配置YARN队列权限由Ranger管理

已于 2022-10-24 15:39:20 修改
阅读量1.2k 收藏 2
点赞数
分类专栏: 大数据 HDP YARN 文章标签: hadoop 大数据 yarn 1024程序员节
于 2022-09-22 14:39:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jzy3711/article/details/126991479
版权
大数据 同时被 3 个专栏收录
40 篇文章 1 订阅
订阅专栏
HDP
11 篇文章 1 订阅
订阅专栏
YARN
3 篇文章 0 订阅
订阅专栏

配置YARN队列权限由Ranger管理

配置YARN队列权限由Ranger管理

背景

黑龙江项目对YARN的队列容量成功配置后,还需要对该队列的访问权限进行配置,这样就能限制其他租户使用该队列。在OCDP集群中,YARN的队列访问控制由Ranger组件完成。

问题

ranger对hdfs,hive,hbase管控都没有问题,对队列的管控要不全能访问,要不全不能访问,一定是ranger哪个地方配置不对

解决

配置

a. 在Ambari中打开Ranger配置界面(Ranger->Configs->Advanced->YARN Ranger Plugin),打开YARN Ranger Plugin。保存配置并重启受影响的组件。

图1 配置Ranger YARN Plugin

b. 在Ambari中打开YARN配置界面(YARN->Configs->Advanced->Custom ranger-yarn-security),配置属性ranger.add-yarn-authorization为false,如下图所示。这样配置的目的是禁用YARN本身的ACL权限控制,YARN队列的权限控制由Ranger统一管理。

在这里插入图片描述

图2 禁用YARN自身ACL权限控制

c. 打开Ranger界面,在Access Manager->Resource Based Policies下,选择YARN->HDP_yarn,创建新策略(Add New Policy)。配置策略名,需要设定访问控制的队列,在用户和用户组权限中选择用户,或者组,并赋予相应的权限,如下图所示。

在这里插入图片描述

图3 Ranger新增YARN权限控制

按照上述的配置完成后,即实现了Hadoop集群中多租户资源分配和调度,即:不同的租户根据各自配置的队列获取集群资源;并且对各队列的资源具有访问控制,未被授权的租户不能获取该队列的资源。

