问
APACHERANGER调研----ranger原理解析
02-23
plugin会30秒访问ranger服务更新策略(4)hiveserver2可以通过grant和revoke去请求ranger服务去更新策略(5)check和grant和revoke操作记录会放到ranger的audit审计日志里。主要步骤:(1)check是否有admin的权限和创建的...
Apache Ranger源码编译及使用
热门推荐
数据科学汇集
12-28 1万+
Ranger源码编译、使用手册 1 Ranger简介 Apache Ranger提供一个集中式安全管理框架,它可以对Hadoop生态的组件如Hive,Hbase进行细粒度的数据访问控制.通过操作Ranger控制台,管理员可以轻松的通过配置策略来控制用户访问HDFS文件夹、HDFS文件、数据库、表、字段权限.这些策略可以为不同的用户和组来设置,同时权限可与hadoop无缝对接. 2 准备 2
开源大数据集群部署(十一)Ranger 集成Hadoop集群
最新发布
02-21 645
servicename必须和install.properties中的REPOSITORY_NAME填写一致。初始化完成后会在/opt/hadoop/etc/hadoop目录下生成3个文件。以下内容参考hdfs-site.xml和core-site.xml参考填写。在rangeradmin页面上进行配置。部署在两个namenode节点。更多技术信息请查看云掣官网。
Apache Ranger 2.0.0,Apache Ranger 2.1.0编译
qq_43623727的博客
06-07 401
apache ranger 编译过程
APACHE RANGER 调研----5.ranger 原理解析
wangwenting2016的博客
12-24 5269
1.hive 授权流程    (1) 管理员设置策略以及用户(例如一个用户对一个hive数据库相关的权限) --->(2) 用户通过 jdbc beeline 去请求HiveServe2     --->(3)hive 权限check, 请求ranger api 获取策略是否已经更新,更新了就利用新的策略,如果没有更新利用本地缓存数据, plugin 会30 秒访问ranger
CDH5.14集成ranger0.5.3步骤
weixin_34200628的博客
04-04 2354
CDH5.14的hive版本是1.1.0,经过1周的尝试,开始选择了ranger最新版本1.2.0,最后jdbc连接时因为hive-jdbc版本和hive版本不匹配报错,所以选择ranger0.5.3版本做了集成测试,过程中还是出现了一些问题,感觉hontonworks和cloudera之间不太兼容啊。。。暂时还不是很完美,不过最终算是完成了。首先安装ranger-admin。1.cd /home...
APACHE RANGER 调研----ranger 原理解析
01-26
(1) 管理员设置策略以及用户(例如一个用户对一个hive数据库相关的权限)
ranger-2.1.0-usersync.tar.gz
08-09
ranger-2.1.0-usersync.tar.gz
ranger-2.1.0-hive-plugin.tar.gz
08-09
ranger-2.1.0-hive-plugin.tar.gz
ranger-2.0.0-hive-plugin.tar.gz
06-04
由于很多文章都是只有ranger的安装说明,却没有编译后的tar包,而且编译的时间有点长,编译期间会出现各种问题,导致编译不过,特此上传编译后的包,来提供大家下载
Hdfs 权限与Ranger 权限管理的控制
Stay Focused And Work Hard !!!
01-02 9051
本文主要探讨Ranger对Hdfs文件权限控制的一些细节问题笔者环境:Ambari + Hdp2.5 (安装Ranger, Kerberos)1、首先是Hdfs 源文件中文件对外开放的权限如下:新建文本文档.txt 对应的权限如下-rwxrwx---对应的权限说明权限说明:对资源所拥有者以及分组内的用户开放读写执行权限,其他用户没有任何权限用户project2 权限信息1、project2没有加...
