【sentry 到 ranger 系列】sentry 的开篇

最新推荐文章于 2024-05-07 22:18:11 发布
最新推荐文章于 2024-05-07 22:18:11 发布
阅读量932 收藏 19
点赞数 19
分类专栏: # 从 sentry 到 ranger 不得不知道的事儿 文章标签: sentry 大数据 hive
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45232029/article/details/135190173
版权

目录

前言

  这是系列的第一篇

1、Sentry 架构概述

1.1、Sentry 的权限模型

权限模型
  Sentry 是基于角色的权限模型,权限都挂在 role 上,一个 group 可以有多个 role,一个 user 可以有多个 group,也就是多对多对多对多~ 这部分就不展开细讲了,网上有很多具体的使用案例可以参考

1.2、Sentry 架构图

  一图胜千言( ̄︶ ̄)↗ (应该没那么难看吧)
在这里插入图片描述
  其中蓝色部分为 Sentry 的服务或者插件实现。

1.2、架构剖析

  其实理解 Sentry 的架构和原理笔者认为就是三块儿,一块儿是 Sentry 怎么获取权限数据,第二块儿是 Sentry 是怎么处理数据的,第三块儿是 Sentry 怎么提供鉴权能力的。其中第二点,在本片中会涉及得少一点,因为笔者认为一上来就花很多精力细说 Sentry 内部的内容,其实是没有什么感觉的,反而不如先从 Sentry 进行交互的组件了解到 Sentry 做了哪些事情,然后带有目标性地去了解 Sentry 内部哪一部分是做什么事情的,会更符合笔者的思考方式一点。所以本篇和下一篇,对 Sentry 内部的实现细节都会一笔带过,在后续的篇章里再展开(或者说一篇太长了,写起来太累了哈哈哈哈哈哈狗😸)。
  要说第一点,就得先聊一下 Hive 作为元数据管理角色的地位。哪怕是现在比较流行的数据湖的概念,如 Hudi、Paimon等,大部分的使用场景也是用的 Hive Metastore(以下简称 HMS)来进行元数据管理,而 Sentry 内置的同步元数据功能也是和 Hive 进行深度绑定的。所以其实 Sentry 做的事情就是把 Hive 管理的元数据信息,同步到自己的数据库进行管理,和其他相关的信息如用户、用户组、所拥有的权限等维护映射关系。
  那另一块儿就是 Sentry 提供鉴权的能力。如前面所说,Sentry 已经有了自己的权限数据。然后 Sentry 就可以以接口地形式向外提供权限查询的能力。谁来查,当然就是上图的中各类组件的插件了。Sentry 通过提供各类插件,可插拔地对相关组件地权限进行管理。

2、Sentry 如何收集权限信息

  权限信息的增删改,要么是通过 sql 赋权语句,要么是用过编码 API 的方式来进行管理,来源途径不重要,Sentry 总能够获取到权限数据。怎么办到的呢,在上图中可以看到,在 Hive 内部有 2 处 Sentry 的实现在被动向 Sentry 推送数据,还有一个 Sentry 内部的 HMSFollower 在主动拉数据。

2.1、HMSFollower

  Sentry Server 启动时会启动一个 HMSFollower 主动和 HMS 进行交互

// SentryService
private void runServer() throws Exception {

	startSentryStoreCleaner(conf);
	startHMSFollower(conf);
	...
}

  这个 HMSFllower 可以简单理解成一个线程不断的请求 HMS 的 get_next_notification 接口,签名如下:

public NotificationEventResponse get_next_notification(NotificationEventRequest rqst) throws org.apache.thrift.TExcetion;

  所以这个接口是本身 HMS 就提供好的,是提供给外部系统获取库表等变更信息。要把这一块儿说清楚,其实得先说一下 Hive 这块儿本身的设计。
  都知道 Hive 的 Mysql 库里面存储了关于库表的信息,其实还有专门用来给 get_next_notification 准备的增量权限变更信息日志表。
在这里插入图片描述
  可以看到,这里面记录了增量的变更元数据,涉及的类型在 Hive EventType 定义中可见

public abstract class HCatEventMessage {

/**
* Enumeration of all supported types of Metastore operations.
*/
	public static enum EventType {
	
