1000字范文 > 大数据权限管理利器 - Ranger

大数据权限管理利器 - Ranger

时间：2020-07-04 06:49:56

相关推荐

大数据权限管理利器 - Ranger

1. 介绍

Ranger是HDP体系统中安全管理的重要一环。它提供了具体资源（如HBase中的具体表）权限管控、访问监控、数据加密的功能。

2. 组件介绍

2.1 整体说明

Raner是由三个部分组件：Ranger Admin 、Ranger Usersync 与Ranger plugin，它们关系如下：

在Ranger的官网中有对于这三个组件的说明

需要说明的是这三者是独立的。后面会有详细的说明

2.2 Ranger Admin

Ranger admin它包含三个部分： Web页面、Rest消息处理服务以及数据库。我们可以把它看成一个用来数据集中存储中心（所有的数据都集中存在这里，但是其它两个组件也可单独运行存在）。它的具体作用：

1. 接收UserSync进程传过来的用户、组信息。并将它们保存到MySql数据库中。需要注意：这些用户信息在配置权限策略的时候需要使用。这个很容易理解，就象领物料的时候，管理员需要登记物料的领用人，如果不是本公司的人，肯定就不会让你领了。

2. 提供创建policy策略的接口

3. 提供外部REST消息的处理接口

2.3 UserSync

UserSync是Ranger提供的一个用户信息同步接口，可以用来同步Linux用户信息与LDAP用户信息。通过配置项：

SYNC_SOURCE = LDAP/Unix

来确认是LDAP还是Unix，默认情况是同步Unix信息。对于UserSync有三点需要说明：

1. 这个同步是单向的。

就是说它只管从Unix上面的本地用户信息读取出来，然后上传到Ranger Admin上面。在其代码中也可以看到

@Overridepublic void updateSink(UserGroupSink sink) throws Throwable {isUpdateSinkSucc = true;buildUserGroupInfo(); // 此处user、group读取信息for (Map.Entry<String, List<String>> entry : user2GroupListMap.entrySet()) {String user = entry.getKey();List<String> groups = entry.getValue();try{sink.addOrUpdateUser(user, groups); //此处往ranger admin发送消息}catch (Throwable t) {LOG.error("sink.addOrUpdateUser failed with exception: " + t.getMessage()+ ", for user: " + user+ ", groups: " + groups);isUpdateSinkSucc = false;}}}

2.UserSync不是实时同步的

如果用户新创建一个用户，但是这个用户无法立即同步到Ranger中，对于这一点，咨询Ranger社区，他们的回复：

Regarding, Is there another way to sync user info automatically?
Ranger-Usersync process syncs the added users in particular time interval which is in minutes; By default it is set to 5 minutes.The property name is “SYNC_INTERVAL”. So it will sync newly added user after that interval or you have restart ranger-usersync.
You can update this value in install.properties file and run the setup.sh script to update the value in the Usersync process, after this you will have to restart ranger-usersync process.

但是从我测试结果来看并不是太理想。因为我们系统要求用户创建后，能够马上在Ranger 上面创建策略。最终我们的解决的方案是:不使用UserSync这个进程，将Ranger中的同步代码抽取出来。利用这样来做到数据同步

<dependency><groupId>org.apache.ranger</groupId><artifactId>unixusersync</artifactId><version>0.7.0</version></dependency>

3.不支持删除用户

Ranger暂时不支持通过同步或者代码的方式直接删除用户（Ranger 版本0.70）。社区里给出的解决方案：

To delete the user from Ranger database, you will have to delete the user from Ranger UI manually, as the Ranger-Usersync process will only add users to Ranger Database.

2.3 Plugin

因为我只读过Hdfs的插件代码，这里也是以HDFS的插件代码进行说明。

2.3.1 Ranger Plugin的工作流程

NameNode启动时候，会创建一个Hdfs Plugin线程，这个线程启动后就会读取配置信息

[root@ysbdh03 conf]# cat ranger-hdfs-security.xml <configuration><property><name>ranger.plugin.hdfs.policy.cache.dir</name><value>/etc/ranger/clustersz_hadoop/policycache</value></property>... ... </configuration>

在这个目录中存储的就是相应的策略文件，如果这个配置文件不存，则会往Ranger admin发送消息，同步policy信息。同步过来之后，以文件方式持外化。：

这里还需要说明的一点的就是这个文件的名称。在上图中文件名称为hdfs_clustersz_hadoop，这包含两个部分，其中hdfs对应的hdfs组件，而clustersz_hadoop就对应的Ranger中的Server，见图示:

2.同步完成后，hdfs plugin线程会每隔一段时间（30s）会往ranger admin发送一次消息，同步一次policy信息