hadooprbac_大数据权限授权管理框架:Apache Sentry和Ranger

最新推荐文章于 2024-08-07 10:31:39 发布
最新推荐文章于 2024-08-07 10:31:39 发布
阅读量408 收藏 1
点赞数
文章标签: hadooprbac
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39943000/article/details/112017033
版权

前言

本篇简单介绍一下业界流行的大数据权限管理框架Apache Sentry和Ranger。

Apache Sentry

Sentry是由Cloudera公司内部开发而来的,初衷是为了让用户能够细粒度的控制Hadoop系统中的数据(这里主要指HDFS,Hive的数据)。所以Sentry对HDFS,Hive以及同样由Cloudera开发的Impala有着很好的支持性。

Apache Ranger

Ranger则是由于另一家公司Hortonworks所主导。它同样是做细粒度的权限控制。但相比较于Sentry而言,它能支持更丰富的组件,包括于 HDFS, Hive, HBase, Yarn, Storm, Knox, Kafka, Solr and NiFi。

这两个框架在权限管理时都有运用到基于角色的访问控制原理(role-based access control,RBAC)。换句话说,当新来一个用户时,我们赋予它的是一个身份角色,然后这个用户的执行权限操作完全由统一的角色本身所允许的一些权限。基于角色的访问控制,能够大大减轻系统对于大数据量用户的直接ACL控制。

下面就简单介绍一下两种权限授权管理框架:

Sentry

Sentry的架构模型

DataEngine指的是具体的数据应用程序,这里指的是HDFS,Hive和Impala。

Plugin,Plugin程序负责和Sentry Server通信,做权限策略信息的同步。同时在Plugin程序中,包含了认证引擎模块,来做权限的验证操作。

Policy metadata,这里的matadata存储权限策略数据,对应的会需要一个外部存储db。

从另一个角度层面来看Sentry的内部结构

Sentry与Hive,HDFS,Impala等组件集成的较好, 结构图如下图所示:

从上图中,我们注意到一个细节,在HDFS里面多了一个cache层,这个是用来干嘛的呢?其实为了保持HDFS的权限与HIve的一致,NameNode的Sentry Plugin程序会定期拉取Hive的Metadata信息以及Sentry Server上的权限信息,并cache起来。这可以说也是为了性能考虑了。

另外地在Sentry Sever中,它还有audit模块,记录了所有模块的请求访问记录。

Ranger

Ranger相比较于Sentry来说,它的功能可以说更加具有通用性。这里说的通用性在于以下两点:

上层支持的应用组件更多

对于控制的资源的类型更多

第一点,前文已经提到过,第二点这里的资源就不仅仅只有文件和目录了这种了,它还可以有表,行以及列的访问控制。这些都是体现在Ranger的策略信息里面的。

Ranger的架构模型

对于具体的策略控制,由用户通过admin web ui页面进行配置。

Ranger的策略配置

对于用户的ACL控制

我们先来看最简单的,对于用户的访问控制,我们可以设置用户对于选定的路径有哪些权限,策略细节如下:

配置此策略信息后,系统会对这些用户做额外判断处理。

表的行过滤及列处理

假设我们有一以下Hive表:

