trino与ranger集成

最新推荐文章于 2025-06-12 11:12:04 发布
最新推荐文章于 2025-06-12 11:12:04 发布
阅读量3.2k 收藏 6
点赞数 3
CC 4.0 BY-SA版权
分类专栏: 大数据 文章标签: ranger trino
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/memoordit/article/details/124726013
本文详细介绍了如何将trino与ranger进行集成,包括trino的配置步骤、ranger的配置以及在集成过程中遇到的问题和解决方案,如ranger admin UI未显示trino插件、trino启动后无法看到ranger插件日志、策略下载失败等问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

集成

trino配置

  1. 将编译后的ranger-trino插件包拷贝到Trino的coordinator节点,然后解压。

  2. 修改install.properties文件:

    # ranger admin url
POLICY_MGR_URL=http://nn23.fff.com:6080/
REPOSITORY_NAME=trinodev
# 审计日志根据需要
# trino 安装目录
COMPONENT_INSTALL_DIR_NAME=/apps/trino-server-378
XAAUDIT.SUMMARY.ENABLE=false

  3. 运行enable-trino-plugin.sh

  4. 查看trino安装目录的etc目录下面多了一些与ranger有关的配置

    -rw-r--r-- 1 root root   168 May 11 14:33 access-control.properties
-rw-r--r-- 1 root root  7529 May 11 14:33 core-site.xml
-rw-r--r-- 1 root root   509 May 11 11:15 log4j.properties
-rw-r--r-- 1 root root   166 Apr 29 15:49 node.properties
-rw-r--r-- 1 root root  2236 May 11 14:02 ranger-policymgr-ssl.xml
-rw-r--r-- 1 root root    67 May 10 10:58 ranger-security.xml
-rw-r--r-- 1 root root 13912 May 10 10:57 ranger-trino-audit.xml
-rw-r--r-- 1 root root  2237 May 11 14:18 ranger-policymgr-ssl.xml
-rw-r--r-- 1 root root  3160 May 10 10:55 ranger-trino-security.xml

  5. 修改ranger-policymgr-ssl.xml的文件名:

    mv ranger-policymgr-ssl.xml ranger-trino-policymgr-ssl.xml

  6. 由于ranger集成了kerberos,所以需要修改access-control.properties增加安全配置

    access-control.name=ranger
ranger.hadoop_config=core-site.xml
ranger.keytab=/etc/security/keytabs/trino.service.keytab
ranger.principal=trino/trino34.fff.com@FFF.COM
ranger.use_ugi=true

  7. 启动trino

ranger配置

Service Name : 一定要与trino插件安装时install.properteis文件中的REPOSITORY_NAME一致
Username: 生成默认策略的超级用户
policy.download.auth.users: 如果开启了kerberos认证,则要与access-control.properties的principal一致

这个服务连接不通也没有关系,只是在新建策略的时候不能自动补全。

问题

ranger admin ui页面没有集成trino插件

  1. 在ranger的/agents-common/src/main/resources/service-defs路径下找到ranger-servicedef-trino.json文件。

  2. 输入curl -u admin:password -X POST -H "Accept: application/json" -H "Content-Type: application/json" -d @ranger-servicedef-trino.json "http://nn23.fff.com:6080/service/public/v2/api/servicedef"将trino定义的策略,上传到ranger admin的服务器中,登录就可以查看到多出了trino选项。

trino启动后无法看到ranger插件日志

在trino安装目录的etc目录下创建log4j.properties文件:

# Configure logging for testing: optionally with log file
log4j.rootLogger=debug, stdout
​
log4j.appender.stdout=org.apache.log4j.ConsoleAppender
log4j.appender.stdout.layout=org.apache.log4j.PatternLayout
log4j.appender.stdout.layout.ConversionPattern=%d %p [%c] - %m%n
​
​

trino无法从ranger下载策略

ranger admin日志报错:

Request failed. loginId=null, logMessage=Unauthenticated access not allowed

从日志上看,是匿名访问未认证通过。

通过阅读源码发现:

