Apach Ranger 0.6 使用中的那些坑

最新推荐文章于 2024-04-16 16:57:23 发布
最新推荐文章于 2024-04-16 16:57:23 发布
阅读量3.8k 收藏 2
点赞数
分类专栏: 分布式系统 文章标签: Ranger Hadoop Hive 数据安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qwemicheal/article/details/53159927
版权

公司需要增加对hdfs集群数据安全的控制,组里有人提出apach ranger可以完成数据动态模糊和hdfs目录,hive表的动态访问控制,因此尝试了下apach ranger相关的功能,并碰到了不少坑。

Ranger 是hortonworks收购XA后开源出来的项目,现在还属于项目孵化阶段,用的人不多,国内只找到两篇安装指南,第一篇写的比较详细,针对的是ranger 0.5版本,我就是参照这个安装指南安装的,第二篇比较简略,但是针对的是最新的ranger 0.6版本。

国外的用户也基本集中在hortonwork推出的平台工具上,而国内使用horton works工具平台的应该不多,所以相关文档稀少。

本文主要记录我在试用ranger 0.5和ranger 0.6的过程中遇到的坑,不再赘述安装过程。

  • 一.兼容性
    刚开始使用的时候,由于官方的安装指南还是基于ranger 0.5的,所以我首先下载编译的是ranger 0.5版本,由于maven服务器连接缓慢,所以编译时常time out。后来尝试使用proxychains连ss可以加快很多下载速度。

  • 1. hadoop版本的问题
    ranger官方声明只支持hadoop 2.7版本,在配置中,同样的设置使用hadoop 2.6.3,ranger的hdfs plugin并不能正常工作,在将hadoop更新到hadoop 2.7.2启动后,hdfs plugin 才可以正常工作。

  • 2. hive版本的问题
    在ranger 0.5的官方指南中,声明只支持hive 1.2,但是在编译ranger 0.6的过程中,maven依赖包下载的都是hive 2.1的包,实际使用过程中,ranger 0.6配合hive 1.2并不能正常使用,只有使用hive 2.0 或者hive 2.1 才能正常使用。

    ranger的特色数据动态模糊,分行授权访问是基于hiveserver2实现的,因此只能对beeline下的访问起作用,而对使用hive cli访问hive数据库起不到控制作用。

  • ranger 0.6和ranger 0.5的区别
    除了加入hive数据动态模糊,分行授权,ranger 0.6的一大变化还在于不再支持使用mysql记录资源访授权案历史,而是只支持solr。

  • 3. Sparksql访问hive表的问题
    Sparksql默认是不受Ranger的权限控制影响的。
    在Ranger 邮件组中有用户提到使用Ranger控制Sparksql权限的方法
    尝试之后发现,使用sparksql读取hive表的时候,并不通过hiveserver2,spark会从metastore中取得部分信息,然后直接去hdfs中读取表的源文件。而Ranger对hive表做的所有权限控制都是基于hiveserver2的,因此Ranger中的权限控制只有hdfs 控制能起作用,这是一个很大的遗憾,不能对Saprksql读取的hive表使用Ranger 提供的动态模糊和分行授权的功能很可惜。

  • 二.测试过程中遇到的一些坑

  • 1.hdfs audit log不显示的问题
    刚开始使用ranger 0.5的时候,发现使用hadoop用户访问ranger 控制的目录,不会留下记录,一度以为是ranger 没起作用,实际是因为hadoop是启动hdfs namenode的superuser,不受ranger acl或者hadoop acl控制,自然也不会留下audit history。

  • 2.hive 动态模糊不起作用,分行授权无效
    刚开始使用ranger 0.6时发现,dynamic masking选择不了,如下图,选择框完全就是空的。在换了不同机器分别编译了ranger 0.6.1 和0.6.2版本发现同样的问题依然存在。
    这里写图片描述

    最后发现是ranger设置的mysql数据库中的一张表x_datamask_type_def为空,因此加载不出来选择框中应该有的值。

    由于数据库是开始测试ranger 0.5时就配置的,在使用ranger 0.6的时候并没有清楚原有的数据,可能导致了数据库初始化的过程中出现了问题。

    在删除数据库并重建之后,hive的动态模糊和分行授权才可以正常运行。

  • 3.hdfs audit log记录地点
    ranger 0.6开始,所有hdfs,hive等组件访问记录都不再支持mysql储存数据,而是改为储存数据在solr,但是按照下面的设置分别配置hdfs和hive plugin中的install.property文件后,只有hive的audit log出现在了web界面,hdfs的log还是记在了mysql里面。
    XAAUDIT.SOLR.ENABLE=true
    XAAUDIT.SOLR.URL=http://10.104.90.40:6083/solr/ranger_audits
    XAAUDIT.SOLR.USER=ranger_solr
    XAAUDIT.SOLR.PASSWORD=NONE
    XAAUDIT.SOLR.ZOOKEEPER=NONE
    XAAUDIT.SOLR.FILE_SPOOL_DIR=/var/log/hive/audit/solr/spool

