HDFS Yarn Oozie Hive 权限管理

最新推荐文章于 2023-07-25 09:35:53 发布
原创 最新推荐文章于 2023-07-25 09:35:53 发布 · 970 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了Hadoop生态中各个组件如HDFS、Oozie、YARN、Hive、Ranger和Sentry等的权限管理系统。从HDFS的基础权限到ACL的细粒度控制,再到Oozie中的代理用户配置,以及YARN中的队列权限设定,直至Hive的DoAs机制和Ranger/Sentry的权限管理。全面解析Hadoop中不同层面的安全性和权限管理。

HDFS

HDFS的权限系统和普通linux的权限系统一样 , 每个文件或者文件夹都有三种权限: 拥有者, 相关组和其他人. 

同时HDFS也支持ACL的权限机制, ACL是基础的权限机制的扩充版, 它丰富了基础的权限机制里"其他人"的权限. 可以为"其他人"指定 fine-grained的权限.

hdfs dfs -setfacl -m group:execs:r-- /sales-data
hdfs dfs -getfacl /sales-data

 

hdfs的超级用户是namenode进程使用的用户。更确切的说,就是你启动namenode那么你就是超级用户。超级用户的权限检查永远不会失败,所以可以干任何事情。没有固定的超级用户,当谁启动namenode谁就是超级用户。HDFS的超级用户不是namenode主机的超级用户,没有必要,但是他是所有集群的超级用户。此外,HDFS的实验者在个人工作站,方便就安装的超级用户没有任何配置。

此外管理员可以通过配置参数确定一个高级的组,这个组的成员也是超级用户。

 

Oozie

ProxyUser

在关系型数据库中很多数据库的任务要定期运行, 比如sqlserver中的job, 这些任务运行时很可能需要特定的文件permission, 所以需要以特定的账户来运行, 这就是proxy的一个典型使用场景. 在Hadoop中Oozie就经常有这样的需求.

在Hadoop的core-site.xml中配置proxy:

 

<property>
    <name>hadoop.proxyuser.oozie.hosts</name>
    <value>*</value>
</property>

<property>
    <name>hadoop.proxyuser.oozie.groups</name>
    <value>*</value>
</property>

让oozie服务器可以在任意的主机上, 扮演任意组的用户.

比如用户A在某台服务器上提交了一个oozie任务, 如果没有proxy,默认情况oozie server就会使用oozie server的启动者的帐号去润行这个任务, 如果oozie server的启动者是管理员, 那么用户A就会获取了管理员权限, 这是很危险的. 所以proxy的目的就是确保用户A 的任务执行过程中, 它只有用户A的权限, 不能越级!

 

YARN

Capacity Scheduler

capacity scheduler可以详见这篇文章: https://www.cnblogs.com/bugsbunny/p/6773016.html

YARN的配置文件里可以定用户是否有向queue提交app的权限

使用yarn命令提交任务时可以通过参数指定

-D mapreduce.job.queuename=<pool name>

 

 

Hive

hive.server2.enable.doAs=True

是否使用提交hive查询的用户作为执行任务的用户, 否则使用启动hive server的用户来执行query

 

Ranger

Hortonworks企业版的Hadoop系统中通常用apache ranger来进行权限管理, 有图形界面. 使用ranger的话, 就可以把doAs=False了, 因为ranger可以自行控制权限, 不必再借助HDFS的权限管理了,当然你仍然可以把doAs 设置为True, 但可能会带来不必要的错误.

 

Sentry

Cloudera 发行版的hadoop使用sentry来控制权限. 现在Hive的配置中关闭DoAs, 开启sentry作为权限管理.

使用SQL 语句来管理role和权限:

GRANT SELECT ON DATABASE `database` TO ROLE `role_name`;
CREATE ROLE `role_name`;
GRANT ROLE `role_name1`, `role_name2` TO GROUP `group1`, GROUP `group2`;
  • When Sentry is enabled, you must use Beeline to execute Hive queries. Hive CLI is not supported with Sentry and must be disabled. See Disabling Hive CLI.

 

 

 

Hue

(Cloudera)使用Hue来执行Hive Query时, 创建的文件在hdfs里会属于组 supergroup, 拥有者的名字和Hue的登录用户名一致.

