Hive结合Apache Ranger进行数据脱敏

已于 2023-04-19 16:12:16 修改
阅读量918 收藏 6
点赞数 1
分类专栏: 大数据 文章标签: hive hadoop 大数据 ranger
于 2023-04-18 10:42:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/carson073/article/details/130216414
版权

Hive概述

        Apache Hive是构建在Hadoop之上的数据仓库,支持通过SQL接口查询分析存储在Hadoop中的数据。

        在Hive出现之前,数据分析人员需要编写MapReduce作业分析Hadoop中的数据,这种方式繁琐低效,对数据分析人员不友好,因为数据分析人员大部分比较精通SQL,但是编程功底较浅。

        在这种背景下,2007年Facebook在论文Hive-A Warehousing Solution Over a Map-Reduce
中阐述了Hive的架构:Hive提供了一个SQL解析引擎hiveserver,客户端向hiveserver发送SQL请求,hiveserver将SQL翻译成MapReduce作业并提交到Hadoop集群上运行,最终将运行结果返回给客户端。

客户端一般使用Hive的JDBC驱动,连接Hiveserver2,Hiveserver2是采用Thrift RPC框架实现的JDBC服务端。客户端将SQL语句发送给Hiveserver2,Hiveserver2进行SQL的解析、编译、优化,这个过程中Hiveserver2会跟Hive Metastore服务通信以得到数据库表的元数据,Metastore服务会将数据库的元数据信息存储到数据库中。最终Hiveserver2将SQL编译为MapReduce作业运行在MapReduce/Tez/Spark分布式计算引擎上。

数据脱敏概述

        数据脱敏,指对某些敏感信息通过脱敏规则进行数据的变形,实现敏感隐私数据的可靠保护。这样就可以在开发、测试和其它非生产环境以及外包环境中安全地使用脱敏后的真实数据集

百度百科

        数据脱敏系统,按照使用场景的不同,可以分为动态脱敏
系统和静态脱敏
系统。

        动态脱敏系统一般作为代理,部署在应用系统和数据库之间,应用连接动态脱敏系统,动态脱敏连接数据库,动态脱敏一般通过SQL改写
或者结果集改写
方式遮蔽、仿真、替换敏感数据,从而达到去标识化的目的。

采用SQL改写
方式实现的动态脱敏系统的架构如下图所示

  1. 动态脱敏系统作为代理坐落在客户端和数据库之间,客户端向动态脱敏系统发送SQL语句

  2. 动态脱敏系统拦截网络流量,解析数据库协议,得到SQL语句,最后查询脱敏规则库

  3. 动态脱敏根据脱敏规则改写SQL语句并将改写后的SQL语句发送给数据库

  4. 数据库执行改写后的SQL语句并返回

  5. 客户端拿到脱敏后的数据

采用结果集改写
方式实现的动态脱敏系统的架构如下图所示

  1. 动态脱敏系统作为代理坐落在客户端和数据库之间,客户端向动态脱敏系统发送SQL语句

  2. 动态脱敏系统将SQL语句原样转发给数据库

  3. 数据库执行SQL语句并返回结果集给动态脱敏系统

  4. 动态脱敏系统查询脱敏规则库,改写结果集

  5. 客户端拿到脱敏后的数据

        静态脱敏系统,一般不会坐落在应用和数据库之间,而是作为单独的系统存在。静态脱敏一般应用于离线场景,比如测试人员需要一批测试数据,这种场景下只需在静态脱敏系统中新建脱敏任务,指定源数据库/文件的信息和目标数据库/文件的信息,指定要脱敏的源表和限定条件,静态脱敏系统从源端读取数据,应用脱敏规则后,将脱敏后的数据存储到目标端,整个过程要保证脱敏前的原始数据不落地。

安装Hive

下面简单介绍Hive的安装部署,省略了部分排错过程,排错过程读者可以亲自体验,以加深理解。

  1. Hive Metastore服务需要将Hive的元数据存储到数据库中,自行安装mariadb赋予权限

    create database hive;
grant all on *.* to root@'%' identified by 'root';
flush privileges;

  2. 下载hive并进行解压

    wget https://mirrors.tuna.tsinghua.edu.cn/apache/hive/hive-3.1.2/apache-hive-3.1.2-bin.tar.gz
tar zxvf apache-hive-3.1.2-bin.tar.gz

