Sentry技术实践V1.0

最新推荐文章于 2024-05-29 09:38:58 发布
最新推荐文章于 2024-05-29 09:38:58 发布
阅读量248 收藏
点赞数
分类专栏: # 大数据_权限管理 文章标签: 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37067752/article/details/107864421
版权

文章目录

1 Sentry概述

cdh版本的hadoop在对数据安全上的处理通常采用Kerberos+Sentry的结构。
kerberos主要负责平台用户的用户认证,sentry则负责数据的权限管理。

1.1 Sentry是什么

Apache Sentry是Cloudera公司发布的一个Hadoop开源组件,它提供了细粒度级、基于角色的授权以及多租户的管理模式。
Sentry提供了对Hadoop集群上经过身份验证的用户和应用程序的数据控制和强制执行精确级别权限的功能。Sentry目前可以与Apache Hive,Hive Metastore / HCatalog,Apache Solr,Impala和HDFS(仅限于Hive表数据)一起使用。
Sentry旨在成为Hadoop组件的可插拔授权引擎。它允许自定义授权规则以验证用户或应用程序对Hadoop资源的访问请求。Sentry是高度模块化的,可以支持Hadoop中各种数据模型的授权。
在这里插入图片描述

1.2 Sentry中的角色

在这里插入图片描述

2 Sentry安装部署

2.1 添加Sentry服务

在这里插入图片描述

2.2 自定义Sentry角色分配

在这里插入图片描述

2.3 配置数据库连接

在这里插入图片描述

2.4 成功完成Sentry的服务添加

在这里插入图片描述

3 Sentry与Hive/Impala集成

3.1 修改配置参数

(1)取消HiveServer2用户模拟
在hive配置项中搜索“HiveServer2 启用模拟”,取消勾选
在这里插入图片描述
(2)确保hive用户能够提交MR任务
在yarn配置项中搜索“允许的系统用户”,确保包含“hive”。
在这里插入图片描述

3.2 配置Hive使用Sentry

(1)在Hive配置项中搜索“启用数据库中的存储通知”,勾选。
在这里插入图片描述

(2)在Hive配置项中搜索“Sentry”,勾选Sentry。
在这里插入图片描述

3.3 配置Impala使用Sentry

在Impala配置项中搜索“Sentry”,勾选。
在这里插入图片描述

3.4 配置HDFS权限与Sentry同步

1)在HDFS配置项中搜索“启用访问控制列表”,勾选。
在这里插入图片描述
2)在HDFS配置项中搜索“启用 Sentry 同步”,做出下图修改。
在这里插入图片描述

4 Sentry授权实践

使用Sentry进行授权管理,需要使用Sentry的管理员用户对其他用户进行授权,授权的方式有两种,一是通过HUE进行可视化操作,一是使用HIVE中的授权语句进行操作。

4.1 Sentry实践之HUE

1)配置HUE支持Sentry
在HUE配置项中搜索“Sentry”,勾选Sentry。
在这里插入图片描述

2)查看Sentry权限管理中的管理员组。
在Sentry的配置项中搜索“管理员组”,其中包括hive、impala,只有当某用户所属组位于其中时,才可为其他用户授予权限。
在这里插入图片描述

3)在Hive集群所有节点创建两个用户reader,writer,为权限测试做准备。

[root@hadoop102 ~]# useradd reader
[root@hadoop102 ~]# passwd reader

[root@hadoop102 ~]# useradd writer
[root@hadoop102 ~]# passwd writer

4)使用hive用户登录HUE,创建两个用户组reader、writer,并在两个用户组下创建两个用户reader、writer,为权限测试做准备。
在这里插入图片描述

5)Sentry工作界面(需要授予HUE用户访问Sentry的权限)
在这里插入图片描述在这里插入图片描述
6)点击Roles按钮,并点击添加按钮
在这里插入图片描述
7)编辑Role
admin_role(首先为hive用户添加管理员权限)
在这里插入图片描述
reader_role
在这里插入图片描述

writer_role
在这里插入图片描述

8)权限测试
(1)分别使用reader和writer用户登录HUE
(2)查询gmall数据库中的任意一张表,发现只有reader用户可查出,而writer则不能。说明权限控制生效。
reader用户
在这里插入图片描述
writer用户
在这里插入图片描述

