Плагин Ranger HDFS
Обзор
Конфигурация Apache Ranger позволяет применять как политики Ranger, так и разрешения HDFS. Когда узел NameNode получает запрос пользователя, плагин Ranger проверяет политики, установленные через Ranger Service Manager, и, если их нет, проверяет разрешения, установленные в HDFS.
Примечание
Рекомендуется создавать разрешения в Ranger Service Manager и иметь ограниченные разрешения на уровне HDFS.
|
Включение плагина HDFS
Чтобы включить плагин Ranger для HDFS, выполните следующие действия.
-
Перейдите на страницу Clusters → <кластер_ADH> → Services.
-
Кликните на иконку в строке HDFS и выберите действие Manage Ranger plugin в выпадающем меню.
Сервисы кластера -
Выберите требуемое состояние флага Plugin enabled (
true
— включенный плагин,false
— выключенный). Также здесь можно установить название сервиса Ranger, который будет добавлен. Если сервис с таким именем уже существует, его можно пересоздать, активировав параметр Override service policies (true
— параметр активен,false
— неактивен) — в таком случае старый сервис будет удален, а для нового сервиса будут заново сгенерированы политики.Состояние плагинаПРИМЕЧАНИЕПри первом включении плагина сервис с политиками будет создан (если еще не существует) вне зависимости от значения параметра Override service policies. -
Кликните Run и подтвердите действие в открывшемся окне.
Подтверждение действия
Добавление новой политики в Ranger
Чтобы добавить новую политику к существующему сервису HDFS, необходимо выполнить следующие действия:
-
На странице Service Manager нажмите на существующий сервис в панели HDFS.
Страница Service ManagerСтраница Service Manager -
На странице политик HDFS нажмите Add New Policy.
Добавление новой политикиДобавление новой политики -
На открывшейся странице Create Policy заполните необходимые поля.
Параметры политики HDFSПараметры политики HDFSПараметры политики Параметр Описание Policy Name
Название политики. Должно быть уникальным в системе
Enabled
Флаг, позволяющий применить политику сразу после создания
Normal/Override
Позволяет применить override-политику. Если выбран режим override, то права доступа новой политики переписывают права доступа существующих политик
Policy Label
Позволяет группировать несколько политик с метками, что дает возможность искать политики по меткам. Поиском можно воспользоваться на страницах Policy listing и Reports. Также упрощает экспорт/импорт политик — если требуется экспортировать некоторые политики, то можно провести поиск по меткам и экспортировать результат
Resource Path
Путь к ресурсу для папки/файла политики. Чтобы избежать необходимости указывать полный путь или включать политику для всех вложенных папок или файлов, вы можете заполнить это поле с помощью подстановок (wildcards) (например,
/home
) или указать, что политика должна быть рекурсивной. В путь к ресурсу, имя базы данных, таблицу или столбец могут быть включены символы подстановки:\*
— обозначает ноль или более символов;?
— обозначает один символDescription
Описание назначения политик
Audit Logging
Включает аудит для политики
Add Validity Period
Позволяет указать время начала и окончания действия политики
-
Установите параметры разрешений/запретов. Секция Allow Conditions позволяет разрешать доступ определенным ролям/группам/пользователям. Имеет смысл использовать эту секцию, когда требуется разрешить доступ небольшому числу пользователей, а остальным — запретить. Секция Deny Conditions позволяет запрещать доступ определенным ролям/группам/пользователями. Её удобно использовать, когда требуется запретить доступ небольшому числу пользователей, а остальным — разрешить. Также можно комбинировать правила из обеих секций. Для добавления дополнительных условий кликните . Условия интерпретируются в порядке, указанном в политике. Сначала применяется условие, находящееся в начале списка, затем второе, затем третье и так далее.
Параметры доступа к политике HDFSПараметры доступа к политике HDFSПараметры Allow ConditionsПараметр Описание Select Role
Укажите роли, к которым применяется данная политика
Select Group
Укажите группы, к которым применяется эта политика. Публичная группа содержит всех пользователей, поэтому предоставление доступа к публичной группе дает доступ всем пользователям
Select User
Укажите пользователей, к которым применяется данная политика
Permissions
Добавьте или измените разрешения
Delegate Admin
Используйте эту опцию, чтобы назначить привилегии администратора пользователям или группам, указанным в политике. Администраторы могут редактировать или удалять политику, а также создавать дочерние политики
Параметры Deny ConditionsПараметр Описание Select Role
Укажите роли, к которым не будет применяться данная политика
Select Group
Укажите группы, к которым не будет применяться эта политика. Публичная группа содержит всех пользователей, поэтому запрет доступа к публичной группе запрещает доступ всем пользователям
Select User
Укажите пользователей, к которым не будет применяться данная политика
Permissions
Добавьте или измените разрешения
Delegate Admin
Используйте эту опцию, чтобы назначить привилегии администратора пользователям или группам, указанным в политике. Администраторы могут редактировать или удалять политику, а также создавать дочерние политики
-
Кликните Add внизу страницы.