  3. 进入apache-hive-3.1.2-bin
    目录,准备配置文件

    cp hive-env.sh.template hive-env.sh
mv hive-default.xml.template hive-default.xml
mv hive-log4j2.properties.template hive-log4j2.properties
touch hive-site.xml

  4. 在/etc/profile新增环境变量

    export HIVE_HOME=/software/apache-hive-3.1.2-bin
export PATH=$PATH:$HIVE_HOME/bin

  5. 修改$HIVE_HOME/conf
    目录下的hive-env.sh
    新增如下内容

    HADOOP_HOME=/software/hadoop-3.2.2

  6. 将MySQL的JDBC驱动mysql-connector-java-5.1.47.jar放到$HIVE_HOME/lib目录下

  7. 修改$HIVE_HOME/conf目录下的hive-site.xml,新增如下内容

    <configuration>
<property>
  <name>javax.jdo.option.ConnectionURL</name>
  <value>jdbc:mysql://hadoop02.bigdata.com:3306/hive?createDatabaseIfNotExist=true</value>
</property>
<property>
  <name>javax.jdo.option.ConnectionDriverName</name>
  <value>com.mysql.jdbc.Driver</value>
</property>
<property>
  <name>javax.jdo.option.ConnectionUserName</name>
  <value>root</value>
</property>
<property>
  <name>javax.jdo.option.ConnectionPassword</name>
  <value>root</value>
</property>
<property>
  <name>hive.server2.thrift.bind.host</name>
  <value>hadoop03.bigdata.com</value>
</property>
<property>
  <name>hive.metastore.uris</name>
  <value>thrift://hadoop03.bigdata.com:9083</value>
</property>
<property>
  <name>hive.metastore.event.db.notification.api.auth</name>
  <value>false</value>
</property>
<property>
  <name>hive.execution.engine</name>
  <value>mr</value>
</property>
</configuration>

  8. 修改$HADOOP_HOME/etc/hadoop目录下的core-site.xml
    新增如下内容,分发到集群各个节点,并重启hadoop

    <property>
  <name>hadoop.proxyuser.hive.hosts</name>
  <value>*</value>
</property>
<property>
  <name>hadoop.proxyuser.hive.groups</name>
  <value>*</value>
</property>

  9. 新建hive
    用户,后续使用hive
    用户启动hive的hiveserver2和metastore进程

    useradd hive -g hadoop
passwd hive
chown -R hive:hadoop apache-hive-3.1.2-bin

  10. 切换到hive
    用户,初始化metastore数据库

    su - hive
bin/schematool -dbType mysql -initSchema

  11. 后台启动hive的hiveserver2metastore服务

    nohup bin/hive --service metastore > logs/metastore.log 2>&1 &
nohup bin/hive --service hiveserver2 > logs/hiveserver2.log 2>&1 &

安装ranger-hive插件

  1. 将编译好的ranger-2.1.0-hive-plugin.tar.gz解压

    tar zxvf ranger-2.1.0-hive-plugin.tar.gz

  2. 修改ranger-2.1.0-hive-plugin目录下的install.properties文件,新增

    POLICY_MGR_URL=http://hadoop02.bigdata.com:6080
REPOSITORY_NAME=hive
COMPONENT_INSTALL_DIR_NAME=/software/apache-hive-3.1.2-bin/

  3. 安装ranger的hive插件

    ./enable-hive-plugin.sh

  4. 重启hive并登陆到ranger-admin管理控制台中

  5. 在ranger-admin中新增hive服务,填写如下必要信息

  6. 点击Test Connection
    按钮,确定可以连接成功

Hive脱敏实验

  1. 使用beeline
    通过jdbc连接hiveserver2

    beeline -u jdbc:hive2://hadoop03.bigdata.com:10000 -n hive

  2. 新建测试数据库、数据表,并插入测试数据

    create database talkingbigdata;
use talkingbigdata;
create table employee(id int,name string,salary double) stored as orc tblproperties('transactional'='true');
insert into employee values(4,'tomtomtomtomtom',100),(5,'jackjackjackjack',200),(6,'lilylilylilylily',400);

  3. 登陆ranger-admin
    ,点击hive
    服务,打开的页面的Masking
    页签可以配置脱敏规则

  4. 点击Add New Policy
    ,在打开的页面中新增脱敏规则,对talkingbigdata数据库的employee表的name字段进行脱敏,只显示前四位,其余位用星号代替

    从上图中可以看出ranger针对hive的脱敏,可以针对特定的数据库、表、字段设定脱敏规则,ranger支持的脱敏规则还是比较少的,包括:除后4位外全部用星号替换、除前4位外全部用星号代替、哈希、日期只显示年。此外,还支持自定义脱敏算法。