Table: customer

+----+------------+-----------+--------------+---------------+----------------+

| id | name_first | name_last | addr_country | date_of_birth | phone_num |

+----+------------+-----------+--------------+---------------+----------------+

| 1 | Mackenzy | Smith | US | 1993-12-18 | 123-456-7890 |

| 2 | Sherlyn | Miller | US | 1975-03-22 | 234-567-8901 |

| 3 | Khiana | Wilson | US | 1989-08-14 | 345-678-9012 |

| 4 | Jack | Thompson | US | 1962-10-28 | 456-789-0123 |

| 5 | Audrey | Taylor | UK | 1985-01-11 | 12-3456-7890 |

| 6 | Ruford | Walker | UK | 1976-05-19 | 23-4567-8901 |

| 7 | Marta | Lloyd | UK | 1981-07-23 | 34-5678-9012 |

| 8 | Derick | Schneider | DE | 1982-04-17 | 12-345-67890 |

| 9 | Anna | Richter | DE | 1995-09-07 | 23-456-78901 |

| 10 | Raina | Graf | DE | 1999-02-06 | 34-567-89012 |

| 11 | Felix | Lee | CA | 1982-04-17 | 321-654-0987 |

| 12 | Adam | Brown | CA | 1995-09-07 | 432-765-1098 |

| 13 | Lucas | Jones | CA | 1999-02-06 | 543-876-2109 |

| 14 | Yvonne | Dupont | FR | 1982-04-17 | 01-23-45-67-89 |

| 15 | Pascal | Fournier | FR | 1995-09-07 | 23-45-67-89-01 |

| 16 | Ariel | Simon | FR | 1999-02-06 | 34-56-78-90-12 |

+----+------------+-----------+--------------+---------------+----------------+

假设此时我们执行以下查询语句,我们肯定能查到所有表数据的:

select * from cust.customer

如果此时我们加一个用户归属地的判断,每个用户只能查到它所属那个地域的数据。比如多了以下的用户关系:

+--------------+---------------+

| Group name | Users |

+--------------+---------------+

| us-employees | john,scott |

| uk-employees | mary,adam |

| de-employees | drew,alice |

+--------------+---------------+

在Ranger的页面配置效果如下图所示:

然后我们以john用户身份去查,查出的记录所属地域就只会是US上的了,不会受全部的数据了。

[john@localhost ~]$ beeline -u jdbc:hive2://localhost.localdomain:10000/cust

0: jdbc:hive2://localhost.localdomain:10000> select * from cust.customer;

+-----+-------------+------------+---------------+----------------+--------------+

| id | name_first | name_last | addr_country | date_of_birth | phone_num |

+-----+-------------+------------+---------------+----------------+--------------+

| 1 | Mackenzy | Smith | US | 1993-12-18 | 123-456-7890 |

| 2 | Sherlyn | Miller | US | 1975-03-22 | 234-567-8901 |

| 3 | Khiana | Wilson | US | 1989-08-14 | 345-678-9012 |

| 4 | Jack | Thompson | US | 1962-10-28 | 456-789-0123 |

+-----+-------------+------------+---------------+----------------+--------------+

对于列处理,Ranger支持对部分敏感字段实施遮掩处理,比如下面是对电话号码的处理

+-----+-------------+------------+---------------+----------------+--------------+

| id | name_first | name_last | addr_country | date_of_birth | phone_num |

+-----+-------------+------------+---------------+----------------+--------------+

| 1 | Mackenzy | NULL | US | 1993-01-01 | xxx-xxx-7890 |

| 2 | Sherlyn | NULL | US | 1975-01-01 | xxx-xxx-8901 |

| 3 | Khiana | NULL | US | 1989-01-01 | xxx-xxx-9012 |

+-----+-------------+------------+---------------+----------------+--------------+

Ranger的Policy的灵活性

通过的Policy策略还有许多灵活的特性,包括它还能支持基于Tag的策略控制,有了Tag后,就无需考虑组件的差别了。另外还有condition的条件的添加控制,这些也都是由管理员用户人工控制的。

同样的,Ranger Plugin程序会拉取策略数据在本地,如果说Ranger admin server临时不可用了,也不会影响策略实际的执行认证。

总结:

