Impala4.0集成Ranger后HDFS ACL权限导致无法插入Hive表

于 2022-06-28 13:44:41 发布
阅读量760 收藏 2
点赞数 2
文章标签: hive hdfs 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/taipei5858/article/details/125500720
版权

一、impala4.0集成ranger后无法向hive表中插入数据修改

1.问题描述

通过hive创建的表属主为当前用户,hdfs各级路径在ranger上进行赋权才可通过hive对表进行读写操作。impala集成ranger后,ranger只能管控库表等权限,impala会首先获取hdfs的acl权限进行验证,由于集成了ranger导致路径权限由ranger进行控制而不是acl,导致无法通过impala往hive创建的表里进行写入等操作。

2.解决

将返回hdfs路径acl权限代码进行修改,直接返回具有读写权限

修改fe/src/main/java/org/apache/impala/catalog/HdfsTable.java第795行代码进行修改并重新进行编译

  private static TAccessLevel getAvailableAccessLevel(String tableName,
      Path location, FsPermissionCache permCache) throws IOException {
    Preconditions.checkNotNull(location);
    FileSystem fs = location.getFileSystem(CONF);

    if (assumeReadWriteAccess(fs)) return TAccessLevel.READ_WRITE;
    while (location != null) {
      try {
        FsPermissionChecker.Permissions perms = permCache.getPermissions(location);
//注释以下内容
//        if (perms.canReadAndWrite()) {
//          return TAccessLevel.READ_WRITE;
//        } else if (perms.canRead()) {
//          return TAccessLevel.READ_ONLY;
//        } else if (perms.canWrite()) {
//          return TAccessLevel.WRITE_ONLY;
//        }
//        return TAccessLevel.NONE;
//新增下面一行
        return TAccessLevel.READ_WRITE;
      } catch (FileNotFoundException e) {
        location = location.getParent();
      }
    }

3.更改后jar包下载

链接:https://pan.baidu.com/s/1glO-l9hfAi-EwC1Ml7oU4A?pwd=iarr
提取码:iarr

4.后续改造方向:

1.当HDFS集成ranger时,impala对hdfs路径鉴权走ranger

2.当HDFS不集成ranger时,impala对hdfs路径鉴权走acl

3.通过impala创建表,在hdfs路径属主同hive为建表用户

二、ranger初始化时需要用mysql root账号改造

1.问题描述

当ranger进行初始化时,需要使用mysql root账号进行,这样在生产环境很不合理,容易造成root账号的泄漏,mysql其余数据库也会存在风险,所以需要对ranger进行改造,使其不用root账号进行初始化。

2.解决

经过代码分析,使用root账号主要进行了3个部分的工作,建库,建表,赋权。这些操作都可以让管理员事先进行完提供给我们。所以将dba_script.py中1810-1817行代码删除。

1810                         log("[I] ---------- Creating Ranger Admin db user ---------- ","info")
1811                        xa_sqlObj.create_rangerdb_user(xa_db_root_user, db_user, db_password, xa_db_root_password,dryMode)
1812                         log("[I] ---------- Creating Ranger Admin database ----------","info")
1813                        xa_sqlObj.create_db(xa_db_root_user, xa_db_root_password, db_name, db_user, db_password,dryMode)
1814                         log("[I] ---------- Granting permission to Ranger Admin db user ----------","info")
1815                        if not XA_DB_FLAVOR == "SQLA":
1816                                xa_sqlObj.grant_xa_db_user(xa_db_root_user, db_name, db_user, db_password, xa_db_root_password, is_revoke,dryMode)
1817                         # Ranger Admin DB Host AND Ranger Audit DB Host are Different OR Same

