Hadoop安全之Ranger

原创 已于 2024-09-11 14:13:56 修改 · 1.1k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#hadoop #安全 #大数据 #ranger

于 2024-09-11 05:00:00 首次发布

Apache Ranger 是一个开源项目,专门为大数据平台提供集中化的安全管理框架。它提供了对 Hadoop 生态系统和其他大数据存储系统的访问控制、权限管理、审计等功能,确保数据的安全性和合规性。通过 Apache Ranger,管理员可以在一个中心化的界面中定义和管理跨集群的安全策略,同时监控用户的操作行为。

概述

Apache Ranger 旨在提供一种集中化的权限管理工具,以便管理员能够定义、执行和审计跨多个大数据平台的安全策略。它最初是为 Hadoop 生态系统(如 HDFS、Hive、HBase 等)设计的,但随着数据技术的演进,Ranger 也扩展支持了像 Kafka、Elasticsearch、Presto 等其他系统。

核心特性

1. 集中化的策略管理

Apache Ranger 提供一个统一的 Web UI 来管理多种大数据服务的访问控制策略。管理员可以在这个界面中设置不同用户和用户组的权限,例如读取、写入、执行等操作。

2. 细粒度的权限控制

Ranger 允许定义细粒度的权限,能够根据用户、组、IP 地址、时间段等条件,灵活地设置访问权限。例如,可以为某个用户设置只能在工作时间内访问某些表的数据。

3. 动态权限调整

管理员可以动态调整权限,而无需停止或重启服务。所有的权限变更都会立即生效,保证了系统的高可用性。

4. 集成 LDAP 和 Active Directory

Ranger 能够与企业的 LDAP 或 Active Directory 集成,使用已有的身份认证系统对用户进行身份验证和权限分配,简化了管理工作。

5. 审计与监控

Ranger 提供了强大的审计功能,记录所有用户的访问操作日志,帮助管理员进行合规审计和安全分析。所有操作记录可以存储在 HDFS、Solr 或 Elasticsearch 中,以便进行查询和分析。

6. REST API 支持

Apache Ranger 提供了一套 REST API,允许通过编程方式管理策略、用户、组和服务,便于自动化集成与扩展。

架构

Apache Ranger 的架构分为几个关键组件:

1. Ranger Admin

Ranger Admin 是管理和配置安全策略的核心组件,提供了 Web UI 和 REST API 接口。管理员可以通过它为不同服务(如 HDFS、Hive、Kafka 等)配置访问控制策略。

2. Ranger Plugins

Ranger 插件嵌入到各个大数据服务中,如 Hive、HDFS、HBase 等,用于实时执行权限检查。当用户尝试访问资源时,插件会将请求发送给 Ranger Admin 进行策略匹配并执行。

3. Audit Framework

Ranger 的审计框架会记录用户操作日志,并存储在集群中用于后续的查询和分析。支持 HDFS、Solr 和 Elasticsearch 作为审计数据的存储。

4. Policy Store

所有的安全策略存储在 Policy Store 中,供 Ranger Admin 管理和调度。该存储可以是关系型数据库或其他持久化存储。

安装与配置

1. 环境要求

  • 操作系统:Linux 系统
  • 数据库:Ranger Admin 使用数据库来存储安全策略信息,支持 MySQL、PostgreSQL 等关系型数据库。
  • 大数据组件:需要运行 HDFS、Hive、HBase 等大数据服务。

2. 安装步骤

  1. 下载 Apache Ranger 安装包:

    wget https://archive.apache.org/dist/ranger/x.y.z/apache-ranger-x.y.z.tar.gz
tar -xzvf apache-ranger-x.y.z.tar.gz

  2. 配置数据库连接信息: 编辑 install.properties 文件,配置数据库连接信息。

  3. 运行安装脚本:

    ./setup.sh

  4. 启动 Ranger Admin:

    cd ranger-admin
./ranger-admin-services.sh start

  5. 启动后,可以通过浏览器访问 http://<hostname>:6080 进入 Ranger 管理界面。

权限管理

1. 服务级别策略

在 Ranger 中,管理员可以为每个服务(如 HDFS、Hive、Kafka 等)创建相应的访问控制策略。这些策略定义了谁可以访问哪些数据、可以执行哪些操作。

2. 资源级别策略

除了服务级别的策略,Ranger 还支持资源级别的权限管理。例如,可以为特定的 Hive 数据库、表或列定义不同的权限。

3. 动态策略条件

Ranger 支持为策略添加动态条件。例如,管理员可以创建一个策略,规定某个用户只能在工作日的特定时间段内访问数据。

审计功能

1. 操作审计

Ranger 会记录所有访问大数据资源的操作,包括哪些用户访问了哪些资源,执行了哪些操作,以及是否被允许或拒绝。所有的操作日志都会集中存储,便于审计和安全监控。

2. 审计存储与查询

Ranger 支持将审计日志存储在 HDFS、Solr 或 Elasticsearch 中,以便后续查询和分析。管理员可以通过 Web UI 或 API 查询特定时间段内的操作记录,帮助发现潜在的安全问题。

3. 审计报告

Ranger 提供了内置的审计报告功能,管理员可以生成特定用户、组、或时间段内的访问记录报告,便于合规检查和安全分析。

集成与扩展

Apache Ranger 能够与多种大数据组件无缝集成,包括:

  • HDFS:管理文件系统的访问权限。
  • Hive:管理数据仓库的表级和列级权限。
  • HBase:为 NoSQL 数据库提供行级和列级权限。
  • Kafka:管理消息队列的生产者和消费者权限。
  • Presto:控制 SQL 查询引擎的权限。
  • Elasticsearch:为搜索引擎提供访问控制。

通过 REST API,Ranger 还能够轻松集成到其他自定义系统或自动化流程中。

典型应用场景

  1. 多租户大数据平台:在一个集群上有多个租户使用不同的数据集,Apache Ranger 通过精细的权限控制确保各个租户的数据隔离。

  2. 金融和电商领域的合规要求:通过 Ranger 的集中化策略管理和审计功能,可以轻松满足 GDPR、HIPAA 等数据保护法规的要求。

  3. 复杂组织架构中的权限管理:大企业通常拥有复杂的组织架构,Ranger 允许基于用户组、角色和动态条件设置权限,满足灵活的安全需求。

常见问题与解决方案

  1. 策略生效延迟:检查 Ranger 插件的状态,确保策略缓存及时更新。可以通过重启插件或减少策略缓存时间来解决。

  2. 审计数据丢失:如果审计数据未能正确写入存储,检查 Ranger Admin 和存储系统(如 Solr、HDFS)的连接状态,并确保配置正确。

  3. 权限冲突:当不同的策略发生冲突时,Ranger 会优先选择最严格的权限设置。管理员需要仔细设计策略以避免不必要的权限冲突。

总结

Apache Ranger 提供了一个强大且灵活的安全管理框架,能够帮助企业在大数据平台中实施细粒度的访问控制和统一的审计管理。通过 Ranger,管理员可以轻松管理多个大数据服务的访问权限,满足合规性和数据保护的要求,同时提高系统的安全性。