		CREATE_DATABASE(HCatConstants.HCAT_CREATE_DATABASE_EVENT),
		DROP_DATABASE(HCatConstants.HCAT_DROP_DATABASE_EVENT),
		CREATE_TABLE(HCatConstants.HCAT_CREATE_TABLE_EVENT),
		DROP_TABLE(HCatConstants.HCAT_DROP_TABLE_EVENT),
		ADD_PARTITION(HCatConstants.HCAT_ADD_PARTITION_EVENT),
		DROP_PARTITION(HCatConstants.HCAT_DROP_PARTITION_EVENT),
		ALTER_TABLE(HCatConstants.HCAT_ALTER_TABLE_EVENT),
		ALTER_PARTITION(HCatConstants.HCAT_ALTER_PARTITION_EVENT),
		INSERT(HCatConstants.HCAT_INSERT_EVENT),
		CREATE_FUNCTION(HCatConstants.HCAT_CREATE_FUNCTION_EVENT),
		DROP_FUNCTION(HCatConstants.HCAT_DROP_FUNCTION_EVENT),
		CREATE_INDEX(HCatConstants.HCAT_CREATE_INDEX_EVENT),
		DROP_INDEX(HCatConstants.HCAT_DROP_INDEX_EVENT),
		ALTER_INDEX(HCatConstants.HCAT_ALTER_INDEX_EVENT);
		...

  而第二列的 eventId 就是关键,在 get_next_notification 的 NotificationEventRequest 中,就携带了上次同步的最大 eventId,HMS 只需要从数据库里查出比参数 eventId 大的变更事件日志就可以了,具体逻辑在 Hive ObjectStore 中可以看到,这里 Sentry 是使用了 Datanucleus 框架的 API。

public NotificationEventResponse getNextNotification(NotificationEventRequest rqst) {
	boolean commited = false;
	Query query = null;
	
	NotificationEventResponse result = new NotificationEventResponse();
	result.setEvents(new ArrayList<NotificationEvent>());
	try {
		openTransaction();
		long lastEvent = rqst.getLastEvent();
		query = pm.newQuery(MNotificationLog.class, "eventId > lastEvent");	// 就这里
		query.declareParameters("java.lang.Long lastEvent");
		query.setOrdering("eventId ascending");
		Collection<MNotificationLog> events = (Collection) query.execute(lastEvent);
		commited = commitTransaction();
		if (events == null) {
			return result;
		}
		Iterator<MNotificationLog> i = events.iterator();
		int maxEvents = rqst.getMaxEvents() > 0 ? rqst.getMaxEvents() : Integer.MAX_VALUE;
		int numEvents = 0;
		while (i.hasNext() && numEvents++ < maxEvents) {
			result.addToEvents(translateDbToThrift(i.next()));
		}
		return result;
	}
	...

  然后 Sentry 接收到这些信息后解析后进行对应事件的处理,逻辑其实都比较简单。以一次 drop table 的事件为例,原先赋予在这张表上的角色权限,就得都删掉,因为表都不存在了,自然就不应该维护表的权限了。

2.2、SentryHiveAuthorizationTaskFactoryImply

  然后我们再来聊一下这个 SentryHiveAuthorizationTaskFactoryImply,它其实是实现了 HiveAuthorizationTaskFactory 接口,取代了默认的 HiveAuthorizationTaskFactoryImply。从这个名字能看出来是一个工厂类,作用是在解析 sql 的时候,生成对应 sql 的 org.apache.hadoop.hive.ql.exec.Task。实际要起作用的,就是对赋权有关的语句进行拦截,然后通知 Sentry 执行对应的赋权操作。以一个赋权语句 grant xxx on xx.xx to role xx 为例,SentryHiveAuthorizationTaskFactoryImply 就会创建出 Task 的子类 SentryGrantRevokeTask,其实例对象在执行的时候,就会调 processGrantDDL,最终调到 Sentry 客户端的 alter_Sentry_role_grant_privilege 方法,签名如下:

public TAlterSentryRoleGrantPrivilegeResponse alter_Sentry_role_grant_privilege(TAlterSentryRoleGrantPrivilegeRequest request) throws org.apache.thrift.TException;