Apache Ranger剖析:Hadoop生态圈的安全管家
TragicJun的专栏
08-16 9814
前言2016年,Hadoop迎来了自己十周岁生日。过去的十年,Hadoop雄霸武林盟主之位,号令天下,引领大数据技术生态不断发展壮大,一时间百家争鸣,百花齐放。然而,兄弟多了不好管,为了抢占企业级市场,各家都迭代出自己的一套访问控制体系,不管是老牌系统(比如HDFS、HBase),还是生态新贵(比如Kafka、Alluxio),ACL(Access Control List)支持都是Roadmap里
大数据安全:Ranger与Sentry使用区别
周源的专栏
11-22 8987
近期在研究大数据安全领域,从使用形式上简单来说: Sentry:RBAC(role-based acess control)基于角色的管理,比如Cloudera用的是Sentry,华为的FusionInsight也采用类似的机制。 即:通过创建角色,将每个组件的权限授予给此角色。然后在用户中添加此角色,即用户具备此角色访问组件的权限(组也类似) Ranger: PBAC(policy
ranger控制数据访问权限
onlyForCloud的专栏
04-05 1万+
ranger的特点就是,自己可以帮你去干你不能干的事情。 比如你这个用户没有hdfs某个目录下某个文件的读权限,但是你在ranger里面配了可以访问这个文件,你访问时ranger就帮你拿回来给你   一,hbase权限 (OK) 【前置】 Ranger上配置了HBase的所有表都只能由hbase用户和ambari-qa用户来访问   【实际】 1、我们使用hive用户执行h
Apache Ranger:统一授权管理框架
张伟的专栏
08-03 1万+
Apache Ranger:统一授权管理框架 by 伊布 May 12, 2016 in Tech 1、功能 支持组件用户/组管理授权审计 2、机制 组件plugin 前一篇文章介绍了hive的授权模型和spark支持hive的现状,可以看到目前授权管理各自为政:HDFS,hive,yarn,storm等都有自己的授权模型,需要到具体产品下进行修
Ambari和ClouderaManager主要不同对比
数据之路
02-28 9760
Ambari和ClouderaManager主要的不同对比 打算对新建的hadoop集群使用管理工具,列了以下主要的不同点: 主要的不同点 apache Ambari ClouderaManager Express(免费版) 配置版本控制和历史记录 支持 不支持 二次开发 支持 不支持 集成 支持 no (不支持redis、kylin、es) 维护
Kerberos与Ranger、KMS整合
光于前裕于后的博客
02-07 7728
环境:Ambari-2.4.2、HDP-2.5.3、CentOS 6.5 1.之前用的是HDP2.4,装上Kerberos后Ranger的策略就失效了,KMS对秘钥也无法管理(WEB端),总感觉是因为哪里没配置好,但装装卸卸好多遍还是不行。http://docs.hortonworks.com/HDPDocuments/HDP2/HDP-2.5.3/bk_command-line-upgrade/c
Apache Ranger 统一授权管理框架(二)集成CDH6.3.1编译安装
gmHappy
10-16 2979
一、源码下载 Apache Ranger当前在GitHub中最新版本是2.1.0。安装ranger需要源码安装,官方没有提供编译好的二进制包,同时,对于要使用ranger部署的Hadoop组件,需要考虑到版本之间的兼容性。 官网地址:https://ranger.apache.org/ Git地址:https://github.com/apache/ranger 1、前提条件 JDK 8 Maven 3.6.2 wget http://mirrors.tuna.tsinghua.edu.cn/apa
ranger-util-1.2.0.3.1.5.0-152.jar在哪下
06-13
ranger-util-1.2.0.3.1.5.0-152.jar 可以在 Maven 仓库中下载,可以访问以下链接进行下载: https://repo1.maven.org/maven2/org/apache/ranger/ranger-util/1.2.0.3.1.5.0-152/ranger-util-1.2.0.3.1.5.0-152.jar 或者在 Maven 项目中,可以将以下依赖项添加到 pom.xml 文件中: ``` <dependency> <groupId>org.apache.ranger</groupId> <artifactId>ranger-util</artifactId> <version>1.2.0.3.1.5.0-152</version> </dependency> ``` 然后使用 Maven 下载依赖项即可。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值