Apache Ranger Hadoop 集群权限框架_了解Ranger---Ranger工作笔记001
添柴程序猿的专栏
07-25 1355
通过操作Ranger控制台,管理员可以轻松的通过配置策略来控制用户访问HDFS文件夹、HDFS文件、数据库、表、字段权限。这些策略会由Ranger提供的轻量级的针对不同Hadoop体系中组件的插件来执行。插件会在Hadoop的不同组件的核心进程启动后,启动对应的插件进程来进行安全管理。1.Apacheranger是一个Hadoop集群权限框架,提供操作、监控、管理复杂的数据权限,它提供一个集中的管理机制,管理基于yarn的Hadoop生态圈的所有数据权限。.........
Ranger从入门到精通以及案例实操系列
prefect_start的博客
06-05 4172
RangerUsersync作为Ranger提供的一个管理模块,可以将Linux机器上的用户和组信息同步到RangerAdmin的数据库中进行管理。Ranger Hive-plugin是Ranger对hive进行权限管理的插件。需要注意的是,Ranger Hive-plugin只能对使用jdbc方式访问hive的请求进行权限管理,hive-cli并不受限制。
hadoop之kerberos权限配置(ranger基础上)(三)
weixin_40496191的博客
01-02 4833
kerberos+ranger+kerberos权限控制
Sentry与Ranger区别及应用场景详解
ITHomeZSL的博客
10-15 524
这个选择在很大程度上也反映了早期Cloudera和两大 Hadoop 发行商技术路线的差异。在两家公司合并成为Cloudera之后,Ranger 已经成为其 CDP 产品线中默认和推荐的统一安全组件。你正在维护一个非常老旧且仅基于 CDH 的平台,并且只使用 Hive 和 Impala。你的需求非常简单,只需要一个轻量级的 SQL 授权工具,对审计和跨组件统一管理没有要求。选择 Ranger 的情况(当前的主流和标准):构建新的企业级数据平台:毫无疑问选择 Ranger
大数据大数据安全组件Ranger
wnm23的专栏
03-30 1883
Apache RangerHadoop平台上操作、监控、管理数据安全的集中式安全管理框架。Ranger的愿景 是在 Apache Hadoop生态系统中提供全面的安全性。
Ranger技术实践V1.0
super_chenzhou
08-10 2366
Ranger技术实践
apache-ranger-1.2.0.tar Hadoop集群权限框架
10-25
Apache Ranger 支持以下HDP组件的验证、授权、审计、数据加密、安全管理: Apache Hadoop HDFS Apache Hive Apache HBase Apache Storm Apache Knox Apache Solr Apache Kafka YARN
Hadoop集群权限框架 Ranger2.1.0兼容Hadoop3.2.4部署
红桃∩
04-29 803
Ranger2.1.0源码兼容的是Hadoop3.1.0 本文章基于Hadoop3.2.4,对Ranger2.1.0做变动,打包部署,以及遇到的问题解决方案。
Hadoop + Hive + Apache Ranger 源码编译记录
三劫散仙
11-12 1032
由于 CDH(Cloudera's Distribution Hadoop )近几年已经开始收费并限制节点数量和版本升级,最近使用开源的 hadoop 搭了一套测试集群,其中的权限管理组件用到了Apache Ranger,所以记录一下编译打包过程。
hadoop大数据安全管理:ldap、keberos、ranger
qq_41358574的博客
07-23 1850
hadoop大数据中认证一般用keberos,授权用ranger,kerberos和Ldap组件共同组成整个集群的安全鉴权体系,Ldap负责用户数据存储。kerberosKerberos 是一种网络认证协议,用于在不安全的网络中以安全的方式对用户和服务进行身份验证。它通过使用密钥加密技术来防止数据被窃听或篡改,确保了认证过程的安全性。kerberos所管理的一个用户或者服务叫Principal,其格式通常如下:primary/instance@realm。
Apache Hadoop---Ranger.docx
06-12
Apache Ranger 是一个强大的安全管理框架,特别为Apache Hadoop生态系统设计,旨在提供集中式的授权和审计功能。这个框架允许管理员精细地控制对Hadoop组件,包括HDFS、YARN、Hive、HBase等数据访问的权限,从而确保...
Hadoop集群上搭建Ranger
weixin_30486037的博客
05-04 633
There are two types of people in the world. I hate both of them. Hadoop集群上搭建Ranger 在搭建Ranger工程之前,需要完成 https://www.cnblogs.com/taojietaoge/p/10803537.html 中的搭建Hadoop集群步骤。 准备到Ranger官网下载ranger的源码:h...
Hadoop学习笔记(HDP)-Part.13 安装Ranger
glisten0317的博客
12-01 2032
选择不安装Ranger Tagsync。
Hadoop生态圈-Ranger数据安全管理框架
weixin_33736048的博客
12-10 497