  5. beeline
    中查询数据,验证是否可以正常脱敏

  6. 实验成功。当然还有很多细节有待发现,希望爱探索的你,接下来自己去探索吧。

CarsonBigData
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
数据治理(十五):Ranger管理Hive安全
Lansonli(蓝深李)的博客
04-19 4686
访问Hive有两种方式:HiveServer2和Hive Client,Hive Client需要HiveHadoop的jar包,配置环境。HiveServer2使得连接Hive的Client从Yarn和HDFS集群中独立出来,不需要每个节点都配置HiveHadoop的jar包和一系列环境。 Ranger管理Hive权限只能针对HiveServer2 jdbc方式连接,所以这里需要配置HiveServer2。...
Hive的Udf函数进行数据脱敏
01-26
udf开发–做个简单脱敏udf保留前5位,后面全部替换成*****
使用Ranger对Hive数据进行脱敏
weixin_34040079的博客
01-15 2010
Ranger支持对Hive数据的脱敏处理(Data Masking),它对select的返回结果进行脱敏处理,对用户屏蔽敏感信息。 备注:该功能针对HiveServer2的场景(如beeline/jdbc/Hue等途径执行的select),对于使用Hive Client(如hive -e 'select xxxx')不支持。 接下来介绍如何在E-MapR...
数据脱敏Hive一个函数搞定
pengpengsays
01-05 3220
数据屏蔽函数(Data Masking Functions) Hive在2.1.0版本后,支持数据屏蔽函数(Data Masking Functions),可以用于数据的快速掩码处理(脱敏)。 比如mask函数,默认会将查询回的数据,大写字母转换为X,小写字母转换为x,数字转换为n。当然也可以添加参数自定义转换的字母mask(string str[, string upper[, string lower[, string number]]]),upper定义大写字母转换,lower定义小写字母转换,nu
Apache Ranger对Hive数据脱敏-行过滤Row Filter、列屏蔽Column Masking
王佩的CSDN博客
02-26 5431
概述 Apache Ranger对Hive数据支持两种脱敏方式:行过滤Row Filter、列屏蔽Column Masking。它可对Select结果进行行列级别数据脱敏,从而达到对用户屏蔽敏感信息的目的。 注意:该功能只适用于HiveServer2使用场景(如Beeline/JDBC/Hue等途径执行的Select),对Hive Cli(如Hive -e)和直接读取Hive表的HDFS文件场景不...
自定义注解如何使用_0765-7.0.3-如何用Ranger对Hive中的列使用自定义UDF脱敏
weixin_39815879的博客
11-22 348
文档编写目的在前面的文章中介绍了用Ranger对Hive中的行进行过滤以及针对列进行脱敏,在生产环境中有时候会有脱敏条件无法满足的时候,那么就需要使用自定义的UDF来进行脱敏,本文档介绍如何在Ranger中配置使用自定义的UDF进行Hive的列脱敏。测试环境1.操作系统Redhat7.62.CDP DC7.0.33.集群已启用Kerberos4.使用root用户操作使用自定义UDF进行脱敏2.1 ...
权限管理-Ranger的介绍和使用(集成Hive)
迷雾总会解
06-15 4986
Apache Ranger是一个Hadoop平台上的全方位数据安全管理框架,它可以为整个Hadoop生态系统提供全面的安全管理。随着企业业务的拓展,企业可能在多用户环境中运行多个工作任务,这就需要一个可以对安全策略进行集中管理,配置和监控用户访问的框架。Ranger由此产生!Ranger的官网:https://ranger.apache.org/RangerUsersync作为Ranger提供的一个管理模块,可以将Linux机器上的用户和组信息同步到RangerAdmin的数据库中进行管理。
ranger对hive metastore 进行授权管理
从大数据到人工智能的博客
01-16 2435
hive standalone metastore 3.1.2可作为独立服务,作为spark、flink、presto等服务的元数据管理中心,然而在现有的hive授权方案中只有针对hiveserver2的授权,所以本文针对hive standalone metastore独立服务使用ranger对连接到hive metastore的用户进行授权访问,以解决hive standalone metastore无权限验证问题。 为了测试验证,本文所作的操作都在一台centos 7.6主机上执行。 ranger编译
Hive3.1.0结合Ranger1.1.0数据脱敏(行过滤Row-level Filter、列屏蔽Column Masking)
TT-Learning
01-14 2098