org.apache.ranger.authorization.trino.authorizer.TrinoRangerPlugin

最低0.47元/天 解锁文章

200万优质内容无限畅学
开源大数据集群部署(十三)Ranger 集成Trino
02-29 1307
作者:櫰木。
Ranger 2.1.0集成Trino
lxyygiuh的博客
09-19 1098
Ranger2.1.0trino 359集成 一、基础环境 jdk-11.0.12 Maven 3.6.1 Git 最新版 二、下载ranger 2.1.0源码 下载之后的目录为 ranger-6.3.4 本文目录地址是 /grid/dfs0/code/ranger-6.3.4 三、修改pom.xml 修改控制组件版本的pom.xml ranger-6.3.4/pom.xml 一、presto的版本号改成359 <presto.ver...
Ranger2.4+OpenLdap 用户权限管理
qq_41838722的博客
07-13 1244
使用openldap做统一用户管理,使用ranger做用户权限管理。
Trino json处理
最新发布
weixin_45616551的博客
06-12 158
【代码】Trino json处理。
Trino结合Ranger 2.3控制访问权限
无名的博客
10-25 4207
Trino 结合 Ranger2.3 控制用户访问权限
RangerKerberos整合
coderlaw's study
05-19 6786
最近调研了Ranger和Kerveros的结合,基于Ranger可以把没有权限变成有权限,在Kerberos基础上搭建了Ranger,进行细粒度权限控制的探索。流程记录如下。1.在Ambari上安装了Kerberos,HDFS,Yarn,Hive。Pricaple。需要生成Keytab。2.安装Ranger后需要在Ranger的配置项中,打开Hive、HDFS、Yarn的配置。并根据官网做相应配置...
ranger-admin集成
11-26
ranger-1.2-admin资源下载,里面包含web页面及sql脚本,在linux操作系统上可以直接运行
ranger-2.2.0-plugin.zip
04-22
6. **ranger-2.2.0-atlas-plugin.tar.gz**:Ranger Atlas 插件 Apache Atlas 集成,Atlas 是一个元数据管理系统,用于数据治理和数据资产管理。Ranger 提供的权限控制增强了 Atlas 的安全性。 7. **ranger-2.2.0-...
Trino安装使用及权限控制
shy_snow的专栏
05-06 5833
Trino是一个分布式SQL查询引擎,旨在查询分布在一个或多个异构数据源上的大型数据集。支持丰富的数据源连接方式,支持库、表和字段级别的权限控制,以及支持通过资源组实现类似队列的资源使用控制。这些都需要手工进行配置,这是不方便的地方。
Microsoft.ACE.OLEDB.12.0 provider is not registered解决方案
热门推荐
种德养心
09-21 1万+
应用部署到服务器IIS上,提示Microsoft.ACE.OLEDB.12.0 provider is not registered,通过如下步骤解决: 1. 安装DataAccessEngine,下载地址: http://www.microsoft.com/downloads/details.aspx?FamilyID=7554F536-8C28-4598-9B72-EF94E038
Guice学习笔记(二) 常用基本知识
Vincent的造轮子经验
09-03 3193
启动和运行首先创建你的模块类实例,并将其传入 Guice.createInjector().Guice 创建一个绑定器 Binder 并将其传入你的模块。你的模块使用绑定器来定义绑定。基于你所定义的绑定,Guice 创建一个注入器 Injector 并将其返回给你。你使用注入器来注入对象。何为模块public class MyModule implements Module {    public
presto(trino-367)国产化rpm包
12-25
修改trino-367最新的源码,在银河麒麟,涉密专用操作系统、aarch64、国产化适配完成可直接使用的包。其中包括jdk-11.0.18、适配麒麟hadoop-3.1.3的so文件,并且支持hive2和hive3。
Ranger配置hive 插件报错解决Permission denied: user=rangerlookup, access=READ_EXECUTE, inode=“/“
iisbeginner的博客
12-01 752
​ 日志可以看出是Ranger配置没有问题,是下载策略没有权限。​ 期间尝试重启,换版本都未解决。授权下载策略用户为hive。
Requested registry access is not allowed
weixin_34327761的博客
12-27 412
Requested registry access is not allowed(不允许所请求的注册表访问权) 今天在写一个Service程序时候遇到这个问题,因为在家里电脑上没有问题的(XP),不成想在公司的Win7上居然出现这个问题,猜测应该是Win7的权限管理问题。 问题出现在如下创建一个EventLog的代码中, publicvoidLogEvent(S...
Presto通过Ranger0.7.1进行权限控制
qq_40616823的博客
02-18 3473
本文目的:整合prestosql333使用Ambari中的ranger0.7.1进行资源权限控制 在搭建整合前,先对ranger各个角色有个大概认知 一、ranger介绍 Ranger 是大数据领域的一个集中式安全管理框架,实现对 Hadoop 生态组件的集中式安全管理。用户可以通过 Ranger 实现对集群中数据的安全访问,它主要是对 Hadoop 平台组件进行监管、启动服务以及资源访问进行控制,其核心思想为: 用户可以使用 Ranger 提供的 REST API 或者使用 Ranger 提供 Web
Request应用之用户登陆失败信息回显
lingxing9454的博客
09-20 1578
代码如下 public class LoginServlet1 extends HttpServlet { public void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { request.setCharacterEncodi...
