Ranger从入门到精通以及案例实操系列

news2024/12/24 9:00:28

1、Ranger概述

1.1、什么是Ranger

Apache Ranger是一个Hadoop平台上的全方位数据安全管理框架,它可以为整个Hadoop生态系统提供全面的安全管理。
随着企业业务的拓展,企业可能在多用户环境中运行多个工作任务,这就需要一个可以对安全策略进行集中管理,配置和监控用户访问的框架。Ranger由此产生!
Ranger的官网:https://ranger.apache.org/

1.2、Ranger的目标

  • 允许用户使用UI或REST API对所有和安全相关的任务进行集中化的管理
  • 允许用户使用一个管理工具对操作Hadoop体系中的组件和工具的行为进行细粒度的授权
  • 支持Hadoop体系中各个组件的授权认证标准
  • 增强了对不同业务场景需求的授权方法支持,例如基于角色的授权或基于属性的授权
  • 支持对Hadoop组件所有涉及安全的审计行为的集中化管理

1.3、Ranger支持的框架

  • Apache Hadoop
  • Apache Hive
  • Apache HBase
  • Apache Storm
  • Apache Knox
  • Apache Solr
  • Apache Kafka
  • YARN
  • NIFI

1.4、Ranger的架构

在这里插入图片描述

1.5、Ranger的工作原理

Ranager的核心是Web应用程序,也称为RangerAdmin模块,此模块由管理策略,审计日志和报告等三部分组成。

管理员角色的用户可以通过RangerAdmin提供的web界面或REST APIS来定制安全策略。这些策略会由Ranger提供的轻量级的针对不同Hadoop体系中组件的插件来执行。插件会在Hadoop的不同组件的核心进程启动后,启动对应的插件进程来进行安全管理!

2、Ranger的安装

2.1、环境说明

  • Ranger2.0要求对应的Hadoop为3.x以上,Hive为3.x以上版本,JDK为1.8以上版本。
  • Hadoop及Hive等需开启用户认证功能,本文基于开启Kerberos安全认证的Hadoop和Hive环境。

注:本文中Ranger相关组件均安装在hadoop102节点。

2.2、创建系统用户和Kerberos主体

Ranger的启动和运行需使用特定的用户,故须在Ranger所在节点创建所需系统用户并在Kerberos中创建所需主体。

2.2.1、创建ranger系统用户

[root@hadoop102 ~]# useradd  ranger -G hadoop
[root@hadoop102 ~]# echo ranger | passwd --stdin ranger

2.2.2、检查HTTP主体是否正常(该主体在Hadoop开启Kerberos时已创建)

  1. 使用keytab文件认证HTTP主体
[root@hadoop102 ~]# kinit -kt /etc/security/keytab/spnego.service.keytab HTTP/hadoop102@EXAMPLE.COM
  1. 查看认证状态,如下图所示,即为正常
[root@hadoop102 ~]# klist
  1. 注销认证
[root@hadoop102 ~]# kdestroy 

2.2.3、创建rangeradmin主体

  1. 创建主体
[root@hadoop102 ~]# kadmin -padmin/admin -wadmin -q"addprinc -randkey rangeradmin/hadoop102"
  1. 生成keytab文件
    [root@hadoop102 ~]# kadmin -padmin/admin -wadmin -q"xst -k /etc/security/keytab/rangeradmin.keytab rangeradmin/hadoop102"
  2. 修改keytab文件所有者
    [root@hadoop102 ~]# chown ranger:ranger /etc/security/keytab/rangeradmin.keytab

2.2.4、创建rangerlookup主体

  1. 创建主体
[root@hadoop102 ~]# kadmin -padmin/admin -wadmin -q"addprinc -randkey rangerlookup/hadoop102"
  1. 生成keytab文件
[root@hadoop102 ~]# kadmin -padmin/admin -wadmin -q"xst -k /etc/security/keytab/rangerlookup.keytab rangerlookup/hadoop102"
  1. 修改keytab文件所有者
[root@hadoop102 ~]# chown ranger:ranger /etc/security/keytab/rangerlookup.keytab