4.2 Sentry实践之命令行

1)在Hive集群所有节点创建两个用户reader_cmd,writer_cmd

[root@hadoop102 ~]# useradd reader_cmd
[root@hadoop102 ~]# passwd reader_cmd

[root@hadoop102 ~]# useradd writer_cmd
[root@hadoop102 ~]# passwd writer_cmd

2)使用Sentry管理员用户hive通过beeline客户端连接HiveServer2

[root@hadoop102 ~]# kinit -kt /var/lib/hive/hive.keytab hive/hive@HADOOP.COM
[root@hadoop102 ~]# beeline -u "jdbc:hive2://hadoop102:10000/;principal=hive/hadoop102@HADOOP.COM"

3)创建Role(reader_role_cmd,writer_role_cmd)

create role reader_role_cmd;
create role writer_role_cmd;

4)为role赋予privilege

GRANT select ON DATABASE gmall TO ROLE reader_role_cmd;
GRANT insert ON DATABASE gmall TO ROLE writer_role_cmd;

5)将role授予用户组

GRANT ROLE reader_role_cmd TO GROUP reader_cmd;
GRANT ROLE writer_role_cmd TO GROUP writer_cmd;

6)查看权限授予情况
(a)查看所有role(管理员)

SHOW ROLES;

(b)查看指定用户组的role(管理员)

SHOW ROLE GRANT GROUP reader_cmd;

(c)查看当前认证用户的role

SHOW CURRENT ROLES;

(d)查看指定ROLE的具体权限(管理员)

SHOW GRANT ROLE reader_role_cmd;

7)权限测试
(a)为reader_cmd、writer_cmd创建Kerberos主体

[root@hadoop102 ~]# kadmin.local -q "addprinc reader_cmd/reader_cmd@HADOOP.COM"
[root@hadoop102 ~]# kadmin.local -q "addprinc writer_cmd/writer_cmd@HADOOP.COM"

(b)使用reader_cmd登录HiveServer2,查询gmall库下的任意一张表

[root@hadoop102 ~]# kinit reader_cmd/reader_cmd@HADOOP.COM
[root@hadoop102 ~]# beeline -u "jdbc:hive2://hadoop102:10000/;principal=hive/hadoop102@HADOOP.COM"

(c)使用writer_cmd登录HiveServer2,查询gmall库下的任意一张表

[root@hadoop102 ~]# kinit writer_cmd/writer_cmd@HADOOP.COM
[root@hadoop102 ~]# beeline -u "jdbc:hive2://hadoop102:10000/;principal=hive/hadoop102@HADOOP.COM"

