cm6.2配置sentry

最新推荐文章于 2023-08-16 18:29:28 发布
最新推荐文章于 2023-08-16 18:29:28 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: sentry 文章标签: sentry
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35315256/article/details/103869525
版权

基于cloudera-manager6.2部署sentry

系统:centos 6.8

因为我是本地电脑开的几个虚拟机,为了减少内存,我把监控服务停了,报黄都可以忽略,服务器上都是正常绿色的。

 

首先开启kerberos

kerberos安装看https://blog.csdn.net/qq_35315256/article/details/103678473

根据提示一步一步进行,需要首先创建cloudera-scm/admin主体

1、添加sentry服务,根据提示一步一步添加完成

 

重要:
如果在非安全群集中启用了YARN Resource Manager HA,则在启用Kerberos之前,必须清除ZooKeeper中的StateStore znode,如下所示:

转到Cloudera Manager管理控制台主页,单击YARN服务右侧的,然后选择停止。
当您看到“ 完成”状态时,该服务已停止。
转到YARN服务,然后选择“ 操作” >“ 格式化状态存储”。
命令完成后,单击“ 关闭”。

2、修改配置

我就有以下基本的服务,没有配置任何ha,也没有zk,只是为了配置sentry

先配置hdfs

hive外部表需要在hdfs创建如下图目录,权限需要修改为hive:hive,hive的外部数据全部存到这,位置可以随便写 

然后是hive

 

然后是yarn

这里还需要设置一下最小提交用户的id,默认是1000,修改一下限制为0

参数是:min.user.id

最后是sentry

最后重启服务

 

 

到此位置,hive认证鉴权配置完成,开始验证

 

3、命令行配置hive权限

先介绍几个kerberos的基本命令

kdestroy # 注销登录
kinit admin/admin # 登陆
klist # 查看当前登陆用户

kadmin.local 登陆本地数据库

list_principals # 查看存在的主体
addprinc test/test # 增加主体

3.1、增加sentry主体,是hive管理员

addprinc hive/hive # 作为管理员,必须是这个,我这里没有写域名是因为我默认的就加了,在kerberos配置过

beeline客户端连接 

beeline -u "jdbc:hive2://node1:10000/;principal=hive/node1@HADOOP.COM"

是这样的,linux用户要和主体用户对应,例如,linux用户/用户组 对应 主体admin/admin,如果配置hue,需要也和hue用户对应.

3.1.1、给hive/hive超级管理员权限

create role admin;
grant all on server server1 to role admin;
grant role admin to group hive;

 

3.2、连接成功开始表演

show roles # 查看角色

3.2.0、创建主体

addprinc reader/reader
addprinc writer/writer

3.2.1、创建角色

create role reader;
create role writer;

3.2.2、为role赋予privilege

grant select on database testdb to role reader;
grant insert on database testdb to role writer;

3.2.3、把role授予用户组

grant role reader to group reader;
grant role writer to group writer;

3.2.4、测试

kdestroy # 注销之前用户,当然也可以直接kinit
kinit reader/reader
klist # 查看一下是不是reader用户
# 然后beeline登陆
beeline -u "jdbc:hive2://node1:10000/;principal=hive/node1@HADOOP.COM"
# 然后测试就好了

3.2.5、sentry可以控制库、表、甚至表的列。

还有简单配置的方法就是在hue中配置,网上有很多教程,可以查看一下

 

Sentry不支持Hive cli列权限管理,建议禁用Hive cli。也不支持SparkSql列权限管理

 

4、测试,本人实测

4.1、删除角色

drop role role_name; # 删除角色

4.2、把stu表的name列权限授予角色writer

grant select(name) on table test.stu to role writer;
# 这里的表前面也写上库,要不然默认是default库
# 查询的时候,写上有权限的列

4.3、查看writer角色在数据库test中的权限

show  grant role writer on database test;

4.4、查看writer角色在表stu中的权限

show grant role writer on table test.stu;

4.5、把role赋予用户reader

GRANT ROLE reader TO USER reader;

Error: Error while processing statement: FAILED: Execution Error, return code 1 from org.apache.hadoop.hive.ql.exec.DDLTask. Sentry does not allow privileges to be granted/revoked to/from: USER (state=08S01,code=1)

我的是cdh6.2 可能已经不支持授予给user了

4.6、把role赋予用户组reader

GRANT ROLE reader TO group reader;

4.7、查看用户、用户组下的权限

SHOW ROLE GRANT USER reader;
SHOW ROLE GRANT group reader;

4.8、查询某个role下的权限

SHOW GRANT ROLE writer;

4.9.1、回收某个角色对数据库的select权限

REVOKE SELECT ON DATABASE db_name FROM ROLE role_name;

4.9.2、回收writer角色对stu这张表id这个列的select权限

revoke select(id) on test.stu  from role writer;

4.9.3、回收writer组下的writer角色

revoke role writer FROM group writer;
# 语法
REVOKE ROLE role_name [, role_name]  FROM GROUP (groupName) [,GROUP (groupName)

5、常见问题

1、 

Requested user deng_yb is not whitelisted and has id 501,whichis below the minimum allowed 1000

那是因为Yarn限制了用户id小于1000的用户提交作业;

2、hdfs提交mr任务

Diagnostics: Application application_1528344974377_0009 initialization failed (exitCode=255) with output: main : command provided 0
main : run as user is hdfs
main : requested yarn user is hdfs
Requested user hdfs is banned

 

 

 