  • 总结
    由于文档稀少,官方文档也有很多地方落后与版本更新,社区支援不足,ranger作为一个孵化中的开源项目使用是存在诸多问题的,希望本文记录下来的踩坑经历可以帮助更多的人。

使用ranger 0.6过程中其他的参考网址:

https://cwiki.apache.org/confluence/display/RANGER/Row-level+filtering+and+column-masking+using+Apache+Ranger+policies+in+Apache+Hive
https://cwiki.apache.org/confluence/display/RANGER/Hive+Commands+to+Ranger+Permission+Mapping
https://community.hortonworks.com/articles/59582/create-dynamic-row-level-filter-in-ranger.html
https://docs.hortonworks.com/HDPDocuments/HDP2/HDP-2.3.6/bk_installing_manually_book/content/enabling_audit_logging_hdfs_solr.html

qwemicheal
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
apache-ranger-2.1.0
09-02
Apache Ranger 是一个强大的安全框架,主要用于管理大数据生态系统的访问控制和数据治理。在这个"apache-ranger-2.1.0"的压缩包,包含了多个子文件,它们各自服务于Ranger的不同组件,使得用户能够方便地部署和...
Apache Ranger 2.4.0 编译管理包
06-13
Apache Ranger 是一个强大的安全框架,主要用于管理大数据生态系统的访问控制和数据治理。它提供了一种心化的策略管理系统,可以应用于多种不同的数据存储和服务,如Hadoop、Kafka、Hive、HBase等。Ranger 2.4.0...
APACHE RANGER 调研----2.ranger hdfs 测试
wangwenting2016的博客
12-24 4315
1.创建linux 用户 和 组 2.ranger hdfs 测试 > image2016-12-5 16:33:13.png" src="http://wiki.baifendian.com/download/attachments/13512082/image2016-12-5%2016%3A33%3A13.png?version=1&modificationDate=14809267
使用apache ranger控制hdfs权限,对组设置访问权限不起作用的解决
join_null的博客
02-15 2840
问题:      在rangerhdfs控制策略对组mygroup授权访问/my目录可读、可写、可执行。并将/my目录的用户组已经改为mygroup。但是以mygroup组的用户test用户使用hadoop fs -mkdir /mygroup/test1命令创建目录,还是提示无权限。ramger审计日志显示被hadoop-acl权限执行器拒绝。后查看ranger的hdfs插件日志发现。是...
权限管理Ranger详解
Shawn的个人博客
04-16 1298
Apache Ranger是一个Hadoop平台上的全方位数据安全管理框架,它可以为整个Hadoop生态系统提供全面的安全管理。随着企业业务的拓展,企业可能在多用户环境运行多个工作任务,这就需要一个可以对安全策略进行集管理,配置和监控用户访问的框架。Ranger由此产生RangerUsersync作为Ranger提供的一个管理模块,可以将Linux机器上的用户和组信息同步到RangerAdmin的数据库进行管理Ranger Hive-plugin是Ranger对hive进行权限管理的插件。
ranger对hive metastore 进行授权管理
从大数据到人工智能的博客
01-16 2584
hive standalone metastore 3.1.2可作为独立服务,作为spark、flink、presto等服务的元数据管理心,然而在现有的hive授权方案只有针对hiveserver2的授权,所以本文针对hive standalone metastore独立服务使用ranger对连接到hive metastore的用户进行授权访问,以解决hive standalone metastore无权限验证问题。 为了测试验证,本文所作的操作都在一台centos 7.6主机上执行。 ranger编译
Ranger权限策略不生效或延迟
qq_32068809的博客
11-04 2380
最近在使用Ranger配置管理Hbase权限时候,发现虽然创建了权限策略,但是不能生效,打开Ranger审计页面时,可以看到刚修改的策略虽然更新了,但是没有生效,如图: 该页面可以看到有些策略状态存在警告,鼠标放在警告图标处可以看到提示“策略生效时间延迟超过1小时··” ,打开ranger服务日志可以看到错误: 错误说“spnego.service.keytab”文件没有读的权限,并且发现该文件为root用户所属,于是将该文件赋予666权限,再次重启ranger服务后策略正常生效,打开Range
Ranger1.2.1+LDAP bug fix
那年夏天110的博客
08-31 675
说明:ranger1.2.1 在集成LDAP使用过程发现用户数据同步参数不生效,排查发现是一个bug。 ranger.usersync.sleeptimeinmillisbetweensynccycle 默认是3600000 1h同步一次。实际生产不能满足。 在ambari页面修改也不能生效。排查ranger日志发现并没有生效。 具体可见 https://issues.apache.org/jira/browse/RANGER-681 ugsync/src/main/java/org/apac..