(d)查询结果
reader_cmd有对于gmall表的查询权限,而writer_cmd没有。说明授权生效。

陈舟的舟
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CDH5.15启用kerberos+Sentry手册_v1.0.docx
04-10
《CDH5.15启用kerberos+Sentry手册》详细解读 在大数据处理环境中,确保数据的安全性至关重要。CDH(Cloudera Distribution Including Apache Hadoop)作为一款流行的大数据平台,提供了强大的安全机制,包括...
前端错误监控警报系统Sentry(哨兵)私有化部署手札
林中路
08-30 4693
1.What —— sentry 是什么 它是一个前端错误监控警报系统。 对于一个前端应用,即使经过开发自测——>前端团队内部评审——>测试团队测试后,仍然无法完全避免线上出现的错误,比如网络请求错误、前端逻辑异常等。 sentry 可以监控前端应用的线上运行,当用户在使用应用的过程中遇到应用报错时(有时页面可能没反应,但报错会在控制台出现),它可以及时将错误信息上报给sentry的服务端程序,服务端程序可以通过开发者自定义的方式(比如,邮件、钉钉等)及时向开发者报警,并给出详细的错误信息。 当
hue与sentry的授权
weixin_50344742的博客
06-30 424
cdh配置 https://www.cnblogs.com/hongfeng2019/p/11558158.html 可以去这个网站看这几篇文章,便于理解,但有些是错误和我们用不到的。 在cdh添加sentry服务(我这里装好了直接添加即可,想了解建库授权可以去看上面的博客) 我这用不到网关,选择哪个主机看你选择,一般选择第一台 需要注意的是这里得数据库名称都是sentry相关,用户是sentry不是root,密码也是sentry的密码 按步骤往下即可。 配置HDFS开启ACLs与sentry权限同
docker搭建sentry
最新发布
PASSERYFFF的博客
05-29 1940
docker搭建sentry
sentry使用实践
mark's technic world
03-15 3265
1.前言 目前我主要负责的是公司的营销活动类项目,基本都是直接面向用户端的,并且JS也没有如后端一样有完善的日志系统,因此线上的各种bug都非常难以迅速定位。在加入错误日志收集前,每次报告bug都要劳烦用户协助开发人员进行bug定位,这一方面对用户极不友好,同时也加大了Bug定位的难度;因此我们需要一个工具来帮我们收集错误信息,如接口报错,dom报错以及语法错误等等。下面我就介绍一下sentry...
CDH Hue中的sentry增加创建角色按钮
程志伟的博客
03-02 660
关注微信公共号:小程在线 关注CSDN博客:程志伟的博客 hue添加Sentry之后没有角色分配的权限。 No privileges found for the selected item hue的管理员用户是root。 解决方法: Sentry中的sentry.service.admin.group增加hue的管理员用户root。 添加新的组root,并且将root用户添加在root组中,名称一定要保持一致。 此时就可以增加权限分配了。 原理: ..
sentry 命令_安装和配置Sentry-阿里云开发者社区
weixin_39984442的博客
12-20 549
本文主要记录安装和配置Sentry的过程,关于Sentry的介绍,请参考Apache Sentry架构介绍。1. 环境说明系统环境:操作系统:CentOs 6.6Hadoop版本:CDH5.4运行用户:root这里,我参考使用yum安装CDH Hadoop集群一文搭建了一个测试集群,并选择cdh1节点来安装sentry服务。2. 安装在cdh1节点上运行下面命令查看Sentry的相关组件有哪些:$...
Sentry 入门实战
实事求是,艰苦奋斗,小小的梦想,终将实现。
03-09 201
Sentry 是一个开源的实时错误追踪系统,可以帮助开发者实时监控并修复异常问题。它主要专注于持续集成、提高效率并且提升用户体验。Sentry 分为服务端和客户端 SDK,前者可以直接使用它家提供的在线服务,也可以本地自行搭建;后者提供了对多种主流语言和框架的支持,包括 React、Angular、Node、Django、RoR、PHP、Laravel、Android、.NET、JAVA 等。同时它可提供了和其他流行服务集成的方案,例如 GitHub、GitLab、bitbuck、heroku、slack、
sentry-1.0-RC37.zip
10-11
【标题】"sentry-1.0-RC37.zip" 涉及的主要知识点是 Sentry,这是一个开源错误跟踪系统,常用于Web应用程序中的错误监控。Sentry允许开发者捕获、记录并处理运行时出现的各种错误,从而提高软件的稳定性和用户体验。...