yarn队列配置

yarn.scheduler.capacity.maximum-am-resource-percent=0.2
yarn.scheduler.capacity.maximum-applications=10000
yarn.scheduler.capacity.node-locality-delay=40
yarn.scheduler.capacity.queue-mappings-override.enable=false
yarn.scheduler.capacity.resource-calculator=org.apache.hadoop.yarn.util.resource.DefaultResourceCalculator
yarn.scheduler.capacity.root.accessible-node-labels=*
yarn.scheduler.capacity.root.acl_administer_queue=*
yarn.scheduler.capacity.root.acl_submit_applications=*
yarn.scheduler.capacity.root.capacity=100
yarn.scheduler.capacity.root.default.acl_administer_queue=ocdp,oc_ai_app
yarn.scheduler.capacity.root.default.acl_submit_applications=ocdp,oc_ai_app
yarn.scheduler.capacity.root.default.capacity=10
yarn.scheduler.capacity.root.default.maximum-capacity=20
yarn.scheduler.capacity.root.default.priority=0
yarn.scheduler.capacity.root.default.state=RUNNING
yarn.scheduler.capacity.root.default.user-limit-factor=1
yarn.scheduler.capacity.root.oc_ai.acl_administer_queue=ocdp,oc_ai
yarn.scheduler.capacity.root.oc_ai.acl_submit_applications=oc_ai
yarn.scheduler.capacity.root.oc_ai.capacity=40
yarn.scheduler.capacity.root.oc_ai.maximum-capacity=70
yarn.scheduler.capacity.root.oc_ai.minimum-user-limit-percent=100
yarn.scheduler.capacity.root.oc_ai.ordering-policy=fifo
yarn.scheduler.capacity.root.oc_ai.priority=0
yarn.scheduler.capacity.root.oc_ai.state=RUNNING
yarn.scheduler.capacity.root.oc_ai.user-limit-factor=1
yarn.scheduler.capacity.root.oc_ai_app.acl_administer_queue=ocdp,oc_ai_app
yarn.scheduler.capacity.root.oc_ai_app.acl_submit_applications=oc_ai_app
yarn.scheduler.capacity.root.oc_ai_app.capacity=10
yarn.scheduler.capacity.root.oc_ai_app.maximum-capacity=70
yarn.scheduler.capacity.root.oc_ai_app.minimum-user-limit-percent=100
yarn.scheduler.capacity.root.oc_ai_app.ordering-policy=fifo
yarn.scheduler.capacity.root.oc_ai_app.priority=0
yarn.scheduler.capacity.root.oc_ai_app.state=RUNNING
yarn.scheduler.capacity.root.oc_ai_app.user-limit-factor=1
yarn.scheduler.capacity.root.oc_ai_released.acl_administer_queue=ocdp,oc_ai_released
yarn.scheduler.capacity.root.oc_ai_released.acl_submit_applications=oc_ai_released
yarn.scheduler.capacity.root.oc_ai_released.capacity=10
yarn.scheduler.capacity.root.oc_ai_released.maximum-capacity=30
yarn.scheduler.capacity.root.oc_ai_released.minimum-user-limit-percent=100
yarn.scheduler.capacity.root.oc_ai_released.ordering-policy=fifo
yarn.scheduler.capacity.root.oc_ai_released.priority=0
yarn.scheduler.capacity.root.oc_ai_released.state=RUNNING
yarn.scheduler.capacity.root.oc_ai_released.user-limit-factor=1
yarn.scheduler.capacity.root.oc_guoxin.acl_administer_queue=ocdp,oc_guoxin
yarn.scheduler.capacity.root.oc_guoxin.acl_submit_applications=oc_guoxin
yarn.scheduler.capacity.root.oc_guoxin.capacity=10
yarn.scheduler.capacity.root.oc_guoxin.maximum-capacity=30
yarn.scheduler.capacity.root.oc_guoxin.minimum-user-limit-percent=100
yarn.scheduler.capacity.root.oc_guoxin.ordering-policy=fifo
yarn.scheduler.capacity.root.oc_guoxin.priority=0
yarn.scheduler.capacity.root.oc_guoxin.state=RUNNING
yarn.scheduler.capacity.root.oc_guoxin.user-limit-factor=1
yarn.scheduler.capacity.root.oc_guoxin_normal.acl_administer_queue=ocdp,oc_guoxin_normal
yarn.scheduler.capacity.root.oc_guoxin_normal.acl_submit_applications=oc_guoxin_normal
yarn.scheduler.capacity.root.oc_guoxin_normal.capacity=10
yarn.scheduler.capacity.root.oc_guoxin_normal.maximum-capacity=15
yarn.scheduler.capacity.root.oc_guoxin_normal.minimum-user-limit-percent=100
yarn.scheduler.capacity.root.oc_guoxin_normal.ordering-policy=fifo
yarn.scheduler.capacity.root.oc_guoxin_normal.priority=0
yarn.scheduler.capacity.root.oc_guoxin_normal.state=RUNNING
yarn.scheduler.capacity.root.oc_guoxin_normal.user-limit-factor=1
yarn.scheduler.capacity.root.oc_telecom.acl_administer_queue=ocdp,oc_telecom
yarn.scheduler.capacity.root.oc_telecom.acl_submit_applications=oc_telecom
yarn.scheduler.capacity.root.oc_telecom.capacity=10
yarn.scheduler.capacity.root.oc_telecom.maximum-capacity=20
yarn.scheduler.capacity.root.oc_telecom.minimum-user-limit-percent=100
yarn.scheduler.capacity.root.oc_telecom.ordering-policy=fifo
yarn.scheduler.capacity.root.oc_telecom.priority=0
yarn.scheduler.capacity.root.oc_telecom.state=RUNNING
yarn.scheduler.capacity.root.oc_telecom.user-limit-factor=1
yarn.scheduler.capacity.root.priority=0
yarn.scheduler.capacity.root.queues=default,oc_ai,oc_ai_app,oc_ai_released,oc_guoxin,oc_guoxin_normal,oc_telecom