3.更改后流程

1)管理员创建ranger数据库

2)管理员创建ranger数据库的管理用户

3)管理员将ranger数据库赋予管理用户

4)ranger初始化

关注公众号,及时获取大数据干货知识

在这里插入图片描述

w3scc
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Impala 4.0集成kerberos、ranger权限管控
taipei5858的博客
06-23 1787
Impala4.0集成Ranger、Kerberos权限管控
Impala集成hive
Poppy_Evan的博客
08-31 384
https://blog.csdn.net/lukabruce/article/details/82970502
大数据】hadoop,hive无法创建格的解决方法
思南的博客
08-21 516
解决方法: (1)切到hdfs用户:sudo su hdfs (2)开启hdfs目录的权限问题: hadoop fs -chmod 777 /warehouse/tablespace/managed/hive/mydb.db
impala理论篇之七:impalahive、hbase对比(主要是impala vs hive
Allenzyg的博客
06-03 1943
1. 什么是实时分析(在线查询)系统? 大数据领域里面,实时分析(在线查询)系统是最常见的一种场景,通常用于客户投诉处理,实时数据分析,在线查询等等过。因为是查询应用,通常有以下特点: a. 时延低(秒级别)。 b. 查询条件复杂(多个维度,维度不固定),有简单(带有ID)。 c. 查询范围大(通常查询记录在几十亿级别)。 d. 返回结果数小(几十条甚至几千条)。 e. 并发数要求高(几百上千同时并发)。 f. 支持SQL(这个业界基本上达成共识了,原因是很难找到一个又会数据分析,还能写JA
Impala配置Ranger服务进行权限控制
skyyws的博客
08-14 3237
Impala目前在新版本3.4中提供了Sentry和Ranger的2种权限管控,我们这里分别介绍一下最新的使用,这里跟2.12.0的版本有所不同。
Ranger集成CDH impala3.4
qq_35741557的博客
05-28 1170
CM的impala配置如下: server-name的值为ranger-hive插件所在的节点,impala要去此节点读取策略 在启动impala时加载ranger相关文件,如xasecure-audit.xml文件等,可将hive配置文件目录的xasecure-audit.xml等文件加载到impala相关进程的配置文件目录中(所有impala节点都需修改) 如图,添加内容: 重启Impala服务 ...
cdh6.3.2编译的ranger版本
08-03
6. ranger-2.1.0-hive-plugin.tar.gz:Hive插件,允许对Hive查询和进行精细的权限控制。 7. ranger-2.1.0-usersync.tar.gz:用户同步工具,用于同步企业目录服务(如Active Directory或LDAP)中的用户和组信息到...
hive的安装与配置头歌.zip
最新发布
06-05
除了基础安装配置,还需要了解一些高级主题,如分区、桶、视图、外部Hive 与其他大数据组件的集成(如 HBase、Spark、Impala 等)以及性能优化策略。"资料必看.zip" 文件可能包含这些进阶内容,建议仔细阅读...
0741-什么是Apache Ranger – 1
01-20
它支持Apache Hive、Solr、Kafka、Impala以及HDFS(仅限于HiveHDFS数据权限同步)。在Sentry中,权限管理是通过创建角色,然后将角色映射到操作系统或活动目录(AD)组,最后再将组映射到具体用户,以此来控制...
Learn-Hadoop-and-Spark:该存储库着重于收集和制作精选列资源以免费学习Hadoop。
05-14
Hadoop分布式文件系统(HDFS:trade_mark:):一种分布式文件系统,可提供对应用程序数据的高吞吐量访问。 Hadoop YARN:用于作业调度和群集资源管理的框架。 Hadoop MapReduce:基于YARN的系统,
网易大数据平台架构实践.pptx
10-14
在数据安全和权限方面,平台采用了Ranger进行统一授权,实现了HDFSHiveImpala和Spark等组件的自动权限同步,支持列级权限控制和基于角色的访问控制。此外,Kerberos确保了秘钥管理的安全性,Ambari则提供了运维...
impala没有write权限插入数据到hiveimpala does not have write access to at least on HDFS path hdfs://...
lukabruce的博客
11-14 7634
问题: impala does not have write access to at least on HDFS path hdfs://hadoop01:9000/user/hive/warehouse/news.db/hive_test_table 解决方法: (1)可能是hdfs://hadoop01:9000/user/hive/warehouse/news.db/hive_tes...
Apache Ranger——Hadoop ACL控制工具
weixin_34354173的博客
01-17 426
本文主要通过ranger在hdfs acl中的应用以及原理介绍一下ranger的使用,另外介绍一下实际使用过程中碰到的问题。上篇文章回顾:时间服务器—NTP目前公司内部大多通过数据工场来管理hdfs上的数据,工场开发团队和hdfs、yarn的SRE同学也配合紧密。由于涉及到管理数据,那么不得不说到权限控制的问题。接触过hadoop的同学都应该了解hdfs上数据的权限类似linux中的权限,分为r、...
Ranger权限策略不生效或延迟
qq_32068809的博客
11-04 2435
最近在使用Ranger配置管理Hbase权限时候,发现虽然创建了权限策略,但是不能生效,打开Ranger审计页面时,可以看到刚修改的策略虽然更新了,但是没有生效,如图: 该页面可以看到有些策略状态存在警告,鼠标放在警告图标处可以看到提示“策略生效时间延迟超过1小时··” ,打开ranger服务日志可以看到错误: 错误说“spnego.service.keytab”文件没有读的权限,并且发现该文件为root用户所属,于是将该文件赋予666权限,再次重启ranger服务后策略正常生效,打开Range
Impala权限管理机制
热门推荐
Hello World
12-14 1万+
Impala中,权限管理的作用主要是确定某个用户是否有权限访问某些资源,用户对于这些资源具有哪种访问权限等,这里涉及到三个概念:用户,资源和权限。对于Impala 1.1之后的版本,可以直接集成Apache Sentry服务来实现Impala权限管理,由于Impala可以和hive共享元数据库,包括权限机制。 用户 在不开启权限认证的impala集群中,没有用户的概念存在了,所有访问Impala
Impala权限控制
Sin_Geek成长の迹
11-08 4434
开头 Impala因为是Cloudera出的,所以官方文档说明里只写了使用自家的Sentry方式进行权限管理,而对于Hortonworks家的Ranger只字未提,网上都是说可以通过特殊方案集成Ranger上,但是没有找到具体方案,在此也提不了了。 首先,Sentry 的使用有两种方式,一是基于文件的存储方式(SimpleFileProviderBackend),一是基于数据库的存储方式(Sim...
HDFS权限说明
坚持自己的梦想
04-08 927
HDFS文件系统权限和Linux的很类似:相对于文件: R读取文件 W写文件权限相对于目录: R示能够读取目录下的文件列 W权限名的是能够在目录下创建或者是删除文件和目录 X权限示能够从该目录进入其子目录中. T示:(暂时没找到资料)
impala调优
jmx_bigdata的博客
12-07 3145
一、分区 二、Join查询调优 优化连接查询最简单的方式是使用compute stats命令收集所有参与关联的统计信息,让impala根据每个的大小、列的非重复值个数等相关信息自动优化查询。 如果参与关联的的统计信息不可用,使用impala自动的连接顺序效率很低,可以在select关键字后使用straight_join关键字手动指定连接顺序,指定了该关键字之后,impala会使用在...
impala hive插入分区 权限问题
05-24
Impala插入分区时,需要确保当前用户拥有合适的权限。如果出现权限问题,可以尝试以下步骤: 1. 确认当前用户是否具有对分区的 INSERT 权限。 2. 如果当前用户没有足够的权限,则可以向管理员请求授予 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值