  TAlterSentryRoleGrantPrivilegeRequest 里面包含了这条赋权的所有信息,那么 Sentry server收到消息后要做的事情也很简单,就是将角色和权限的映射关系持久化到数据库中,对应的表为 sentry_role_db_privilege_map

2.3、SentryMetaStorePostEventListener

  我们知道,Hive 的 Server2 和 HMS 是可以独立部署的,如果有的消息直接走的 HMS,那么前面的 SentryHiveAuthorizationTaskFactoryImply 可能就捕获不到了,但是,无论怎么样,这些数据必然都会经过 HMS,所以只要在 HMS 这一层做了拦截,那肯定就会万无一失了,所以 SentryMetaStorePostEventListener 就是在做这样的事。
  SentryMetaStorePostEventListener 是 Hive MetaStorePostEventListener 的子类,从名字可以看出来,是 HMS 本身基于监听器模式提供的扩展点。post 关键字说明了,在每一次 HMS 自己处理 event 之前,SentryMetaStorePostEventListener 就会先一步拦截执行相关操作,这部分的逻辑其实和上面的 SentryHiveAuthorizationTaskFactoryImply 类似,都是最终调到 Sentry 客户端对应事件的接口。

  这里顺便提一嘴,这个拓展点可以做的事情有很多,比如元数据采集,就可以自定义一个 listener 来拦截。

3、Sentry 如何提供鉴权能力

  接下来在下一篇博客中会选择几个比较典型的插件的实现,进行实现原理的剖析,就不放在一起了,不然篇幅过长(也许是害怕没墨汁了😼)。先简单聊一下实现原理和使用方式。

3.1、实现原理

  首先必须得说,得益于各个数据组件自身的可插件设计,本身提供了各自的拓展点,才能让各类权限插件能一展身手,无侵入,可插拔式地管理好整个权限生态。
  Sentry 本身提供了不少的组件插件,比如 Hive、HBase、Kafka、Solr、HDSF,虽然没有提供其他比较热门的框架比如 Spark、Presto 等,但其实都有对应的开源实现,也基本属于可以直接开箱即用。
  Sentry 的插件入口,通常是实现了各个组件提供的接口类,各个组件会有一个默认实现,那 Sentry 通过自己的实现类,和 Sentry 服务进行通信,获取到插件正在进行的鉴权动作所需要的权限信息,就能实现鉴权。

3.2、使用方式

  一般来讲,使用玩法通常都差不多,准备好插件包到类路径下,然后修改组件的配置项,把各自组件提供鉴权的拓展点的配置项改为 Sentry 插件里提供的类名,配置信息里还添加上 Sentry 服务的 ip 和端口。重启组件服务后,就会读取配置文件里面的全类名,通过反射的方式加载插件到内存中,按照实现逻辑提供鉴权服务。
  Sentry 对外以 Thrift 的方式暴露接口,插件的 Sentry 客户端就能拿到权限数据。暗示一下这里就和后续会讲到的平滑迁移 Ranger 有关了。