 

大数据-hadoop、hdfsyarn等环境、权限配置
qq_40395868的博客
11-22 802
一、环境准备 接博客的另外两篇文章,虚拟机和mobaxterm已经安装好了。接下来就是配其他的环境了。 (1)打开mobaxterm并连接上虚拟机。 (2)先在根目录下安装一个软件。 (3)根据官方文档来说,先要安装的是java环境。 (4)所以我先创建了一个文件夹(mkdir soft)用来放两个需要的软件。 (5)选择rpm包是因为基本现在已经规范化了,rpm包安装后是直接可以查到官方文档中它建议的这个路径的,tar包比较麻烦。 官方文档:官方文档链接 (6)直接在soft文件夹安装rpm,安装
hadoop2.6安装HUE,配置hdfs,yarn,hive
l-jobs的专栏
04-17 1665
HUE简介:通过使用Hue我们可以在浏览器端的Web控制台上与Hadoop集群进行交互来分析处理数据。简单来讲,就是用图形化的界面来操作HDFS上的数据,运行MapReduce Job,执行Hive的SQL语句,浏览Hbase数据库,oozie,flume等等。网络上单一的教程不足以帮助人安装成功,故写下此篇文章,记录下安装过程。本篇博客资料来源:官网网站:http://gethue.com/官网...
YARN的用户和组的权限管理
互联网知识分享
07-25 1062
的用户和组的权限管理通过设置用户和组的映射关系以及配置访问权限来实现对集群资源的访问、使用和控制。用户和组的映射关系可以通过配置文件进行设置,而访问权限则可以通过设置特定用户或组的访问规则来实现。通过配置组的访问权限,可以限制组中的用户对集群资源的访问。通过配置用户的访问权限,可以限制用户对集群资源的访问。的用户和组的权限管理的示例代码,包括设置用户和组的映射、配置用户的访问权限以及配置组的访问权限。的用户和组的权限管理是指通过用户和组的权限设置,实现对。的用户和组的权限管理的基本原理和实践方法。
sparkthriftserver提交任务到yarn上找不到用户问题(nslcd)
lin86182824的博客
06-10 638
nslcd
Hadoop用户权限管理hdfs权限管理
热门推荐
tianzhimuzi的博客
05-08 2万+
1.创建用户student1,所属分组为studentschown -R student1:students /home/hadoop/hadoop-2.7.6  root用户将hadoop的相关操作权限授予student12.修改Hadoop目录的权限 chmod -R 755 /home/hadoop/hadoop-2.7.63.hadoop fs -mkdir /user/student1_...
HDFSYARN、Mapreduce简介
weixin_34417814的博客
10-10 641
一、 HDFS介绍: Hadoop2介绍 HDFS概述 HDFS读写流程 1. Hadoop2介绍 Hadoop是Apache软件基金会旗下的一个分布式系统基础架构。Hadoop2的框架最核心的设计就是HDFS、MapReduce和YARN,为海量的数据提供了存储和计算。 HDFS主要是Hadoop的存储,用于海量数据的存储; MapReduce主要运用于分...
Oozie调度SparkSQL样例代码_oozie_hive_
10-01
Oozie是Apache Hadoop的一个工作流调度系统,用于管理Hadoop作业的生命周期,而Hive则是一种基于Hadoop的数据仓库工具,允许用户使用SQL(称为HQL)对大规模数据进行查询和分析。本文将详细介绍如何在华为大数据平台...
LogAnalyzer:分析大数据组件的客户日志,例如HDFSHive,HBase,Yarn,MapReduce,Storm,Spark,Spark 2,Knox,Ambari Metrics,Nifi,Accumulo,Kafka,Flume,Oozie,Falcon,Atlas和Zookeeper
05-12
日志分析器-分析大数据组件的客户日志,例如HDFSHive,HBase,Yarn,MapReduce,Storm,Spark,Spark 2,Knox,Ambari Metrics,Nifi,Accumulo,Kafka,Flume,Oozie,Falcon,Atlas和Zookeeper。 内部架构 分析...
Oozie Shell 任务 yarn 用户写入 HDFS permission denied 异常切换用户
tonglingtou1875的博客
09-14 878
问题场景 Oozie 启动 SHELL 节点,其中上传 HDFS 时出现权限异常,异常信息如下: Permission denied: user=yarn, access=WRITE oozie shell action 问题原因 Hadoop分布式文件系统文件和目录的权限模型与POSIX系统权限模型相似。 每一个文件和目录有一个所有者(owner)和一个组(group);文件或目录对其所有者、同组的其余用户以及全部其余用户分别有不一样的权限。 对文件而言,当读取这个文件时须要有 r 权限,当写入或者追加
mapreduce方式入库hbase hive hdfs
03-24
mapreduce方式入库hbase hive hdfs,速度很快,里面详细讲述了代码的编写过程,值得下载