Ranger+LDAP+Presto实现权限控制
pandani的专栏
10-14 2619
LDAP搭建 LDAP的搭建步骤可参考文章《Centos 7 搭建Openldap,使用lam做web管理》Centos 7 搭建Openldap,使用lam做web管理 - 简书 Presto搭建 使用的是trino中的presto-server-350版本,350往后的版本对包空间名称做了更改(io.prestosql -> io.trino),ranger2.1.0版本对其还不兼容。 presto-server-350下载地址:https://repo1.maven.org/mav.
Ranger配置OpenLDAP(HDP 3.1.1 + Ambari 2.7.3)
TT-Learning
11-05 1685
查看slapd服务端口
在AWS EMR上测试Trino组件的权限控制和安全策略
03-15
<think>好的,用户想了解如何在AWS EMR中配置和测试Trino组件的权限控制安全策略,以及最佳实践。我需要先回顾一下AWS EMR的相关文档,以及Trino的权限控制机制。 首先,AWS EMR通常Apache Ranger集成来实现细粒度的权限控制。根据引用[4],Apache Ranger可以自动化安装并EMR集成,可能涉及OpenLDAP等组件。引用[2]提到在EMR上通过Ranger策略控制S3访问的例子,这说明Ranger在EMR中的重要性。 接下来,Trino本身的权限控制可以通过Catalog级别的安全配置,比如Hive Catalog的权限管理。引用[5]提到Trino支持查询Iceberg,这可能涉及到Hive Metastore或Glue Data Catalog的权限设置。另外,引用[1]中的测试环境使用了Glue Data Catalog,说明在AWS环境中Glue可能作为元数据存储,需要配置Trino其的集成。 然后,用户可能需要配置Trino的访问控制插件,比如Ranger插件。引用[3]提到EMRFS插件的访问控制验证,这可能Trino的S3访问权限有关,需要确保Trino能够通过EMRFS正确执行策略。 还需要考虑网络层面的安全,比如VPC、安全组和IAM角色。Trino服务器的端口配置如引用[1]中的8889端口,需确保安全组规则正确,避免未授权访问。 测试部分,可能需要创建不同权限的用户,验证SQL操作是否符合预期,如引用[2]中的例子,通过Ranger策略限制用户对S3存储桶的访问,然后测试是否生效。 最佳实践可能包括定期审计策略、使用最小权限原则、结合AWS原生服务如Lake Formation和IAM角色。同时,监控和日志记录也是关键,可以利用CloudWatch来跟踪Trino的查询日志和权限事件。 需要确保回答结构清晰,分步骤说明配置和测试流程,并引用相关的参考资料。可能的问题包括如何集成RangerTrino,如何测试策略有效性,以及如何处理跨服务权限等。</think>### AWS EMR中Trino权限控制安全策略配置指南 #### 一、权限控制体系架构 在AWS EMR中,Trino的权限控制主要依赖三层架构: 1. **基础设施层**:通过IAM角色管理AWS资源访问权限[^4] 2. **元数据层**:使用Glue Data Catalog统一管理元数据[^1] 3. **查询引擎层**:通过Apache Ranger实现细粒度访问控制[^2] #### 二、核心配置步骤 **(一) Ranger集成配置** 1. 部署Ranger服务: ```bash # 在EMR Master节点执行 sudo /usr/lib/ranger/scripts/install-ranger-admin.sh ``` 2. 配置Trino插件: ```xml <!-- ranger-trino-security.xml --> <configuration> <property> <name>ranger.plugin.trino.service.name</name> <value>trino_emr</value> </property> </configuration> ``` 需同步配置LDAP认证集成[^2] **(二) Glue Catalog集成** 修改`etc/catalog/hive.properties`: ```properties hive.metastore = glue hive.security = ranger aws.region = us-west-2 ``` **(三) 网络层安全配置** ```json // 安全组规则示例 { "IpProtocol": "tcp", "FromPort": 8889, # 引用[1]中Trino非标端口配置 "ToPort": 8889, "SourceSecurityGroups": [ "sg-analyst-group" ] } ``` #### 三、策略配置示例 在Ranger控制台创建策略: 1. **存储层策略**:控制S3访问 ```sql GRANT SELECT ON s3://data-lake/ TO ROLE analysts; ``` 2. **元数据策略**:控制表访问 ```sql REVOKE DELETE ON TABLE sales_db.* FROM USER intern; ``` #### 四、测试验证流程 1. **基础功能测试**: ```sql -- 测试用户执行 SHOW TABLES FROM sales_db; # 应仅返回授权表 ``` 2. **边界测试**: ```python # 引用[2]中的验证方法 try: spark.sql("DROP TABLE sales_db.customer") except SecurityException as e: print("权限拦截成功") # 预期结果 ``` #### 五、最佳实践建议 1. 采用最小权限原则,按角色分配访问级别 2. 启用审计日志: ```properties # etc/trino-config.properties event-listener.name = ranger-audit ranger.audit.solr.urls = http://ranger-solr:8983/solr/ranger_audits ``` 3. 定期执行策略同步: ```bash sudo ranger-admin sync-now --service trino_emr ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值