ApacheRanger是一个集中式安全管理框架,提供对Hadoop组件如HDFS、Hive等的细粒度访问控制。它支持多种组件,允许列级别的权限控制,并具有审计日志功能,确保数据安全。Ranger-admin是其核心,负责策略管理,而Plugin则在各组件中实现权限验证。
数据安全管理 Ranger 初步认识
在大数据平台中,有海量数据存储,通畅在采集数据过程中敏感数据有意或者无意的进入大数据平台中,数据安全管理非常重要。我们不希望一些敏感数据被他人访问,希望可以按照一种规则给部分人访问权限,以防止数据泄露,针对数据安全管理可以使用 Apache Ranger 实现。
一、Ranger 介绍
Apache Ranger 提供一个集中式安全管理框架, 并解决授权和审计。它可以对 Hadoop 生态的组件如 HDFS、YARN、Hive、HBase 等进行细粒度的数据访问控制。通过 Ranger 统一的管理控制台界面,管理员可以轻松的通过配置策略来控制用户访问权限,并且可以对用户的行为日志进行统一的审计管理。
我们可以通过 Ranger 提供的 UI 界面或者 Rest API 来管理所有与安全性相关的任务,可以使用管理工具来对 Hadoop 体系中的组件进行授权。Ranger 优点如下:
-
丰富的组件支持(HDFS,HBASE,HIVE,YARN,KAFKA,STORM)。
-
提供了细粒度级权限控制(hive 列级别)。
-
权限控制插件式,统一方便的策略管理。
-
支持审计日志,记录各种操作的日志,提供统一的查询接口和界面。
-
支持和 kerberos 的集成,提供了 Rest 接口供二次开发。
Ranger 官网:Apache Ranger – Introduction
二、Ranger 架构
Ranger 架构如下:
-
Ranger-admin:
Ranger 实现安全管理的核心就是 Ranger-admin,是一个 web 服务,对外提供 Restful 风格的 http 服务,内嵌了 jsp 界面,用于管理用户、资源、权限等信息。
-
Plugin:
几乎所有的大数据组件都提供了抽象的验证接口,Ranger 就是根据这些接口为各个大数据组件实现了对应的 Plugin,有了这些 Plugin,Ranger 可以轻松实现对大数据组件权限控制访问,Plugin 的工作主要是从 Ranger-Admin 处拉取该组件配置的所有策略,然后缓存到本地,当有用户来请求时提供鉴权服务。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