尘缘未了-
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
前端监控方案sentry整体概览
02-05
sentry监控部署方案简介,前端监控运维相关解决方案
datasette-sentry:用于配置Sentry的Datasette插件
02-14
数据集 Datasette插件,用于配置Sentry进行错误报告。 该插件不适用于当前版本的Datasette。 参见 。 安装 pip install datasette-sentry 用法 这个插件只有当您的生效metadata.json文件包含在相关顶级插件配置"datasette-sentry"配置项。 您将需要一个Sentry DSN-请参阅其“ 。 像这样将其添加到metadata.json : { " plugins " : { " datasette-sentry " : { " dsn " : " https://KEY@sentry.io/PROJECTID " } } } metadata.json中的设置对访问/-/metadata URL的任何人都是可见的,因此这是一个利用Data
sentry测试
05-19
sentry 测试!shell 脚本,涉及多维测试!
sentry 完整搭建教程
01-31
sentry 完整搭建教程
sentry.zip
02-22
Sentry安装源码,离线安装修改版。
Sentry授权的组(GROUP)来源
qq_39841823的博客
03-05 1102
趁我未失忆之前,记录过去曾经的自己 文章目录前言一、Sentry 特性二、Hadoop用户组映射实施1.CM介面设定2.Hadoop用户到组的映射总结 前言 在设定sentry 授权时, 发现错误指令Error: Error while compiling statement: FAILED: SemanticException Sentry does not allow privileges to be granted/revoked to/from: USER 。且总觉得要用户要存在在集群的每个节点
使用 Caddy 为 Sentry 配置域名 | Sentry 101 #02
Lance_Yuan24的博客
08-16 206
在上一篇文章中我们通过 Docker Compose 搭建起了一套生产级别的 Sentry 系统,但我们现在希望能够直接通过域名访问 Sentry 的管理系统。可能很多同学会想到使用 Nginx 或 Traefik 来进行反向代理,但我今天会推荐一个更加简单易用的工具 —— Caddy。这篇文章介绍了如何通过 Caddy 实现 Sentry 通过域名访问,同时也简单介绍了 Caddy 的安装与反向代理的使用方法。在下一篇会介绍 Sentry 的详细实战使用。
sentry 命令_Docker安装配置Sentry及中间遇到的坑
weixin_32018297的博客
12-06 601
用Docker神器来部署Sentry,非常简单,参考官方Sentry镜像的使用说明一步步操作即可。这里补充几点中间遇到过的坑。1、数据持久化在第2步启动Postgres容器的时候可以通过-v参数指定容器内数据目录映射到主机目录,从而使得数据能持久化保存到主机上,不至于容器损坏导致所有数据丢失。完整命令修改为如下:$ docker run -d --name sentry-postgres -e P...
Sentry安装使用(最全最细)
Jecci
04-12 3277
Sentry安装使用(最全最细,包括解决邮箱发送问题,https上传问题,https访问问题,安装此教程配置即可)
Sentry入门---其他配置
lc的大脑备份
10-16 1187
一、集成配置 对于许多平台SDK,可以与其一起配置集成。 在作为init()调用的一部分发生的某些平台上,在某些其他平台上,应用了不同的模式。 integrations 在某些SDK中,通过此参数在库初始化时配置集成。 有关更多信息,请查看特定的集成文档。 defaultIntegrations 这可用于禁用默认添加的集成。 设置为false时,不会添加默认集成。 二、钩子配置 这些...
android_sentry.rar
05-17
安卓集成sentry错误收集服务,类似于 友盟 跟 腾讯的 Bugly的第三方服务,sentry 是自己搭建的,可以自定义很多自己的需求。
sentry 权限简介
05-18
sentry 授权 hadoop设置 控制数据访问 Sentry可以控制数据访问,并对已通过验证的用户提供数据访问特权。
sanic-sentry:Sentry 集成到 sanic Web 服务器
05-30
Sanic-Sentry Sanic-Sentry -- Sentry 集成到 sanic web 服务器。 要求Python>= 3.6安装Sanic-Sentry应该使用 pip 安装: pip install sanic-sentry用法要初始化插件,您可以将“app”传递给 __init__: >> > from ...
Sentry_Setup
09-27
Sentry_Setup
sentry-module:NuxtJS的Sentry模块
04-27
@ nuxtjs /哨兵 模块 执照
docker-sentry:用于Sentry的Docker官方映像包装
04-14
已淘汰 现在,此存储库的最新内容位于下,而安装则位于。 任何问题都应在这些存储库中报告。 这是为了了解较旧的9.1版本。 关于此回购 ...如果您想使用docker-compose或尝试使用Docker进行Sentry,请转到 。
MobileIron Standalone Sentry Installation Guide
12-24
This guide provides you with the information required to install Standalone Sentry. Standalone Sentry is a component of a MobileIron deployment. A Standalone Sentry deployment requires that you have ...
sentry-wizard:Sentry项目设置向导
02-04
哨兵向导帮助您使用Sentry设置项目用法用npm或yarn安装npm install @sentry/wizard在您的项目中致电sentry-wizard ,并按照说明进行操作。选件Options: --help Show help [boolean] --version Show version number ...
环境变量SENTRY
最新发布
04-02
环境变量SENTRY是一个常用的配置项,用于设置Sentry错误监控平台的相关信息。Sentry是一个开源的实时错误追踪和日志记录平台,它可以帮助开发者及时发现和解决应用程序中的错误和异常。 通过设置环境变量SENTRY,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值