ApacheRanger原理与应用实践
02-24
大数据集群最基本的就是数据以及用于计算的资源,是一个公司的宝贵财富,我们需要将它们很好管理起来,将相应的数据和资源开放给对应的用户使用,防止被窃取、被破坏等,这就涉及到大数据安全。目前我们大数据集群的...
Apache Ranger原理与应用实践
01-26
大数据集群最基本的就是数据以及用于计算的资源,是一个公司的宝贵财富,我们需要将它们很好管理起来,将相应的数据和资源开放给对应的用户使用,防止被窃取、被破坏等,这就涉及到大数据安全
Apache Ranger 2.4.0 编译插件包
06-13
ranger-tools.tar.gz presto-plugin.tar.gz ozone-plugin.tar.gz migration-util.tar.gz kylin-plugin.tar.gz knox-plugin.tar.gz kms.tar.gz kafka-plugin.tar.gz hive-plugin.tar.gz hdfs-plugin.tar.gz hbase-...
提高数据的安全性和可控性,数栈基于 Ranger 实现的 Spark SQL 权限控制实践之路
a958014226的博客
05-17 638
Ranger 添加一个新服务的权限校验可分为两部分:第一部分是为 Ranger 增加新服务模块;第二部分是在新服务增加 Ranger权限校验插件。● Ranger 增加新服务模块Ranger 增加新服务模块是在 Ranger Admin Web UI 界面增加对应服务模块,用来为对应服务添加对应资源的授权策略。
Ranger 和 Ranger Audit 审计功能模块介绍
康师傅没有眼泪
07-11 5211
目录 一、Ranger 介绍 1、Ranger概念 2、权限模型 二、Ranger Aduit审计功能模块详解 1、Ambari Ranger config 2、Ranger Audit 功能模块介绍 一、Ranger 介绍 1、Ranger概念 Ranger 使用了一种基于属性的方法定义和强制实施安全策略。当与 Apache Hadoop 的数据治理解决方案和元数据仓储组件Apache Atlas一起使用时,它可以定义一种基于标签的安全服务,通过使用标签对文件和数据资产进行分类,并
HDFS加密存储(Ranger集成KMS方式)
qq_44530691的博客
04-18 3628
hdfs透明加密、Ranger集成KMS服务、Hadoop KMS
Ranger之基于标记的服务和策略 (七)
m0_48187193的博客
03-15 1096
基于标记的服务和策略 Ranger允许您创建基于标记的服务,并向这些服务添加访问策略。 添加基于标记的服务 如何向Ranger添加基于标记的服务。 关于这个任务 您可以使用Service Manager for Tag-Based Policies创建基于标签的服务,并添加可应用于Hadoop资源的基于标签的访问策略。使用基于标记的策略可以控制跨多个Hadoop组件对资源的访问,而无需在每个组件创建单独的服务和策略。您还可以使用Ranger TagSync将Ranger标记存储与外部元数据服务(如Apac
ranger,hivehdfs的三者的权限管理
m0_37759590的博客
06-26 691
ranger,hivehdfs的三者的权限管理
Ranger之配置策略 (四)(2)
m0_48187193的博客
03-12 1161
配置基于资源策略:Hive 如何向已有的Hive服务添加新策略。 过程 .在“服务管理器”界面,选择已存在的Hive服务。 出现“策略列表”页面。 单击“添加新策略”。 系统显示“创建策略”页面。 按照如下步骤完成“创建策略”页面: 表一 策略细节 字段 描述 Policy Name 输入适当的策略名称。此名称不能在系统重复。该字段为必填项。缺省情况下,该策略已启用。 normal/override 允许您指定覆盖策略。选择“覆盖”时,策略的访问权限将覆盖已有策略的访问权限。
android studio项目实例
最新发布
07-12
android studio项目实例 Android studio音乐播放器 项目名称:音乐播放器 开发环境必看:不然打开文件会报错,一定要安装相匹配的Gradle版本和SDK 操作系统:Windows 10 开发工具:JDK1.8 Android Studio 4.2.1 API版本: Android API 28 SDK版本:28.0.3 Gradle版本:5.6.4 实现功能:登陆注册界面/暂停/播放/下一曲/上一曲/歌手信息分类 项目图片: 项目源代码 Activity_main.xml文件 <?xml version="1.0" encoding="utf-8"?> <LinearLayout xmlns:android="http://schemas.android.com/apk/res/android" xmlns:app="http://schemas.android.com/apk/res-auto" xmlns:tools="http://schemas.android.com/tools" android:layout_width="
基于51单片机的温度控制系统设计报告
07-12
详细介绍了基于51单片机的温度控制系统,包含设计的原理图,程序框图,能够有效提供参考
ranger api 大全
03-08
ranger api 大全

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值