oozie在hadoop中配置代理
09-20
oozie在hadoop中配置代理,内有相关链接及实际配置信息
0439-Hive启用Sentry后如何限制用户提交Yarn资源池
01-07
温馨提示:如果使用电脑查看图片不清晰,可以使用手机打开文章单击文中的图片放大查看高清原图。 Fayson的github: https://github.com/fayson/cdhproject 提示:代码块部分可以左右滑动查看噢 1.文档编写目的 在前面Fayson介绍了《如何使用Cloudera Manager设置使用YARN队列的ACL》和《如何在Cloudera Manager中配置Yarn放置规则》。通过放置策略可以自动的将用户分的作业分配到对应的资源池,如果用户手动指定资源池则也可以正常提交作业到指定的资源池,因此需要结合Yarn队列的ACL控制,可以防止用户随意指定资源池问题。
Hadoop中的ProxyUser
Ynzo的博客
07-11 9708
PROXYUSER介绍和应用场景 Hadoop2.0版本开始支持ProxyUser的机制。含义是使用User A的用户认证信息,以User B的名义去访问hadoop集群。对于服务端来说就认为此时是User B在访问集群,相应对访问请求的鉴权(包括HDFS文件系统的权限,YARN提交任务队列的权限)都以用户User B来进行。User A被认为是superuser(这里super user并不等...
hadoop的用户代理机制
ASIN的专栏
11-18 1万+
hadoop的用户代理机制官方文档解读参考Proxy user - Superusers Acting On Behalf Of Other Users。在hadoop的core-site.xml中进行如下设置, 用户“super”就可以代理主机host1和host2上属于组group1和group2的所有用户。<property> <name>hadoop.proxyuser.super
hadoop用户代理
weixin_42728895的博客
06-17 2604
1.用户代理分为host group user三个方面,分别表示哪些主机上的superuser 、模拟哪些组、模拟哪些用户 修改core-site.xml <property> <name>hadoop.proxyuser.hive.hosts</name> <value>hadoop1,hadoop2</value> </property> <property> <name&gt
oozie 调度shell权限问题解决(非目录问题)
MR_REN019235的博客
10-18 2476
2019-10-18 16:58:26,303 INFO ActionStartXCommand:520 - SERVER[bigdata.t02.58btc.com] USER[bigdata] GROUP[-] TOKEN[] APP[oozieTest] JOB[0000004-190919182638476-oozie-oozi-W] ACTION[0000004-1909191826...
Alex 的 Hadoop 菜鸟教程: 第20课 工作流引擎 Oozie
软件哲学
03-04 2万+
简单的说Oozie是一个工作流引擎。只不过它是一个基于Hadoop的工作流引擎,在实际工作中,遇到对数据进行一连串的操作的时候很实用,不需要自己写一些处理代码了,只需要定义好各个action,然后把他们串在一个工作流里面就可以自动执行了。对于大数据的分析工作非常有用。本教程说明了oozie的概念、安装和使用,通过一个例子来让大家感性的认识oozie工作流
关于oozie使用的一些坑
小码龙的博客
10-15 3116
楼主主要是在hue上面配置oozie任务,在这里记录一下遇到的一些问题 hue用户权限的问题 配置一些hive或者shell脚本的impala任务时,会使用hue登录的用户执行,所以会造成一些权限的问题,hue的用户和linux的用户并不是相同的,牵扯到权限的问题在这里先不多说了。 oozie任务一直无法提交到yarn,程序一直处于运行状态 这个问题来的莫名其妙,之前还是能好好使用的,突然就出现...
oozie自带示例的运行
Jack Zhu
01-21 1万+
oozie自带示例的运行 一、运行示例前的准备工作 1.启动oozie oozie-start.sh或者oozie-run.sh,具体区别见上篇。 2.进入oozie的安装目录,解压oozie自带的examples tar -zxvf  oozie-examples.tar.gz 解压后会在当前目录下会生成examples文件夹,接下来所要运行的oozie的示例都在examples里面
hive on yarn 执行原理
最新发布
08-01