  拜拜ヾ(•ω•`)o~

猫语大数据
关注
  • 19
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
专栏目录
Sentry基本原理
.... 永远年轻,永远热泪盈眶
11-08 6193
官方文档:sentry官网 Sentry基本介绍 Sentry 是一个实时事件日志记录和汇集的平台。其专注于错误监控以及提取一切事后处理所需信息而不依赖于麻烦的用户反馈。它分为客户端和服务端,客户端(目前客户端有Python, PHP,C#, Ruby等多种语言)就嵌入在你的应用程序中间,程序出现异常就向服务端发送消息,服务端将消息记录到数据库中并提供一个web页方便查看。 Sentry由pyth...
大数据权限授权管理框架:Apache SentryRanger
走在前往架构师的路上
01-05 9303
文章目录前言SentryRanger的概述 前言 上篇文章后半部分提到了业界流行的大数据权限管理框架Apache SentryRanger。二者在功能上具有很高的相似性,但是在具体细节上上篇文章阐述的还不够细致。本文笔者来深入浅出地聊聊这两个框架,以及它们的少许异同点。熟悉掌握使用外部权限管理框架,并且将它们合理地应用于自身内部大数据组件系统内,无疑将会大大提高内部组件使用的安全性。 Sen...
大数据权限管理框架:Apache SentryRanger
Sunny的专栏
04-11 806
一、简介 Apache SentrySentry是由Cloudera公司内部开发而来的,初衷是为了让用户能够细粒度的控制Hadoop系统中的数据(这里主要指HDFS,Hive的数据)。所以Sentry对HDFS,Hive以及同样由Cloudera开发的Impala有着很好的支持性。 Apache Ranger: Ranger则是由于另一家公司Hortonworks所主导。它同样是做细粒度的权限控制。但相比较于Sentry而言,它能支持更丰富的组件,包括于 HDFS, Hive, HBase, Yar
初识Sentry前端监控
最新发布
2401_84150102的博客
05-07 238
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数初中级Android工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Web前端开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Android开发知识点!
Apache Sentry架构介绍
约瑟夫的杂货店
10-25 791
转载自JavaChen Blog,作者:JavaChen本文链接地址:http://blog.javachen.com/2015/04/29/apache-sentry-architecture.html 参考文献:开源大数据治理与安全软件综述 介绍 Apache Sentry是Cloudera公司发布的一个Hadoop开源组件,截止目前还是Apache的孵化项目,它提供了细粒度...
Ranger学习——基础概念
02-23
大数据最基本就是数据以及用于计算的资源,需要将相应的数据和资源开放给对应的用户使用,以防被窃取、被破坏造成损失,这个就涉及大数据安全。主流的大数据安全组件Kerberos由于使用临时的用户验证机制不适用用户多的情况、Sentry只适用少部分的Hadoop生态组件应用场景少。ApacheRanger作为标准化的访问控制层,引入统一的权限模型与管理界面,极大地简化了数据权限的管理,统一的权限管理降低了学习成本,非常易于使用。ApacheRanger:一个用于在整个Hadoop平台上使用,用来监视和管理全面的数据安全性的框架。主要是提供一个集中式安全管理框架,并解决授权和审计问题。特点:集中式安全管
Apache sentry架构分析-(与hive、hdfs集成)
张伟的专栏
08-26 843
Apache sentry架构分析-(与hive、hdfs集成) 本文链接:https://blog.csdn.net/hongtaq156136/article/details/88035573 前言 Apache Sentry是Cloudera公司发布的一个Hadoop开源组件,它提供了细粒度级、基于角色的授权以及多租户的管理模式。类似的安全管理框架还有Hortonworks公司开源的Apache Ranger。 通过引进Sentry,Hadoop目前可在以下方面满足企业和政府用户的RBAC
sentryranger 系列】一、SentryHive 鉴权插件
weixin_45232029的博客
01-12 1368
代码走读 + 图文并茂,直击 SentryHive 鉴权插件灵魂深处
大数据安全:Ranger与Sentry使用区别
周源的专栏
11-22 9026
近期在研究大数据安全领域,从使用形式上简单来说: Sentry:RBAC(role-based acess control)基于角色的管理,比如Cloudera用的是Sentry,华为的FusionInsight也采用类似的机制。 即:通过创建角色,将每个组件的权限授予给此角色。然后在用户中添加此角色,即用户具备此角色访问组件的权限(组也类似) Ranger: PBAC(policy
sanic-sentry:Sentry 集成到 sanic Web 服务器
05-30
Sanic-Sentry Sanic-Sentry -- Sentry 集成到 sanic web 服务器。 要求Python>= 3.6安装Sanic-Sentry应该使用 pip 安装: pip install sanic-sentry用法要初始化插件,您可以将“app”传递给 __init__: >> > from ...
sentry-module:NuxtJS的Sentry模块
04-27