Ultra Sentry v4.0 SN
09-03
在深入探讨Ultra Sentry v4.0这一主题时,我们首先需要理解其背景与核心功能,以便全面掌握这一软件工具在IT领域中的应用价值与技术特性。 ### Ultra Sentry v4.0简介 Ultra Sentry v4.0是一款先进的系统监控与...
前端监控方案sentry整体概览
02-05
### 前端监控方案Sentry整体概览 #### Sentry 介绍 ##### 编写目的 随着互联网应用的快速发展,用户对于网站或应用程序的稳定性和响应速度有着越来越高的要求。前端作为用户直接接触的部分,其运行状态的好坏直接...
Sentry 的搭建与使用(手动配置客户端,并非官网推荐)
BingHongChaZuoAn的专栏
09-09 6091
官网教程: Docker搭建项目的文档:https://docs.sentry.io/server/installation/docker/ Python搭建项目的文档:https://docs.sentry.io/server/installation/python/ 但是这两种有时候不好用。可以参考下,下面的教程实用一点。 看到网上好多教程都是说搭建的,很少讲使用的。首先我要跟你们ga...
sentry的搭建和使用
一条宝鱼的专栏
08-04 3666
Sentry 简介(https://sentry.io) Sentry是一个开源应用程序监控平台,可帮助您实时识别问题。支持 web 前后端、移动应用以及游戏,支持 Python、OC、Java、Go、Node、Django、RoR 等主流编程语言和框架 ,还提供了 GitHub、Slack、Trello 等常见开发工具的集成。 Sentry 服务支持多用户、多团队、多应用管理,每个应用都对应一个 PROJECT_ID,以及用于身份认证的 PUBLIC_KEY 和 SECRET_KEY。由此组成一个这样
Sentry安装使用(最全最细)
Jecci
04-12 4188
Sentry安装使用(最全最细,包括解决邮箱发送问题,https上传问题,https访问问题,安装此教程配置即可)
Docker搭建Sentry
qq_35323561的博客
09-09 4627
sentry是一款错误日志收集平台,可以将代码错误信息进行收集。平常我们开发完成以后,发现问题的手段仅自测-》测试人员-》最后市场反馈。一般我们收到市场反馈的时候已经产生了事故,作为一个合格的程序猿,如果默默等着市场提问题肯定是不够滴!sentry就非常贴心的帮助我们收集了所有的错误异常(注意不是日志!)还能点进这个异常查看原始代码(基本都能定位到代码的哪一行),这样我们就能主动发现问题,然后结合我们的日志,排查问题。是不是很优雅?还能收集部份其他信息!
Sentry 是一个开源的错误监控和日志聚合平台-- 通过docker-compose 安装Sentry
Penk的博客
09-01 3326
Sentry 是一个开源的错误监控和日志聚合平台,用于帮助开发团队实时监控和调试应用程序中的错误和异常。它可以捕获应用程序中的错误和异常,并提供详细的错误报告,包括错误堆栈跟踪、环境信息、用户信息等。这些报告可以帮助开发团队快速定位和解决问题,提高应用程序的稳定性和可靠性。Sentry 提供了广泛的集成和支持,可以与各种编程语言和框架集成,包括 Python、JavaScript、Java、Ruby、PHP 等。
SentrySentry安装
九师兄
10-25 1015
Sentry安装 使用Cloudera Manager来安装,非常简单,需要注意的是安装前要在/opt/cloudera/parcels/CDH-5.8.0-1.cdh5.8.0.p0.42/jars目录下放入MySQL的驱动包。
centos7 下通过docker安装sentry
y15737197520的博客
11-30 465
centos7 下通过docker安装sentry
Sentry产品指南之用户管理
lc的大脑备份
10-26 1760
Sentry的成员资格在组织层面处理。系统的设计使每个用户都有一个单一的帐户,可以在多个组织(甚至那些使用SSO的组织)中重复使用。 Sentry的每个用户都应拥有自己的帐户,然后除了接收事件通知外,还可以设置自己的个人偏好。 一、角色 对组织的访问权限取决于角色。您的角色范围限定为整个组织。 角色包括: Owner Manager Admin Member Billing 二...
Sentry前端监控详解:安装、配置与异常处理
"前端监控方案sentry整体概览" 本文将详细介绍Sentry——一个开源的实时异常收集、追踪和监控系统,特别关注其在前端运维中的应用。Sentry提供了丰富的SDK,支持多种编程语言,允许开发者上报错误信息,包括版本...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值