2.2.5、创建rangerusersync主体

  1. 创建主体
[root@hadoop102 ~]# kadmin -padmin/admin -wadmin -q"addprinc -randkey rangerusersync/hadoop102"
  1. 生成keytab文件
[root@hadoop102 ~]# kadmin -padmin/admin -wadmin -q"xst -k /etc/security/keytab/rangerusersync.keytab rangerusersync/hadoop102"
  1. 修改keytab文件所有者
[root@hadoop102 ~]# chown ranger:ranger /etc/security/keytab/rangerusersync.keytab

2.2、安装RangerAdmin

2.2.1、数据库环境准备

  1. 登录MySQL
[root@hadoop102 ~]# mysql -uroot -p000000
  1. 在MySQL数据库中创建Ranger存储数据的数据库
mysql> create database ranger;
  1. 更改mysql密码策略,为了可以采用比较简单的密码
mysql> set global validate_password_length=4;
mysql> set global validate_password_policy=0;
  1. 创建用户
mysql> grant all privileges on ranger.* to ranger@'%'  identified by 'ranger';

2.2.2、安装RangerAdmin

  1. 在hadoop102的/opt/module路径上创建一个ranger
[root@hadoop102 ~]# mkdir /opt/module/ranger
  1. 解压软件
[root@hadoop102 software]# tar -zxvf ranger-2.0.0-admin.tar.gz -C /opt/module/ranger
  1. 进入/opt/module/ranger/ranger-2.0.0-admin路径,对install.properties配置
[root@hadoop102 ranger-2.0.0-admin]# vim install.properties

修改以下配置内容:

#mysql驱动
SQL_CONNECTOR_JAR=/opt/software/mysql-connector-java-5.1.48.jar

#mysql的主机名和root用户的用户名密码
db_root_user=root
db_root_password=000000
db_host=hadoop102

#ranger需要的数据库名和用户信息,和2.2.1创建的信息要一一对应
db_name=ranger
db_user=ranger
db_password=ranger

#Ranger各组件的admin用户密码
rangerAdmin_password=atguigu123
rangerTagsync_password=atguigu123
rangerUsersync_password=atguigu123
keyadmin_password=atguigu123

#ranger存储审计日志的路径,默认为solr,这里为了方便暂不设置
audit_store=

#策略管理器的url,rangeradmin安装在哪台机器,主机名就为对应的主机名
policymgr_external_url=http://hadoop102:6080

#启动ranger admin进程的linux用户信息
unix_user=ranger
unix_user_pwd=ranger
unix_group=ranger

#Kerberos相关配置
spnego_principal=HTTP/hadoop102@EXAMPLE.COM
spnego_keytab=/etc/security/keytab/spnego.service.keytab
admin_principal=rangeradmin/hadoop102@EXAMPLE.COM
admin_keytab=/etc/security/keytab/rangeradmin.keytab
lookup_principal=rangerlookup/hadoop102@EXAMPLE.COM
lookup_keytab=/etc/security/keytab/rangerlookup.keytab
hadoop_conf=/opt/module/hadoop-3.1.3/etc/hadoop
  1. 在/opt/module/ranger/ranger-2.0.0-admin目录下执行安装脚本
[root@hadoop102 ranger-2.0.0-admin]# ./setup.sh

出现以下信息,说明安装完成

2020-04-30 13:58:18,051  [I] Ranger all admins default password change request processed successfully..
Installation of Ranger PolicyManager Web Application is completed.
  1. 修改/opt/module/ranger/ranger-2.0.0-admin/conf/ranger-admin-site.xml配置文件中的以下属性。
[root@hadoop102 ranger-2.0.0-admin]# vim /opt/module/ranger/ranger-2.0.0-admin/conf/ranger-admin-site.xml

增加如下参数

<property>
    <name>ranger.jpa.jdbc.password</name>
    <value>ranger</value>
    <description />
</property>

<property>
    <name>ranger.service.host</name>
    <value>hadoop102</value>
</property>

2.2.3、启动RangerAdmin

  1. 启动ranger-admin(以ranger用户启动)
[root@hadoop102 ranger-2.0.0-admin]# sudo -i -u ranger ranger-admin start
Starting Apache Ranger Admin Service
Apache Ranger Admin Service with pid 7058 has started.

ranger-admin在安装时已经配设置为开机自启动,因此之后无需再手动启动!