### Hive on YARN 的执行架构与工作流程 Hive 是一种构建在 Hadoop 之上的数据仓库工具,能够将 SQL 查询转换为 MapReduce 或 Tez 作业,并在 YARN 上执行。Hive on YARN 的执行架构主要由以下几个组件构成: - **Hive CLI / HiveServer2**:客户端接口,用于提交 SQL 查询。 - **Hive Metastore**:存储元数据信息,如表结构、分区信息等。 - **Hive Driver**:负责解析 SQL 语句,生成执行计划。 - **MapReduce / Tez**:作为执行引擎,运行由 Hive 生成的作业。 - **YARN**:资源调度框架,负责管理集群资源并调度任务执行。 当用户通过 Hive CLI 或 HiveServer2 提交 SQL 查询时,Hive Driver 会解析 SQL 语句并生成逻辑执行计划,随后将其转换为物理执行计划,最终生成 MapReduce 或 Tez 作业。这些作业会被提交到 YARN 集群中执行,YARN 负责资源分配和任务调度[^4]。 #### Hive on MapReduce 的执行流程 1. **SQL 解析与优化**:用户提交的 SQL 语句首先由 ParseDriver 解析为 AST(抽象语法树),然后通过 SemanticAnalyzer 进行语义分析,最终生成 QueryPlan。 2. **MapReduce 作业生成**:QueryPlan 被转换为 MapReduce 作业,其中 MapRedTask 是执行 MapReduce 任务的核心类。如果作业不是通过子进程运行,则直接调用 ExecDriver.execute 方法执行[^4]。 3. **作业提交与执行**:生成的 MapReduce 作业被提交到 YARN 集群,ResourceManager 分配 ApplicationMaster,NodeManager 执行具体的任务。 4. **结果返回**:任务执行完成后,结果返回给客户端。 #### Hive on Tez 的执行流程 Hive on Tez 相比于 Hive on MapReduce 具有更低的延迟和更高的性能。Tez 是一个更灵活的执行引擎,支持 DAG(有向无环图)任务执行。Hive 会将 SQL 查询转换为 Tez DAG 作业,提交到 YARN 集群执行。Tez 的 DAG 引擎能够优化任务执行路径,减少中间数据的写入磁盘操作,从而提升执行效率。 #### OozieHive 作业的集成 在 Hadoop 生态系统中,Oozie 可用于管理 Hive 作业的执行流程。Oozie 支持将 Hive 作业作为 workflow 中的一个 action 来执行。Hive action 仅负责触发 HQL 文件的执行,而具体的查询逻辑和作业成功保障由 HQL 文件本身负责[^1]。Oozie 的 workflow 用于定义任务的执行顺序,而 coordinator 则用于定时触发 workflow,其触发条件可以是数据文件生成时间等[^2]。 例如,一个典型的 Oozie Hive action 配置如下: ```xml <action name="hive-action"> <hive xmlns="uri:oozie:hive-action:0.5"> <job-tracker>${jobTracker}</job-tracker> <name-node>${nameNode}</name-node> <script>hive-script.hql</script> <param>INPUT=${inputDir}</param> <param>OUTPUT=${outputDir}</param> </hive> <ok to="end"/> <error to="fail"/> </action> ``` 上述配置中,`script` 指定了 Hive 查询脚本的路径,`param` 用于传递参数。Oozie 将这些参数传递给 Hive 脚本,Hive 脚本负责执行具体的查询逻辑。 #### Hive on YARN 的部署与依赖 在实际部署中,Hive 需要与 YARN 集成,并依赖 HDFS 存储数据。HiveServer2Hive Metastore 通常作为独立服务运行,HiveServer2 负责接收客户端请求,Hive Metastore 管理元数据。YARN 负责资源调度和任务执行,HDFS 用于存储 Hive 表数据和中间结果。 Hue 作为 Hadoop 生态系统中的图形化界面工具,集成了 HiveHDFSYARNOozie,用户可以通过 Hue 提交 Hive 查询、管理 HDFS 文件、监控 YARN 作业执行状态,并设计 Oozie 工作流[^3]。 在执行 Hive on YARN 作业时,若出现以下错误: ``` Error while processing statement: FAILED: Execution Error, return code 1 from org.apache.hadoop.hive.ql.exec.mr.MapRedTask. File does not exist: hdfs://nameservice1/user/yarn/mapreduce/mr-framework/3.0.0-cdh6.1.1-mr-framework.tar.gz ``` 该错误通常表示 YARN 无法找到 MapReduce 框架的依赖包,需要检查 Hadoop 配置和 HDFS 文件路径是否正确[^5]。 ###
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

爱知菜

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值