注意

1.图2 禁用YARN自身ACL权限控制,要关闭使权限控制完全有ranger管控

2.图3 Ranger新增YARN权限控制,ranger 队列名要使用yarn.scheduler.capacity.<root.oc_guoxin>.capacity即root.oc_guoxin或者root.default而不是 oc_guoxin或者default,否者权限管控是不生效的

jzy3711
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ranger-2.1.0-yarn-plugin.tar.gz
08-09
ranger-2.1.0-yarn-plugin.tar.gz
Apache Ranger对HDFS、HBase、Hive、Yarn授权
王佩的CSDN博客
02-24 5164
概述与安装 1. 简介 Apache Ranger是集中式的权限管理框架,可以对HDFS、HBase、Hive、Yarn等组件提供细粒度的权限访问控制,并且提供WebUI和RestAPI方便进行操作。 2. 功能 A、集中认证(Authentication)、授权(Authorization)、审计(Audit)、加密(Encryption)、安全(Security)于一体,标准化各种Hadoop...
Ranger1.2.0授权Yarn3.1.1队列
TT-Learning
10-17 1320
文章目录Ranger开启Yarn插件授权示例1.新建ranger_yarn用户2. 新建队列offline3.修改Yarn配置文件4.配置range_yarn访问hdfs的权限5.提交队列 Ranger开启Yarn插件 Ambari WebUI=>Ranger=>CONFIGS=>RANGER PLUGIN=>YARN Ranger Plugin=>ON=>重启...
Apache Ranger中Yarn插件使用问题
SeoHyunChyL的博客
08-29 2259
使用ranger可以控制用户提交作业。在搭建yarn插件之后,建立新的service的时候,填写入‘YARN REST URL ’后,点击test connection,出现了问题,页面弹出框提示无法通过该url获得队列,查看ranger-admin运行日志也没有报错。翻看底层代码后发现,ranger在对yarn的支持上只支持了capacity调度,对fair调度没有支持。 当将运行中的集
HDFS、Yarn、Hive…MRS中使用Ranger实现权限管理全栈式实践
华为云官方博客
07-15 1446
Ranger为组件提供基于PBAC的鉴权插件,供组件服务端运行,目前支持Ranger鉴权的组件有HDFS、Yarn、Hive、HBase、Kafka、Storm和Spark2x,后续会支持更多组件。
CDH大数据平台集成Apache Ranger安全管理框架解决方案
tomalun的专栏
04-13 8116
总体解决方案 基于apache Ranger开源项目源代码进行二次开发,实现支持CDH集成的Ranger安全管理系统。另外需要在CDH管理界面上配置部分参数。 本文档经过测试验证的CDH和ranger版本: CDH版本:6.3.2 Apache Ranger版本:2.0.0 一、ranger插件公共模块agent-common修改 1、配置文件处理 问题描述: C...
关于Yarn Acl 的问题
sinat_23257429的博客
08-27 431
最近在集成Ranger做权限控制,在Yarn集成Ranger时发现没有配置权限的用户也可以提交任务,感到比较迷惑,所以看了下Ranger这块的代码实现: 如下代码,ranger这里其实分了两部分 首先校验raner中的权限策略 如果有则返回 true 可以提交任务,如果没权限则会继续进行acl的校验,在acl 校验时可以参考 isAllowedByYarnAcl 代码 这里循环了yarn 配置的所有队列 ,找到当前队列或者当前队列的父队列,只要有一个满足权限就会允许提交任务: //权限检查 public
Ranger 2.0 页面权限配置图解
张伯毅的专栏
01-11 1896
一. 前言 为了记录ranger的配置,截图留念… 注意: Service Name 不是随便写的,是根据插件的名字改定义的, 注意!!! 二. HDFS 2.1. 添加服务 dfs.nameservices : master dfs.ha.namenodes.master : nn0,nn1 dfs.namenode.rpc-address.master.nn0 : server-host01:8020 dfs.namenode.rpc-address.master.nn1 : server-hos
Ranger安装部署 - 扩展组件安装
Swordfall的博客
04-20 2037
1. ranger-hdfsplugin安装 1.1 安装ranger hdfs plugin软件包 # pwd /opt/app/ranger-release-ranger-1.2.0/target # tar -zxvf ranger-1.2.0-hdfs-plugin.tar.gz 1.2修改install.properties文件 # pwd /home/redpeak...