`@nuxtjs/sentry`模块是NuxtJS社区为集成Sentry到Nuxt应用中提供的官方解决方案。 ### Sentry 概述 Sentry是一个强大的错误追踪服务,它能够实时监控和记录你的应用程序中的错误。通过提供详细的堆栈跟踪、用户反馈...
sentry.zip
02-22
在给定的“sentry.zip”压缩包中,包含的资源是针对Sentry的离线安装版本,这尤其适用于那些无法连接到互联网或希望在本地环境中部署Sentry的用户。 首先,我们来看“onpremise.tar.gz”文件。这个文件通常包含了...
前端监控方案sentry整体概览
02-05
sentry监控部署方案简介,前端监控运维相关解决方案
sentry 完整搭建教程
01-31
sentry 完整搭建教程
学习 sentry 源码架构,打造属于自己的前端异常监控平台
画漫画的程序员∙苏南
03-19 927
点击上方“IT平头哥联盟”,选择“置顶或者星标”你的关注意义重大!前言这是学习源码整体架构第四篇。整体架构这词语好像有点大,姑且就算是源码整体结构吧,主要就是学习是代码整体结构,不深究其他...
微服务架构统一异常监控Sentry
uuqaz的博客
03-17 2345
1、sentry[1] sentry是一个跨平台的错误监控和搜集的异常上报监控系统。sentry主要用于实时监控的应用服务,收集相关应用服务在运行状态时出现的异常或者错误日志信息,并且sentry会通过自身集成的通知渠道将错误信息推送给维护人员。 sentry收集到的异常或者错误日志,会在告警规则的匹配下,第一时间让维护人员接收到服务运行的异常信息,便于快速定位问题以及解决问题。 sentry支持绝大多数的语言以及框架,使用相对便捷。 2、sentry特点 优点: 产品体验好,功能完善。 接入
SentryRanger
Sin_Geek成长の迹
11-07 1506
Sentry:RBAC(role-based acess control)基于角色的管理,比如Cloudera用的是Sentry,华为的FusionInsight也采用类似的机制。 即:通过创建角色,将每个组件的权限授予给此角色。然后在用户中添加此角色,即用户具备此角色访问组件的权限(组也类似) Ranger: PBAC(policy-based acess control)基于策略的管理,比如H...
大数据平台安全策略(Kerberos,Sentry,Ranger)
gaofeng的博客
03-22 3616
近些年来大数据所用到的的安全方案主要有如下三种 Kerberos(业界常用的服务认证) Sentry(Cloudera选用的方案,cdh版本集成) Ranger(Hortonworks选用的方案,hdp发行版集成) Kerberos Kerberos只能控制你是否能访问服务,不能控制到很细的粒度 比如说,它可以控制你访问hive与否,但是对于hive的表没有用户级别的权限控制没有实现(需要集成...
学习 sentry 源码整体架构,打造属于自己的前端异常监控SDK
u012384510的博客
11-01 1274
前言这是学习源码整体架构第四篇。整体架构这词语好像有点大,姑且就算是源码整体结构吧,主要就是学习是代码整体结构,不深究其他不是主线的具体函数的实现。文章学习的是打包整合后的代码,不是实际...
SentryRanger具体如何使用
06-01
SentryRanger是CDH中常用的细粒度授权管理工具,下面分别介绍它们的使用方法: 1. Sentry的使用 (1)安装和配置Sentry 首先需要在CDH集群中安装和配置Sentry服务。具体安装和配置步骤可以参考CDH文档中的说明。 (2)创建角色和授权 可以使用Sentry提供的命令行工具或Web界面来创建角色和授权。例如,以下命令可以创建一个名为“finance_analyst”的角色,并将其授权访问表“my_table”: ``` $ sentry --command create-role --role finance_analyst $ sentry --command grant --role finance_analyst --privilege "server=server1->db=my_database->table=my_table->action=select" ``` (3)验证授权 创建角色和授权之后,可以使用授权用户的身份来验证授权是否生效。例如,可以使用以下命令来验证用户“user1”是否可以访问表“my_table”: ``` $ beeline -u jdbc:hive2://localhost:10000 -n user1 -e "select * from my_table" ``` 2. Ranger的使用 (1)安装和配置Ranger 首先需要在CDH集群中安装和配置Ranger服务。具体安装和配置步骤可以参考CDH文档中的说明。 (2)创建策略和条件 可以使用Ranger提供的Web界面来创建策略和条件。例如,可以创建一个策略,仅允许特定用户访问表“my_table”。在创建策略时,可以指定访问条件,例如“user=user1”。 (3)验证授权 创建策略之后,可以使用授权用户的身份来验证授权是否生效。例如,可以使用以下命令来验证用户“user1”是否可以访问表“my_table”: ``` $ beeline -u jdbc:hive2://localhost:10000 -n user1 -e "select * from my_table" ``` 综上所述,SentryRanger的使用方法都比较简单,可以根据实际需求选择合适的工具来管理Hive数据表的访问权限。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

猫语大数据

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值