  1. 查看启动后的进程
[root@hadoop102 ranger-2.0.0-admin]# jps
7058 EmbeddedServer
8132 Jps
  1. 访问Ranger的WebUI,地址为:http://hadoop102:6080

在这里插入图片描述

  1. 停止ranger(此处不用执行)
[root@hadoop102 ranger-2.0.0-admin]# sudo -i -u ranger ranger-admin stop

2.2.4、登录Ranger

默认可以使用用户名:admin,密码为之前配置的atguigu123进行登录!登录后界面如下:

在这里插入图片描述

3、安装 RangerUsersync

3.1、RangerUsersync简介

RangerUsersync作为Ranger提供的一个管理模块,可以将Linux机器上的用户和组信息同步到RangerAdmin的数据库中进行管理。

3.2、RangerUsersync安装

  1. 解压软件
[root@hadoop102 software]# tar -zxvf ranger-2.0.0-usersync.tar.gz -C /opt/module/ranger/
  1. 配置软件
    /opt/module/ranger/ranger-2.0.0-usersync目录下修改以下文件
[root@hadoop102 ranger-2.0.0-usersync]# vim install.properties

修改以下配置信息

#rangeradmin的url
POLICY_MGR_URL =http://hadoop102:6080

#同步间隔时间,单位(分钟)
SYNC_INTERVAL = 1

#运行此进程的linux用户
unix_user=ranger
unix_group=ranger

#rangerUserSync用户的密码,参考rangeradmin中install.properties的配置
rangerUsersync_password=atguigu123

#Kerberos相关配置
usersync_principal=rangerusersync/hadoop102@EXAMPLE.COM
usersync_keytab=/etc/security/keytab/rangerusersync.keytab
hadoop_conf=/opt/module/hadoop-3.1.3/etc/hadoop
  1. /opt/module/ranger/ranger-2.0.0-usersync目录下执行安装脚本
[root@hadoop102 ranger-2.0.0-usersync] ./setup.sh

出现以下信息,说明安装完成

ranger.usersync.policymgr.password has been successfully created.
Provider jceks://file/etc/ranger/usersync/conf/rangerusersync.jceks was updated.
[I] Successfully updated password of rangerusersync user
  1. 修改/opt/module/ranger/ranger-2.0.0-usersync/conf/ranger-ugsync-site.xml配置文件中的以下参数
<property>
      <name>ranger.usersync.enabled</name>
      <value>true</value>
</property>

3.3、RangerUsersync启动

  1. 启动之前,在ranger admin的web-UI界面,查看用户信息如下:

在这里插入图片描述

  1. 启动RangerUserSync(使用ranger用户启动)
[root@hadoop102 ranger-2.0.0-usersync]# sudo -i -u ranger ranger-usersync start

Starting Apache Ranger Usersync Service
Apache Ranger Usersync Service with pid 7510 has started.
  1. 启动后,再次查看用户信息:

在这里插入图片描述
说明ranger-usersync工作正常!
ranger-usersync服务也是开机自启动的,因此之后不需要手动启动!

4、安装Ranger Hive-plugin

4.1、Ranger Hive-plugin简介

Ranger Hive-plugin是Ranger对hive进行权限管理的插件。需要注意的是,Ranger Hive-plugin只能对使用jdbc方式访问hive的请求进行权限管理,hive-cli并不受限制。

4.2、Ranger Hive-plugin安装

  1. 解压软件
[root@hadoop102 software]# tar -zxvf ranger-2.0.0-hive-plugin.tar.gz -C /opt/module/ranger/
  1. 配置软件
[root@hadoop102 ranger-2.0.0-hive-plugin]# vim install.properties

修改以下内容

#策略管理器的url地址
POLICY_MGR_URL=http://hadoop102:6080

#组件名称
REPOSITORY_NAME=hive

#hive的安装目录
COMPONENT_INSTALL_DIR_NAME=/opt/module/hive

#hive组件的启动用户
CUSTOM_USER=hive

#hive组件启动用户所属组
CUSTOM_GROUP=hadoop
  1. 启用Ranger Hive-plugin,在/opt/module/ranger/ranger-2.0.0-hive-plugin下执行以下命令
[root@hadoop102 ranger-2.0.0-hive-plugin]# ./enable-hive-plugin.sh

