HBase源码分析之Ranger权限验证

最新推荐文章于 2023-05-30 15:00:00 发布
最新推荐文章于 2023-05-30 15:00:00 发布
阅读量2.5k 收藏
点赞数
分类专栏: 大数据 文章标签: hbase 分布式 大数据 权限
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MasaWong/article/details/77971824
版权
本文深入探讨了Ranger如何在HBase中实现权限验证,详细介绍了RangerAuthorizationCoprocessor如何作为Observer处理权限管理,包括与HBase grant、revoke操作的同步,Policy生效规则的细节,以及配置更新的机制。RangerPolicyEngineImpl通过遍历PolicyItems进行权限评估,确保数据安全性。同时,RangerHBasePlugin的PolicyRefresher定期拉取新配置,保证权限配置的实时性。
摘要由CSDN通过智能技术生成


HBase源码分析之权限验证中讲过了自带的simple认证方式,Apache有个项目,也提供了权限验证,就是Ranger。Ranger的安装方式比较复杂,具体看: https://cwiki.apache.org/confluence/display/RANGER/Apache+Ranger+0.5.0+Installation

个人感觉Ranger还是一个粗糙的应用,和我预期的Apache顶级项目有差距,代码没注释,格式也很混乱。

Ranger的权限管理是通过RangerAuthorizationCoprocessor来实现的,实现了MasterObserver、RegionServerObserver、RegionObserver、BulkLoadObserver,各种回调。

和HBase的grant、revoke同步

配置中配置了grant、revoke的时候,是否相应的刷新ranger的标记位UpdateRangerPoliciesOnGrantRevoke

UpdateRangerPoliciesOnGrantRevoke = RangerConfiguration.getInstance().getBoolean(RangerHadoopConstants.HBASE_UPDATE_RANGER_POLICIES_ON_GRANT_REVOKE_PROP, RangerHadoopConstants.HBASE_UPDATE_RANGER_POLICIES_ON_GRANT_REVOKE_DEFAULT_VALUE);

RangerAuthorizationCoprocessor实现了CoprocessorService接口,将自己注册进去,监听grant、revoke。

@Override
public Service getService() {
    return AccessControlProtos.AccessControlService.newReflectiveService(this);
}

实现了这2个方法,在这2个方法中判断UpdateRangerPoliciesOnGrantRevoke如果为true,就更新下自己的配置。

/**
 * <code>rpc Grant(.GrantRequest) returns (.GrantResponse);</code>
 */
public abstract void grant(
    com.google.protobuf.RpcController controller,
    org.apache.hadoop.hbase.protobuf.generated.AccessControlProtos.GrantRequest request,
    com.google.protobuf.RpcCallback<org.apache.hadoop.hbase.protobuf.generated.AccessControlProtos.GrantResponse> done);

/**
 * <code>rpc Revoke(.RevokeRequest) returns (.RevokeResponse);</code>
 */
public abstract void revoke(
    com.google.protobuf.RpcController controller,
    org.apache.hadoop.hbase.protobuf.generated.AccessControlProtos.RevokeRequest request,
    com.google.protobuf.RpcCallback<org.apache.hadoop.hbase.protobuf.generated.AccessControlProtos.RevokeResponse> done);

Policy生效规则

各种操作之前调用evaluateAccess,代码简直裹脚布,总结起来就是判断了Namespace、table、column、qualifier的设置,将所有设置集中到AuthorizationSession中,然后调用AuthorizationSession的authorize,判断权限。

    ColumnFamilyAccessResult evaluateAccess(String operation, Action action, final RegionCoprocessorEnvironment env,
                                            final Map<byte[], ? extends Collection<?>> familyMap) throws AccessDeniedException {