两个框架非常类似,真要说区别的话,Sentry在于它对于Hive等相关组件支持集成的比较好(也和这个项目本身发展初期设计决定),而Ranger在于它更通用化的支持和更加丰富的策略控制。

weixin_39943000
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
大数据权限授权管理框架Apache SentryRanger
走在前往架构师的路上
01-05 9441
文章目录前言SentryRanger的概述 前言 上篇文章后半部分提到了业界流行的大数据权限管理框架Apache SentryRanger。二者在功能上具有很高的相似性,但是在具体细节上上篇文章阐述的还不够细致。本文笔者来深入浅出地聊聊这两个框架,以及它们的少许异同点。熟悉掌握使用外部权限管理框架,并且将它们合理地应用于自身内部大数据组件系统内,无疑将会大大提高内部组件使用的安全性。 Sen...
大数据权限管理框架原理和实践.ppt
a934079371的博客
10-05 239
点击上方 "大数据肌肉猿"关注,星标一起成长点击下方链接,进入高质量学习交流群今日更新| 1052个转型案例分享-大数据交流群注:由于属于公司内部资料,本文完整PPT原件会发到朋友圈供大家学习,可以自行获取。文末有二维码,可以按需添加。如何获取?因为百度网盘链接经常失效,已经加我微信的同学,我会将该资料发到朋友圈,方便实时更新链接,大家记得及时保存。不是我好友的,可以添加下方微信,备注【权限】,...
Apache Sentry教程
最新发布
gitblog_00642的博客
08-07 482
Apache Sentry教程 sentryMirror of Apache Sentry项目地址:https://gitcode.com/gh_mirrors/sentry20/sentry 项目介绍 Apache Sentry 是一个用于大数据平台的数据访问控制解决方案,它提供了一种细粒度的权限管理机制,确保不同用户和应用程序能够安全地访问Hadoop生态系统中的数据。Sentry最初是作...
大数据权限管理-Security和hue案例操作(3)
北京小辉
07-10 2288
大数据权限管理-Security和hue案例操作(3)
大数据权限管理利器 - Ranger
热门推荐
eyoulc123的博客
03-01 2万+
1. 介绍 Ranger是HDP体系统中安全管理的重要一环。它提供了具体资源(如HBase中的具体表)权限管控、访问监控、数据加密的功能。 2. 组件介绍 2.1 整体说明 Raner是由三个部分组件:Ranger Admin 、Ranger Usersync 与Ranger plugin,它们关系如下: 在Ranger的官网中有对于这三个组件的说明 组件名称 ...
大数据权限管理-研究过程及组件介绍(1)
北京小辉
07-10 1019
目录 1、问题 2、研究过程及结果 3、组件介绍 hue介绍 Security介绍 ACLs介绍 ldap介绍 1、问题: 大数据平台中权限问题让不少架构师是头疼,大数据平台中【HIVE库】和【HDFS目录】让用户随意操作,以至于【HIVE库】和【HDFS目录】中敏感区和非敏感区得不到有效控制。 就算通过HDFS的ACL控制了,但通过程序任何用户依然操作【HIVE库】和【HDFS目录】中敏感区...
Cloudera大数据管理员指南:Sentry权限管理与安全控制
Sentry是Cloudera大数据平台中一个重要的权限管理工具,理解Sentry的基本概念和原理对于有效地使用它来管理大数据平台的权限至关重要。 #### 2.1 Sentry权限管理的核心概念 在Sentry中,有几个核心概念需要我们...
大数据技术之CM6.3.1+CDH6.3.2配置Hue+Sentry权限管理.pdf
11-23
3. 配置Sentry:配置Sentry权限管理规则,grant相应的权限给用户或应用程序。 4. 测试权限管理:测试Hue+Sentry权限管理的功能,确保权限管理规则生效。 本文档提供了CDH6.3.2配置Hue+Sentry权限管理的详细步骤和...
apache-sentry-2.1.0-src.tar.gz
07-15
Apache Sentry 是一个强大的权限管理和访问控制服务,主要应用于大数据生态系统中的数据安全性,特别是与Hadoop相关的项目。在Apache Sentry 2.1.0版本中,它提供了精细的权限控制,使得用户可以对Hive、HBase等数据...
大数据生命周期管理框架Apache Falcon简介
chihuagou0225的博客