查看$HIVE_HOME/conf目录是否出现以下配置文件,如出现则表示Hive插件启用成功。

[root@hadoop102 ranger-2.0.0-hive-plugin]# ls $HIVE_HOME/conf | grep -E hiveserver2\|ranger

hiveserver2-site.xml
ranger-hive-audit.xml
ranger-hive-security.xml
ranger-policymgr-ssl.xml
ranger-security.xml

4.重启Hiveserver2,需使用hive用户启动。

[root@hadoop102 ~]# sudo -i -u hive hiveserver2

4.3、在ranger admin上配置hive插件

4.3.1、授予hive用户在Ranger中的Admin角色

  1. 点击hive用户
    在这里插入图片描述
  2. 将角色设置为Admin

在这里插入图片描述

4.3.2、配置Hive插件

  1. 点击Access Manager,添加Hive Manager。

在这里插入图片描述

  1. 配置服务详情

在这里插入图片描述
注:

  • Service Name:hive
  • Username:rangerlookup
  • Password:rangerlookup
  • jdbc.driverClassName:org.apache.hive.jdbc.HiveDriver
  • jdbc.url:jdbc:hive2://hadoop102:10000/;principal=hive/hadoop102@EXAMPLE.COM
  1. 测试连接,点击测试连接

在这里插入图片描述

点击测试连接后会提示连接失败,具体原因是rangerlookup用户没有访问hive表的权限,这是因为到目前为止,我们还未使用Ranger向任何用户赋予任何权限,故此时连接失败为正常现象。

在这里插入图片描述
4. 保存Hive Manager

  • 点击Add按钮

在这里插入图片描述

  • 点击下图所示hive按钮

在这里插入图片描述
下图内容表示,目前rangerlookup用户已经拥有了Hive所有资源的所有权限。
在这里插入图片描述

  1. 重新测试连接
  • 点击下图编辑按钮

在这里插入图片描述

  • 重新点击Test Connection

在这里插入图片描述

  • 连接成功

在这里插入图片描述

5、使用Ranger对Hive进行权限管理

5.1、权限控制初体验

  1. 查看默认的访问策略,此时只有rangerlookup用户拥有对所有库、表和函数的访问权限,故理论上其余用户是不能访问任何Hive资源的。

在这里插入图片描述

  1. 验证:使用atguigu用户尝试进行认证,认证成功后,使用beeline客户端连接Hiveserver2

    • 使用atguigu用户认证,并按照提示输入密码
    [atguigu@hadoop102 ~]$ kinit atguigu
    
    • 登录beeline客户端
    [atguigu@hadoop102 ~]$ beeline -u "jdbc:hive2://hadoop102:10000/;principal=hive/hadoop102@EXAMPLE.COM"
    
    • 执行以下sql语句,验证当前用户为atguigu
      在这里插入图片描述
    • 执行use gmall语句,结果如图所示,atguigu用户没有对gmall库的使用权限
      在这里插入图片描述
  • 赋予atguigu用户对gmall数据库的访问权限
  • (1)点击Add New Policy
    在这里插入图片描述
  • (2)配置授权策略,如下图所示,将gmall库的所有表的所有权限均授予给了atguigu用户。
    在这里插入图片描述
  • 等待片刻,在回到beeline客户端,重新执行use gmall语句,此时atguigu用户已经能够使用gmall库,并且可访问gmall库下的所有表了

5.2、Ranger授权模型

Ranger所采用的权限管理模型可归类为RBAC(Role-Based Access Control )基于角色的访问控制。基础的RBAC模型共包含三个实体,分别是用户(user)、角色(role)和权限(permission)

用户需划分为某个角色,权限的授予对象也是角色,例如用户张三为管理角色,那他就拥有了管理员角色的所有权限。Ranger的权限管理模型比基础的RBAC模型要更加灵活,以下是Ranger的权限管理模型。

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/623308.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Mysql数据库--实现主从复制搭建与同步