                Hadoop生态圈-Ranger数据安全管理框架                                      作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任。        一.Ranger简介   Apache Ranger是一款被设计成全面掌握Hadoop生态系统的数据安全管理框架。它为Hadoop生态系统中众多的组件提供了一个统一...
开源大数据集群部署(十一)Ranger 集成Hadoop集群
02-21 1046
servicename必须和install.properties中的REPOSITORY_NAME填写一致。初始化完成后会在/opt/hadoop/etc/hadoop目录下生成3个文件。以下内容参考hdfs-site.xml和core-site.xml参考填写。在rangeradmin页面上进行配置。部署在两个namenode节点。更多技术信息请查看云掣官网。
hadoopranger权限配置(二)
weixin_40496191的博客
01-02 2813
ranger权限配置
Apache Ranger——Hadoop ACL控制工具
weixin_34354173的博客
01-17 540
本文主要通过ranger在hdfs acl中的应用以及原理介绍一下ranger的使用,另外介绍一下实际使用过程中碰到的问题。上篇文章回顾:时间服务器—NTP目前公司内部大多通过数据工场来管理hdfs上的数据,工场开发团队和hdfs、yarn的SRE同学也配合紧密。由于涉及到管理数据,那么不得不说到权限控制的问题。接触过hadoop的同学都应该了解hdfs上数据的权限类似linux中的权限,分为r、...
数据治理(十一):数据安全管理Ranger初步认识
Lansonli(蓝深李)的博客
04-14 3495
目录 数据安全管理Ranger初步认识 一、Ranger介绍 二、Ranger架构 数据安全管理Ranger初步认识 在大数据平台中,有海量数据存储,通畅在采集数据过程中敏感数据有意或者无意的进入大数据平台中,数据安全管理非常重要。我们不希望一些敏感数据被他人访问,希望可以按照一种规则给部分人访问权限,以防止数据泄露,针对数据安全管理可以使用Apache Ranger实现。 一、​​​​​​​Ranger介绍 Apache Ranger提供一个集中式安全管理框架, 并解决授权和审计。它
Apache Ranger 用户管理和 HDFS 权限授权
DevEnigma的博客
08-14 813
本文介绍了如何使用 Apache Ranger 进行用户的添加和 HDFS 权限的授权,并给出了相应的 Java 代码示例来验证用户权限。在 Apache Ranger 中,我们可以添加用户并为用户分配 HDFS 权限,以实现对 Hadoop 分布式文件系统(HDFS)的安全管理。选择要授权的用户或用户组,点击“添加用户”或“添加用户组”按钮,将其添加到策略中,并分配相应的权限。在用户添加界面,填写用户的相关信息,比如用户名、密码、邮箱等。在管理界面中,找到用户管理模块或者类似的功能入口,点击进入。
Hadoopranger环境搭建
最新发布
11-12
Hadoop上搭建Ranger环境可按以下步骤进行: ### 代码下载与编译 - 从下载地址https://github.com/apache/ranger/releases 下载所需版本的Ranger代码,上传至和Hadoop同服务器的用户目录下。以ranger - 2.0.0版本为例,解压文件信息: ```bash tar -xzvf ranger-release-ranger-2.0.0.tar.gz ``` - 重命名文件夹: ```bash mv ranger-release-ranger-2.0.0 ranger ``` - 进入ranger目录: ```bash cd ranger ``` - 执行打包编译命令: - 对于非2.1.0版本: ```bash mvn clean compile package assembly:assembly install -DskipTests -Drat.skip=true ``` - 对于2.1.0版本: ```bash mvn clean compile package install -DskipTests -Drat.skip=true ``` 首次编译耗时约30分钟至1小时,视网络情况而定,编译成功后会出现[INFO] BUILD SUCCESS [^1]。 ### Hadoop集群上配置Ranger 修改相关配置如下: ```plaintext POLICY_MGR_URL=http://tjt03:6080 REPOSITORY_NAME=hadoopdev COMPONENT_INSTALL_DIR_NAME=/opt/hadoop-2.7.6 XAAUDIT.HDFS.HDFS_DIR=hdfs://tjt01:9000/ranger/audit XAAUDIT.HDFS.DESTINATION_DIRECTORY=hdfs://tjt01:9000/ranger/audit/%app-type%/%time:yyyyMMdd% CUSTOM_USER=root CUSTOM_GROUP=root ``` 此步骤是在Hadoop集群上搭建Ranger时的配置修改内容 [^2]。 ### Hadoop集群环境准备 若要搭建Hadoop集群,以3节点集群(1主节点 + 2从节点)为例,操作系统为Ubuntu 22.04,Hadoop版本为3.3.6,需进行环境准备等操作。不过这部分是Hadoop集群搭建的前置步骤,若已有可用的Hadoop集群可跳过此部分 [^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值