06-20 1486
Apache Falcon是一个开源的hadoop数据生命周期管理框架, 它提供了数据源 (Feed) 的管理服务,如生命周期管理,备份,存档到云等,通过Web UI可以很容易地配置这些预定义的策略, 能够大大简化hadoop集群的数据流管理. 本文主要介绍了Falcon的基本特性, 核心概念...
大数据权限与安全
docsz的博客
06-07 3057
大数据权限与安全
大数据平台安全管理Ranger
12-15
大数据平台安全管理Ranger,Apache Ranger是一个用来在Hadoop平台上进行监控,启用服务,以及全方位数据安全访问管理的安全框架
Smartbi大数据解决方案:大型集团用户BI系统权限设计方案
ray20151303007的博客
01-27 574
1.背景需求 某连锁酒店集团使用.NET开发了一套报表分析平台,随着管理及业务发展的需要,原平台开发报表的难度较大、易用性低和数据权限管理较弱,现管理层级上需增加大区总监角色及其它数据权限控制,原平台权限体系修改工作量巨大,为了增强报表分析平台的易维护性和易开发性,集团高层决定废弃原系统,引入Smartbi作为其报表分析平台。 其中,权限管理想要达到的效果是酒店经理、店长、大区总监、经营总监和集团总部人员等不同角色的人员看到不同的数据和报表。 2.权限设计 Smartbi 具有非常完善的安全管理体系,它可
大数据安全管理框架 Ranger 原理介绍
u013332124的专栏
01-12 1万+
文章目录一、Ranger是什么二、Ranger的权限模型三、Ranger架构Ranger-adminPluginHive Plugin 授权流程四、一些思考1. 关于组件策略的缓存2. 插件类加载器的实现Java中的类加载器双亲委派类加载机制:五、总结 一、Ranger是什么 ranger大数据领域的一个集中式安全管理框架,它可以对诸如hdfs、hive、kafka、storm等组件进行细粒度的权...
权限不足_大数据平台权限实践
weixin_30969157的博客
01-13 432
背景随着数据平台数据的不断积累,越来越多的业务团队需要访问、探索、分析这些数据。但是过去由于大数据平台本身的安全控制能力不足,我们不允许业务团队直接访问相关数据,而是通过提具体的需求,由我们向业务团队提供最终的数据。这种合作方式非常低效也不灵活,到现在已经无法满足要求,为此必须要开放我们的数据平台,而开放需要基本的安全,权限就是其中重要的一环。在为大数据平台集成权限的过程中,我们遵循了以下原则:适...
大数据 Ranger
zhilinboke的博客
06-20 364
Apache Ranger™ is a framework to enable, monitor and manage comprehensive data security across the Hadoop platform作为大数据统一授权管理框架,在项目中有着很重要的作用,帮助我们更加有效的管理,开发大数据平台。...
大数据技术之Ranger
悦分享
10-08 1268
Apache Ranger是一个用来在Hadoop平台上进行监控,启用服务,以及全方位数据安全访问管理的安全框架Ranger的愿景是在Apache Hadoop生态系统中提供全面的安全管理。随着企业业务的拓展,企业可能在多用户环境中运行多个工作任务,这就要求Hadoop内的数据安全性需要扩展为同时支持多种不同的需求进行数据访问,同时还需要提供一个可以对安全策略进行集中管理,配置和监控用户访问的框架Ranger由此产生!2、Ranger目标。
SentryRanger
Sin_Geek成长の迹
11-07 1518
SentryRBAC(role-based acess control)基于角色的管理,比如Cloudera用的是Sentry,华为的FusionInsight也采用类似的机制。 即:通过创建角色,将每个组件的权限授予给此角色。然后在用户中添加此角色,即用户具备此角色访问组件的权限(组也类似) Ranger: PBAC(policy-based acess control)基于策略的管理,比如H...
CDH6.3.2配置Hue+Sentry大数据权限管理实战
本文将详细介绍如何在CDH6.3.2环境下配置Hue和Sentry,以实现大数据平台的精细权限管理和用户认证。Hue是一个Web界面,用于交互式地访问Hadoop生态系统中的多种服务,而Sentry是一个提供细粒度权限控制的开源组件,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值