欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  网络运营

集中权限管理框架——Ranger

程序员文章站 2022-03-26 18:19:46
一、什么是RangerApache Ranger是提供集中式权限管理的框架,可以实现Hadoop生态中的HDFS、YARN、Hive、Kafka、Storm和Solr等组件进行细粒度的权限访问控制。同时提供审计功能,如日志审计,记录各个组件资料的访问信息。1、组件特性1)基于策略(Policy)的访问权限模型;2)通用的策略同步与决策逻辑,方便控制插件的扩展接入;3)内置常见系统(HDFS、YARN、HBase等)的控制插件,且可扩展;4)内置基于LDAP(轻量级目录访问协议)、...

一、什么是Ranger

集中权限管理框架——Ranger

Apache Ranger是提供集中式权限管理的框架,可以实现Hadoop生态中的HDFS、YARN、Hive、Kafka、Storm和Solr等组件进行细粒度的权限访问控制。同时提供审计功能,如日志审计,记录各个组件资料的访问信息。

1、组件特性

1)基于策略(Policy)的访问权限模型;

2)通用的策略同步与决策逻辑,方便控制插件的扩展接入;

3)内置常见系统(HDFS、YARN、HBase等)的控制插件,且可扩展;

4)内置基于LDAP(轻量级目录访问协议)、File、Unix的用户同步机制,且可扩展;

5)统一的中心化管理界面,包括策略管理、审计查看、插件管理等。

2、权限模型

访问权限描述了“用户-资源-权限”三者之间的关系,其中:

用户:由User或Group来表达访问资源的用户或用户所在用户组;

资源:由Resource来表达,不同组件对应的业务资源不一样,如HDFS的File Path,HBase的Table;

权限:由AllowACL、DenyACL表达允许和拒绝访问。

Ranger中对于访问权限模型的表达式描述为:

Service = List<Policy>

Policy = List<Resource> + AllowACL + DenyACL

AllowACL = List<AccessItem> allow + List<AccessItem> allowException

DenyACL = List<AccessItem> deny + List<AccessItem> denyException

AccessItem = List<User/Group> + List<AcessType>

由表达式可知一条Policy分为:allow、allowException、deny、denyException四组AccessItem,则优先级:denyException > deny > allowException > allow

决策下放:如果没有Policy能决策访问,一般情况认为没有权限拒绝访问,Ranger支持将决出下放给系统自身的访问控制层。

集中权限管理框架——Ranger

 

3、总体架构

 

集中权限管理框架——Ranger

Ranger Admin:创建和更新安全访问策略,这些策略被存储在数据库中,各个组件的Plugin定期对这些策略进行轮询。具体作用:

  1. 接受UserSync进程传过来的用户/组信息,并存储在MySQL数据库中。
  2. 提供创建policy策略接口
  3. 以RESTFUL形式提供策略增删改查接口,同时内置一个web管理界面。

Ranger Plugins:嵌入各个集群组件进程中,是一个轻量级的Java程序,Plugin从Ranger Admin服务端拉取策略,并存储在本地文件中,当接收到来自组件用户请求时,对应组件Plugin拦截该请求,根据安全策略进行评估。

Ranger UserSync:提供的用户同步工具,可以从Unix或LDAP中拉去用户和用户组信息,这些用户和用户组信息被存储在Ranger Admin数据库中,可以在定义策略时使用。

注:

a)UserSync同步用户是单向的;不是实时同步;不支持用户删除。

b)Ranger TagSync同步Atlas中的Tag信息,基于标签的权限管理,基于标签的权限管理,当一个用户的请求涉及到多个应用系统中的多个资源的权限时,可以通过只配置这些资源的tag方便快速的授权

c)KMS: Hadoop透明加密,Hadoop Key Management Server(KMS)是一个基于HadoopKeyProvider API编写的密钥管理服务器。

4、Kerberos与Ranger区别

Keberos与Ranger都是Hadoop安全体系中的重要部分,但是其分工不同,多数系统两种组件相互系

集中权限管理框架——Ranger

本文地址:https://blog.csdn.net/qq_25062299/article/details/108203207

相关标签: Ranger 大数据