Apache ranger 简介、原理、安装部署
关注微信公众号「Coding我不配」
08-06 3万+
Apache Ranger提供一个集中式安全管理框架, 并解决授权和审计。它可以对Hadoop生态的组件如HDFS、Yarn、Hive、Hbase等进行细粒度的数据访问控制。通过操作Ranger控制台,管理员可以轻松的通过配置策略来控制用户访问权限Ranger支持服务或组件Ranger支持的服务有HDFS、Hbase、Hive、Yarn、Strom、Kafka、Knox、Solr 等组件。
Ambari添加Ranger相关的坑
CarbonDioxide12138的博客
07-26 608
添加服务后ranger无法启动,有SSL警告 WARN: Establishing SSL connection without server's identity verification is not recommended. According to MySQL 5.5.45+, 5.6.26+ and 5.7.6+ requirements SSL connection must be established by default if explicit option isn't set. .
ranger-2.0.0-yarn-plugin.tar.gz
06-04
由于很多文章都是只有ranger的安装说明,却没有编译后的tar包,而且编译的时间有点长,编译期间会出现各种问题,导致编译不过,特此上传编译后的包,来提供大家下载
Ranger安装部署使用到的所有安装包
04-24
Ranger安装部署使用到的所有安装包,包括Ranger2.0.0的tar包,mysql 5.7.25的所有rpm安装包,mysql-java的连接jar包,3.6.1的jar包。
HDP-2.6—Ranger安装配置.doc
07-22
通过ambari搭建hdp2.6版本的集群,该集群继承ranger实现权限管理
cdh6.3.2编译的ranger版本
08-03
此软件可以直接适用于cdh6.3.2的安装和应用,ranger我们都知道,是一个权限管理工具,可以做到精细化权限管理,编译ranger的cdh6.3.2,会出现各种报错,这里提供编译好的包
tencentyun#qcloud-documents#YARN 任务队列管理1
07-25
您可以登录 YARN 自带的 YARNwebUI,登录方式为通过 EMR 提供的快捷入口,查看快捷入口请参考 软件 WebUI 入口,登录后您将看到如下图:从图
YARN监控管理与资源管理.pdf
最新发布
04-10
hadoop YARN监控管理与资源管理
kafka topic 权限控制
热门推荐
jzy3711的博客
04-20 28万+
kafka topic 权限控制 kafka官网 配置 设置权限 #查看权限 ./kafka-acls.sh --authorizer-properties zookeeper.connect=test01:2181,test02:2181,test03:2181 --list #添加权限 ./kafka-acls.sh --authorizer-properties zookeeper.co...
ambari2.7.3 安装 impala
jzy3711的博客
05-22 28万+
1.下载ambari-impala-service VERSION=`hdp-select status hadoop-client | sed 's/hadoop-client - \([0-9]\.[0-9]\).*/\1/'` sudo git clone https://github.com/cas-bigdatalab/ambari-impala-service.git /var/l...
yarn队列资源管理
08-23
Yarn 是 Apache Hadoop 生态系统中的一个资源管理器,用于在集群上有效地管理和分配资源。它可以协调和管理集群中运行的各种应用程序的资源需求。 在 Yarn 中,队列是用来对集群资源进行划分和管理的。队列可以理解为资源池,不同队列可以拥有不同的资源配额和调度策略。 Yarn 中的队列分为两种类型:根队列和子队列。根队列是最高级别的队列,而子队列则是根队列的子级。通过对队列进行层次化管理,可以实现资源的有效划分和管理队列资源管理可以通过以下几种方式进行配置: 1. 队列属性配置:可以通过配置文件或命令行参数来设置队列的属性,包括队列名称、最大资源限制、最小资源限制、调度策略等。 2. 队列优先级:可以为每个队列设置优先级,以确保高优先级的应用程序能够获取更多的资源。 3. 队列配额:可以为每个队列设置资源配额,限制队列可以使用的资源数量。这样可以确保不同队列之间的资源分配是公平和均衡的。 4. 队列调度策略:Yarn 提供了多种调度策略,如先进先出、公平调度、容量调度等。可以根据实际需求选择合适的调度策略来满足不同应用程序的资源需求。 通过合理的队列资源管理,可以实现集群资源的高效利用和应用程序的公平调度,从而提高集群的整体性能和资源利用率。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值