1 Ranger介绍
Apache Ranger 是一款 Hadoop 生态系统的数据安全管理框架,它提供了一个统一的数据授权和管理界面,可以对 HDFS、Yarn、Hive 等组件进行细粒度的权限访问控制。
2 Ranger鉴权体系
Ranger 鉴权体系分为三大部分
- Ranger 用户管理:由 IAM 导入 OpenLDAP 再通过 UserSync 每分钟定时同步到 Ranger Admin。
- Ranger 鉴权框架:由两大部分组成, Ranger Admin 用于管理 Policy 及监控各个组件的 plugin, Ranger Plugin 集成到各个组件里面并定时从 Ranger Admin 拉取 policy 用于服务鉴权。
- Ranger 外部存储:Ranger Admin 创建的 policy 都保持到 Database 里面,另外各个服务插件产生的 audit log 会写入到 Solr/HDFS/ES ,我们可以在 Ranger Admin 的 audit 页面上查看。
3 Ranger Admin UI 访问
3.1 进入 UI 登录界面
在当前的 EMR 中,管控平台加入了 Knox 代理的访问连接。因此用户可以通过管控平台上的 访问链接 功能进入 Ranger Admin UI 的登录界面。使用流程如下:
- 集群管理界面 -> 访问链接 -> 单击 Ranger UI 的访问链接 -> 进入 Ranger Admin UI 界面。
注意
如果链接不可单击,可按照界面提示进行以下操作:
- 访问链接需要 emr-master-1 节点的 ECS ID 实例绑定弹性公网IP。详见:绑定公网IP。
- 需要在右上角 快速配置服务端口 中,给源地址和对应端口添加白名单才可继续访问。
操作详见:访问链接。
3.2 登录Ranger Admin
登录访问流程如下:
- 获取 Ranger Admin UI 的登录密码方法:
服务列表 -> Ranger -> 服务参数 -> 在搜索框中输入 ranger_admin_password 进行搜索,获取 admin 登陆密码 :
登录成功后,进入 Ranger Admin 的管理界面。在 Ranger 管理首页可查看当前 Ranger 已集成的各服务权限管理插件,用户可通过对应插件设置更细粒度的权限,具体主要操作页面功能描述参见表1。
表1 Ranger Admin 管理界面操作入口功能描述:
入口 | 功能描述 |
---|
Access Manager | 查看当前 Ranger 已集成的各服务权限管理插件,用户可通过对应插件设置更细粒度的权限。 |
Audit | 查看 Ranger 运行及权限管控相关审计日志信息。 |
Security Zone | 配置安全区域,管理员可将各组件的资源切分为多个区域,由不同管理员为服务的指定资源设置安全策略,以便更好的管理。 |
Settings | 查看 Ranger 相关权限设置信息,例如查看用户、用户组、Role 等。 |