Spark Job Server 权限管理系统详解
项目地址: https://gitcode.com/gh_mirrors/sp/spark-jobserver 概述
Spark Job Server 提供了一套完整的权限管理系统,用于控制用户对分布式计算资源的访问。该系统支持细粒度的权限控制,能够有效保护敏感数据和计算资源,是企业级部署的关键功能。
权限体系架构
核心权限类型
Spark Job Server 定义了四大类核心权限,每类权限都包含细分的操作权限:
权限层次结构表
| 主权限 | 子权限 | 标识符 | 功能描述 |
|---|---|---|---|
| BINARIES | BINARIES_READ | binaries:read | 读取二进制文件信息 |
| BINARIES_UPLOAD | binaries:upload | 上传二进制文件 | |
| BINARIES_DELETE | binaries:delete | 删除二进制文件 | |
| CONTEXTS | CONTEXTS_READ | contexts:read | 读取上下文信息 |
| CONTEXTS_START | contexts:start | 启动新上下文 | |
| CONTEXTS_DELETE | contexts:delete | 删除上下文 | |
| CONTEXTS_RESET | contexts:reset | 重置上下文 | |
| DATA | DATA_READ | data:read | 读取数据文件 |
| DATA_UPLOAD | data:upload | 上传数据文件 | |
| DATA_DELETE | data:delete | 删除数据文件 | |
| DATA_RESET | data:reset | 重置数据存储 | |
| JOBS | JOBS_READ | jobs:read | 读取作业信息 |
| JOBS_START | jobs:start | 启动作业 | |
| JOBS_DELETE | jobs:delete | 删除作业 |
认证机制实现
核心认证类
class AuthInfo(val user: User, val abilities: Set[Permission] = Set(ALLOW_ALL)) {
def hasPermission(permission: Permission): Boolean = {
abilities.contains(ALLOW_ALL) ||
abilities.contains(permission) ||
permission.parent.exists(abilities.contains)
}
}
权限检查逻辑遵循三级验证:
- 用户拥有
ALLOW_ALL权限(超级用户) - 用户拥有具体的操作权限
- 用户拥有父级权限(继承权限)
认证提供者架构
Spark Job Server 支持多种认证提供者:
| 提供者类 | 功能描述 | 适用场景 |
|---|---|---|
AllowAllAccessControl | 无认证模式 | 开发和测试环境 |
ShiroAccessControl | Apache Shiro 集成 | 生产环境用户管理 |
KeycloakAccessControl | Keycloak 集成 | 企业级单点登录 |
LdapGroupRealm | LDAP 集成 | 企业目录服务 |
配置详解
基本认证配置
access-control {
provider = "spark.jobserver.auth.ShiroAccessControl"
auth-timeout = 10s
use-cache = true
shiro {
config.path = "/path/to/shiro.ini"
use-as-proxy-user = true
}
}
Shiro 配置文件示例
[users]
admin = adminpassword, *
datascientist = ds123, contexts:read,jobs:start,data:read
developer = dev456, binaries:upload,contexts:start,jobs:start
[roles]
admin = *
datascientist = contexts:read,jobs:start,data:read
developer = binaries:upload,contexts:start,jobs:start
API 端点权限映射
二进制文件管理端点
上下文管理端点
| HTTP 方法 | 端点 | 所需权限 | 功能描述 |
|---|---|---|---|
| GET | /contexts | contexts:read | 获取所有上下文列表 |
| GET | /contexts/<name> | contexts:read | 获取特定上下文信息 |
| POST | /contexts/<name> | contexts:start | 创建新上下文 |
| DELETE | /contexts/<name> | contexts:delete | 删除上下文 |
| PUT | /contexts?reset=reboot | contexts:reset | 重置所有上下文 |
数据管理端点
// DataRoutes.scala 中的权限检查实现
def dataRoutes(dataManager: ActorRef, authInfo: AuthInfo) = {
(get & authorize(authInfo.hasPermission(DATA_READ))) { ctx =>
// 处理数据读取请求
}
(post & authorize(authInfo.hasPermission(DATA_UPLOAD))) {
// 处理数据上传请求
}
(delete & authorize(authInfo.hasPermission(DATA_DELETE))) {
// 处理数据删除请求
}
}
作业管理端点
| 操作类型 | 端点格式 | 权限要求 | 业务功能 |
|---|---|---|---|
| 查询作业 | GET /jobs | jobs:read | 获取作业列表 |
| 作业详情 | GET /jobs/<id> | jobs:read | 查看作业详情 |
| 配置查看 | GET /jobs/<id>/config | jobs:read | 查看作业配置 |
| 启动作业 | POST /jobs | jobs:start | 提交新作业 |
| 删除作业 | DELETE /jobs/<id> | jobs:delete | 终止作业 |
代理用户功能
Spark Job Server 支持代理用户模式,允许认证用户作为代理用户执行操作:
def determineProxyUser(contextConfig: Config,
authInfo: AuthInfo,
contextName: String): (String, Config) = {
if (config.hasPath("access-control.shiro.use-as-proxy-user") &&
config.getBoolean("access-control.shiro.use-as-proxy-user")) {
val proxyUser = SparkJobUtils.userNamePrefix(authInfo.toString) + contextName
(proxyUser, config.withValue("proxy-user",
ConfigValueFactory.fromAnyRef(authInfo.toString)))
} else {
(contextName, config)
}
}
无权限保护端点
以下端点不需要权限验证:
GET /healthz- 健康检查端点GET /- Web UI 根目录GET /html/*- Web UI 静态资源
最佳实践
1. 权限分配策略
2. 生产环境配置建议
# 生产环境推荐配置
access-control {
provider = "spark.jobserver.auth.ShiroAccessControl"
auth-timeout = 30s
use-cache = true
shiro {
config.path = "/etc/spark-jobserver/shiro.ini"
use-as-proxy-user = true
}
# 缓存配置
cache {
max-capacity = 1000
initial-capacity = 100
time-to-live = 1h
time-to-idle = 30m
}
}
3. 监控和日志
启用详细的权限审计日志:
class SJSAccessControl extends {
protected val logger = LoggerFactory.getLogger(getClass)
def authenticate(credentials: BasicHttpCredentials): Option[AuthInfo] = {
logger.debug(s"Authentication attempt for user: ${credentials.username}")
// 认证逻辑
}
}
故障排除
常见问题及解决方案
| 问题现象 | 可能原因 | 解决方案 |
|---|---|---|
| 认证超时 | 网络延迟或认证服务响应慢 | 增加 auth-timeout 配置值 |
| 权限不足 | 用户缺少所需权限 | 检查 Shiro 配置中的角色分配 |
| 缓存失效 | 缓存配置不当 | 调整缓存策略或禁用缓存 |
| 代理用户失败 | 代理用户配置错误 | 检查 use-as-proxy-user 配置 |
总结
Spark Job Server 的权限管理系统提供了企业级的安全保障,通过细粒度的权限控制和灵活的认证集成,能够满足各种生产环境的安全需求。合理的权限规划和配置是确保系统安全稳定运行的关键。
通过本文的详细解析,您应该能够:
- 理解 Spark Job Server 的权限体系架构
- 配置适合自己环境的认证机制
- 实现精细化的权限控制策略
- 排查和解决权限相关的常见问题
正确配置和使用权限管理系统,将为您的 Spark 作业调度平台提供坚实的安全基础。
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