Mysql数据库--实现主从复制搭建与同步 &#x1f53b; 一、mysql 同步复制有关概述⛳ 前言、何为主从复制⛳ 1.1 mysql支持的复制方式⛳ 1.2 mysql支持的复制类型1.2.1&#x1f341;异步复制1.2.2&#x1f341;同步复制1.2.3&#x1f341;半同步复制1.2.4&#x1f341;[图解]-异…

Spring高手之路2——深入理解注解驱动配置与XML配置的融合与区别

文章目录 1. 配置类的编写与Bean的注册2. 注解驱动IOC的依赖注入与XML依赖注入对比3. Spring中组件的概念4. 组件注册5. 组件扫描5.1 使用ComponentScan的组件扫描5.2 xml中启用component-scan组件扫描5.3 不使用ComponentScan的组件扫描 6. 组件注册的其他注解7. 将注解驱动的…

MySQL 5.7 主从集群搭建

IP功能Linux版本192.168.56.136MasterCentOS 7.9192.168.56.140SlaveCentOS 7.9 一、安装前的准备 1、卸载老版本 &#xff08;1&#xff09;查看是否安装mariadb&#xff08;centos7默认安装&#xff09; 命令&#xff1a; rpm -qa | grep mariadb &#xff08;2&#xff…

嵌入式软件工程师培训:提升技能、实现卓越

如果您对嵌入式培训感兴趣&#xff0c;以下是一些建议和关键点&#xff0c;可以帮助您进行嵌入式培训&#xff1a; 培训目标&#xff1a;明确确定您的嵌入式培训目标。是为了提升员工的技能水平&#xff0c;使他们能够承担更高级别的嵌入式开发工作&#xff0c;还是为了向非嵌入…

16、DMA直接存储区访问

0x01、DMA简介 DMA(Direct Memory Access)一直接存储器存取&#xff0c;是单片机的一个外设&#xff0c;它的主要功能是用来搬数据&#xff0c;但是不需要占用 CPU&#xff0c;即在传输数据的时候&#xff0c;CPU 可以于其他的事情&#xff0c;好像是多线程一样数据传输支持从…

2022 中国开源创新大赛,时序数据库 TDengine 榜上有名

近日&#xff0c;2022 中国互联网发展创新与投资大赛暨 2022 年中国开源创新大赛在北京落下帷幕&#xff0c;本次大赛由中央网信办信息化发展局指导&#xff0c;中国互联网发展基金会、中国网络空间研究院、中国互联网投资基金联合主办。非常荣幸的是&#xff0c;凭借着强大的开…

他们用卫星,让中国量子通信领跑全球

光子盒研究院 上周二&#xff08;5月30日&#xff09;&#xff0c;中国宣布其神舟十六号飞船与天宫三号空间站成功对接&#xff0c;官方媒体称景海鹏、朱杨柱和桂海潮这三名中国宇航员将有机会研究“新的量子现象”。这意味着中国量子技术发展的一大突破&#xff1a;我们现在可…

IVD体外诊断已经发展成为医疗健康市场活跃领域之一

体外诊断领域的布局覆盖免疫诊断、血液诊断、尿液诊断、生化诊断、微生物诊断等。得益于自主研发驱动下的技术积累和产品创新 近年来&#xff0c;体外诊断已经发展成为医疗健康市场最活跃、增长最快的领域之一。 从全球体外诊断发展来看&#xff0c;据Kalorama Information的统…

接口测试 —— Requests库介绍

1、Requests库 Requests库是用Python语言编写&#xff0c;基于urllib3模块&#xff0c;采用Apache2 Licensed开源协议的 HTTP 库。 虽然Python的标准库中urllib3模块已经包含了平常我们使用的大多数功能&#xff0c;但是它的 API使用起来让人感觉不太友好。而Requests库使用的…

Vue+springboot果蔬有机蔬菜商城销售种植系统与设计

对于网站的前台设计&#xff0c;要保证主界面的整洁有序&#xff0c;能够抓住人的眼球&#xff0c;不会产生视觉疲劳&#xff0c;更重要的是&#xff0c;带给人容易操作的直观感受&#xff0c;这样才能留住用户去进行使用&#xff0c;增加三分热度的延续期。在系统的后台设计上…