文章目录1. 概述2. 准备示例数据2.1 数据准备2.2 导入hive库3.行过滤Row-level Filter4.列屏蔽Column Masking4.1 集群未开启Kerberos 1. 概述 Ranger结合Hive组件对数据进行脱敏包括:行过滤Row Filter、列屏蔽Column Masking两种方式。只对Select操作进行行列级别数据脱敏,进而实现对用户屏蔽敏感信息。 ...
Ranger (四) --------- 安装 Ranger Hive-plugin
在森林里麋了鹿
11-03 1341
安装 Ranger Hive-plugin
HiveQL函数7—数据脱敏函数(Data Masking)
MAYIBO—BG的专栏
01-21 4506
目录1.mask(string str[, string upper[, string lower[, string number]]])2.mask_first_n(string str[, int n])3.mask_last_n(string str[, int n])4.mask_show_first_n(string str[, int n])5.mask_show_last_n(str...
ApacheRanger原理与应用实践
02-24
大数据集群最基本的就是数据以及用于计算的资源,是一个公司的宝贵财富,我们需要将它们很好管理起来,将相应的数据和资源开放给对应的用户使用,防止被窃取、被破坏等,这就涉及到大数据安全。目前我们大数据集群的...
Apache Web日志Hive实验数据
01-16
该实验数据主要用于Hive进行Apache Web日志的统计分析学习使用,数据量不是大。
Apache Hiveapache-hive-3.1.3-bin.tar.gz)
04-26
Apache Hiveapache-hive-3.1.3-bin.tar.gz、apache-hive-3.1.3-src.tar.gz)是一种分布式容错数据仓库系统,支持大规模分析,并使用 SQL 促进读取、写入和管理驻留在分布式存储中的 PB 级数据。Hive 构建在 Apache...
ranger-2.1.0-hive-plugin.tar.gz
08-09
ranger-2.1.0-hive-plugin.tar.gz
Spark 为什么比 Hive
JIE的博客
04-26 1930
由于 MapReduce 的特性,Hive 在处理大规模数据时可能会出现较高的延迟,因为它需要频繁地将数据写入和读取磁盘,Shuffle 操作会导致花费的时间代价比较大。那么在稳定性方面,Hive 优于 Spark,这是因为在 MR 任务中,数据总是按照块分片进行处理,每块数据都可以独立地读取和处理,并不需要将所有数据都加载到内存中,因此它对内存的需求远低于Spark。由于 Spark 使用的是内存计算,在处理大规模的数据时,需要足够的内存资源,否则可能会发生 OOM 或者导致计算速度非常缓慢。
hive库基本语法
2301_77836489的博客
05-02 735
hive库基本语法
hive】transform脚本
最新发布
atwdy的博客
05-05 548
和udf差不多的作用,支持用python实现。通过标准输入流从hive读取数据,内部处理完再通过标准输出流将处理结果返回给hive。实现流程上比udf要更简单灵活一些,只需要上传脚本=>add file加载到分布式缓存=>使用。
JAVA:后端框架-将servlet+jsp改为springboot+jsp需要做什么
m0_58758292的博客
04-28 1116
要将一个自定义异常,如`EasUserNotFoundException`,整合到你的Spring Boot应用程序中,你可以在服务层或控制器层使用它来处理特定的异常情况。例如,在用户查询中,如果找不到指定的用户,可以抛出这个异常。这种方法可以帮助你的应用程序更清晰地处理错误和异常情况。### 步骤 1: 定义自定义异常类(exception包)假设你已经有一个名为`EasUserNotFoundException`的异常类。
ranger自定义脱敏
07-28
Apache Ranger支持自定义脱敏算法。这意味着你可以根据自己的需求定义脱敏规则。除了Ranger提供的默认脱敏规则,你可以使用自定义脱敏算法来实现更复杂的脱敏需求。通过配置Ranger,你可以指定特定的数据库、表、字段,并定义相应的脱敏规则。这样,当用户访问这些敏感数据时,Ranger会根据你的规则对数据进行脱敏处理,以保护敏感信息的安全性。\[1\] #### 引用[.reference_title] - *1* *3* [Hive结合Apache Ranger进行数据脱敏](https://blog.csdn.net/Carson073/article/details/130216414)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [Apache Ranger对Hive数据脱敏-行过滤Row Filter、列屏蔽Column Masking](https://blog.csdn.net/wangpei1949/article/details/87928042)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值