        String access = _authUtils.getAccess(action);
        User user = getActiveUser();
        String userName = _userUtils.getUserAsString(user);
最低0.47元/天 解锁文章
Ranger原理与代码实例讲解
AI天才研究院
05-31 927
1.背景介绍 Ranger 是一种流行的深度学习框架,旨在为研究人员和开发人员提供一个灵活、高效的神经网络实现平台。Ranger 的核心优势在于其简洁性、高效性和可扩展性。本文将深入探讨Ranger的架构设计、核心算法以及其实际应用,以帮助读者更好地理解和使用这一先进的深度学习工具。 2.核心概念与联系
HBase namespace
dingweijson的博客
05-24 180
HBase系统默认定义了两个缺省的namespace hbase:系统内建表,包括namespace和meta表 default:用户建表时未指定namespace的表都创建在此 创建namespace   hbase&gt;create_namespace 'ai_ns'     删除namespace hbase&gt;drop_namespace 'ai_n...
Apache Ranger源码编译及使用
数据科学汇集
12-28 1万+
Ranger源码编译、使用手册 1 Ranger简介 Apache Ranger提供一个集中式安全管理框架,它可以对Hadoop生态的组件如Hive,Hbase进行细粒度的数据访问控制.通过操作Ranger控制台,管理员可以轻松的通过配置策略来控制用户访问HDFS文件夹、HDFS文件、数据库、表、字段权限.这些策略可以为不同的用户和组来设置,同时权限可与hadoop无缝对接. 2 准备 2
Ranger功能验证
docsz的博客
11-14 955
Apache Ranger
APACHE RANGER 调研----ranger 原理解析
01-26
本文对Apache Ranger的原理进行解析,包括对Hive数据库的权限管理、用户管理、策略的创建、删除和更新等方面进行详细介绍。 1. Hive授权流程 在Hive授权流程中,管理员负责设置策略以及用户权限。用户则通过JDBC或...
记一次HBase 使用故障分析与改错(hbase shell client 故障汇总!!!)
01-05 1707
文章目录hbase shell 写入操作卡住故障介绍解决方案Java 使用hbase-client 操作卡住故障介绍故障分析与解决hbase 操作权限不足故障介绍解决方案使用ranger 进行权限配置 使用ambari 安装了HBase 的环境,然后进入到安装的机器,使用hbase shell 打算验证HBase 是否可用? hbase shell 写入操作卡住 故障介绍 进入到hbase sh...
大数据方面核心技术有哪些?
weixin_44387107的博客
03-05 2593
大数据技术的体系庞大且复杂,基础的技术包含数据的采集、数据预处理、分布式存储、NoSQL数据库、数据仓库、机器学习、并行计算、可视化等各种技术范畴和不同的技术层面。首先给出一个通用化的大数据处理框架,主要分为下面几个方面:数据采集与预处理、数据存储、数据清洗、数据查询分析和数据可视化。 互联网科技发展蓬勃兴起,人工智能时代来临,抓住下一个风口。为帮助那些往想互联网方向转行想学习,却因为时间不够...
ranger安装hbase插件_Ranger
weixin_28985877的博客
01-24 630
Apache Ranger是一个用来在Hadoop平台上进行监控,启用服务,以及全方位数据安全访问管理的安全框架。Ranger的官网:https://ranger.apache.org/Ranger的架构Ranger的工作原理 Ranager的核心是web应用程序,也成为RangerAdmin模块,此模块由管理策略,审计日志和报告等三部分组成。 管理员角色...
APACHERANGER调研----ranger原理解析
02-23
(1)管理员设置策略以及用户(例如一个用户对一个hive数据库相关的权限)(2)用户通过jdbcbeeline去请求HiveServe2(3)hive权限check,请求rangerapi获取策略是否已经更新,更新了就利用新的策略,如果没有更新利用本地缓存数据,plugin会30秒访问ranger服务更新策略(4)hiveserver2可以通过grant和revoke去请求ranger服务去更新策略(5)check和grant和revoke操作记录会放到ranger的audit审计日志里。主要步骤:(1)check是否有admin的权限和创建的用户数据检验(2)初始化XPortalUser和X
hbase1.2.1配置kerberos
mm_bit的博客
04-29 8439
今天需要在hbase上配置kerberos认证,所以需要安装kerberos,安装配置过程如下: kerberos简介 kerberos简单来说就是一套完全控制机制,它有一个中心服务器(KDC),KDC中有数据库,你可以往里添加各种“人”以及各种“服务”的“身份证”,当某个人要访问某个服务时,他拿着自己的“身份证”联系KDC并告诉KDC他想要访问的服务,KDC经过一系列验证步骤,最