2023预备金九银十,400道阿里必问软件测试高频面试考点详细解析

前言 临近秋招&#xff0c;又到了“金九银十”面试求职高峰期&#xff0c;在金九银十时也参与过不少面试&#xff0c;2023都说工作不好找&#xff0c;也是对开发人员的要求变高。前段时间自己有整理了一些软件测试面试常问的高频考点问题做成一份PDF文档&#xff08;400道高频…

东软、联影、科曼在今届CMEF好猛, “挖挖”背后的共同点

走出三年疫情阴霾&#xff0c;医疗行业迎来爆发式的展会营销盛况。5月14-17日&#xff0c;为期4天的第87届中国国际医疗器械博览会&#xff08;CMEF&#xff09;在上海圆满落幕&#xff01; 在这场32万平方米的全球医疗产业“航母级”盛会中&#xff0c;一众行业大咖、来自120…

优思学院|如何通过实验设计改善产品质量?

你的企业是否经常因为产品和服务不符合客户的期望而感到苦恼&#xff1f;你是否在想有没有一种方法可以在任何时候都可以帮助你解决问题&#xff1f; 那么&#xff0c;您需要一种突破性改进工具&#xff0c;它也是六西格玛项目中的”杀手锏"&#xff0c;它称为实验设计&a…

玩转学生信息管理系统——【c++】

设计一个管理系统实现对学生的基本信息&#xff08;至少包括姓名、学号、性别、出生日期、宿舍号年龄&#xff08;通过计算得到&#xff09;的管理&#xff1b;&#xff09;&#xff0c;具有数据的录入、显示、保存、查询&#xff08;按学号查查询或姓名查询&#xff09;、修改…

ASP.NET State Service服务无法启动解决方案

客户服务器ASP.NET State Service启动不起来&#xff0c;如下图所示&#xff1a; 在服务中右击属性查看基本信息&#xff0c;发现aspnet_state.exe在目录中不存在&#xff0c;如下图所示&#xff1a; 若想正常启动&#xff0c;需要重新指向有exe的目录中去&#xff0c;解决方案…

Linux之问件上传下载

目录 Linux之文件上传下载 sftp 定义 用法 常用操作 查看当前目的主机的路径 --- pwd 查看当前本地所在路径 --- lpwd 更改当前目的主机的路径 --- cd 更改当前本地所在路径 --- lcd 查看当前目的主机 --- ls ​编辑 查看当本地的主机目录 --- lls ​编辑 将Window…

08SQL基础知识

SQL知识点 1、SQL语言分类 SQL语言共分为四大类&#xff1a;数据查询语言DQL&#xff0c;数据操纵语言DML&#xff0c;数据定义语言DDL&#xff0c;数据控制语言DCL。 1. 数据查询语言DQL 数据查询语言DQL基本结构是由SELECT子句&#xff0c;FROM子句&#xff0c;WHERE子句组…

耗时122天,终于把牛客网点赞飙升的Java面试题(含答案)整理出来了

2023年就业形势不算好&#xff0c;大厂缩招裁员导致优质岗位竞争变得更加激烈&#xff0c;除了对面试者技术的要求变高&#xff0c;面试的深度和难度较去年也有所加大。为了让大家能够在 2023 金九银十跳槽黄金期脱颖而出&#xff0c;想拿个好 offer 说实话&#xff0c;现在准备…

企业上云,你做对了吗?

数字化转型是国家战略&#xff0c;各位估计眼睛看这几个字都看出茧了。所以&#xff0c;今天不聊数字化转型&#xff0c;今天聊企业上云。 随着云计算技术的日益成熟和云计算服务商的不断涌现&#xff0c;越来越多的企业将业务应用迁移到云端。但是&#xff0c;企业上云“坑”…

2023大唐杯学习笔记——人工智能与机器学习—决策树

决策树知识点 这个表也是一个数据集 问题&#xff1a;以什么作为划分呢&#xff1f;第一次是以年龄&#xff0c;还是以 工作 房子 信贷情况… 这里的熵与中文里的其他东西没有实际对应&#xff0c;就是一个定义H&#xff08;p&#xff09;1最大时&#xff0c;p0.5&#xff0c;这…