Hbase建表失败Insufficient permissions (user=root/admin@AEP.COM
Pichairen
03-31 1409
hbase(main):003:0> create 'test','info' ERROR: org.apache.hadoop.hbase.security.AccessDeniedException: Insufficient permissions (user=root/admin@TEST.COM, scope=default, params=[namespace=default,table=default:test,family=info],action=CREATE) 原因:安装了K.
使用Apache Ranger提供授权 -- 02
TT-Learning
10-12 2679
文章目录基于资源的服务和策略配置资源的服务配置一个基于资源的服务:HBase配置一个基于资源的服务:HDFS配置一个基于资源的服务:Hive配置一个基于资源的服务:Kafka配置一个基于资源的服务:Knox配置一个基于资源的服务:Solr配置一个基于资源的服务:Storm配置一个基于资源的服务:YARN配置一个基于资源的服务:Atlas配置资源的策略配置一个基于资源的策略:HBase配置一个基于资...
Ranger Hive plugin 源代码分析
houzhizhen的专栏
09-23 2136
hiveserver2-site.xml <property> <name>hive.security.authorization.enabled</name> <value>true</value> </property> <property> <name>hive.security.authorization.manager</name> <value>org.apa
Apache ranger 简介、原理、安装部署
热门推荐
关注微信公众号「Coding我不配」
08-06 3万+
Apache Ranger提供一个集中式安全管理框架, 并解决授权和审计。它可以对Hadoop生态的组件如HDFS、Yarn、Hive、Hbase等进行细粒度的数据访问控制。通过操作Ranger控制台,管理员可以轻松的通过配置策略来控制用户访问权限Ranger支持服务或组件Ranger支持的服务有HDFS、Hbase、Hive、Yarn、Strom、Kafka、Knox、Solr 等组件。
Apache Ranger原理与应用实践
大数据之路
05-15 2万+
文章目录一、业务背景现状&&需求二、大数据安全组件介绍与对比1、Kerberos2、Apache Sentry3、Apache Ranger4、为什么我们选择Ranger三、Apache Ranger系统架构及实践1、架构介绍2、组件介绍3、权限模型4、权限实现Hdfs实现原理Hbase实现原理Hive实现原理Yarn实现原理四、Ranger实践1、组权限实现 一、业务背景 大数据...
大数据 Ranger2.1.0 适配 Kafka3.4.0
最新发布
红桃∩
05-30 1193
根据官方说明Kafka3.0以上版本将会被替换权限认证方式,包括 类和方法 的变换,所以需要对ranger中继承 kafka 的实现中,修改相应的逻辑
ElasticSearch
zphdgqs的博客
09-10 367
首先什么是ES? Elasticsearch是一个基于Lucene的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎,基于RESTful web接口。Elasticsearch是用Java语言开发的,并作为Apache许可条款下的开放源码发布,是一种流行的企业级搜索引擎。 为什么使用ES? elasticsearch不是什么全新的技术,它是将全文检索、数据分析以及分布式技术合并在了一起,其中全文检索指的是Apache lucene,数据分析指的是商用的数据分析软件,分布式技术主要指的就是分布式
大数据权限管理利器 - Ranger
eyoulc123的博客
03-01 2万+
1. 介绍 Ranger是HDP体系统中安全管理的重要一环。它提供了具体资源(如HBase中的具体表)权限管控、访问监控、数据加密的功能。 2. 组件介绍 2.1 整体说明 Raner是由三个部分组件:Ranger Admin 、Ranger Usersync 与Ranger plugin,它们关系如下: 在Ranger的官网中有对于这三个组件的说明 组件名称 ...
HBase源码分析与性能测试总结
"hbase源码分析 - hbase性能测试小结" 在深入分析HBase源码之前,我们先从给出的性能测试小结中提取关键信息。HBase是一种分布式、高性能、基于列族的NoSQL数据库,它构建于Hadoop之上,提供了实时的数据访问。在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值