Плагин Ranger HDFS

Сергей Тихомиров

Обзор

Конфигурация Apache Ranger позволяет применять как политики Ranger, так и разрешения HDFS. Когда узел NameNode получает запрос пользователя, плагин Ranger проверяет политики, установленные через Ranger Service Manager, и, если их нет, проверяет разрешения, установленные в HDFS.

Примечание
Рекомендуется создавать разрешения в Ranger Service Manager и иметь ограниченные разрешения на уровне HDFS.

Включение плагина HDFS

Чтобы включить плагин Ranger для HDFS, выполните следующие действия.

  1. Перейдите на страницу Clusters → <кластер_ADH> → Services.

  2. Кликните на иконку actions default light actions default dark в строке HDFS и выберите действие Manage Ranger plugin в выпадающем меню.

    Действие Manage Ranger plugin
    Сервисы кластера

  3. Выберите требуемое состояние флага Plugin enabled (true — включенный плагин, false — выключенный). Также здесь можно установить название сервиса Ranger, который будет добавлен. Если сервис с таким именем уже существует, его можно пересоздать, активировав параметр Override service policies (true — параметр активен, false — неактивен) — в таком случае старый сервис будет удален, а для нового сервиса будут заново сгенерированы политики.

    Требуемое состояние плагина Ranger
    Состояние плагина
    ПРИМЕЧАНИЕ
    При первом включении плагина сервис с политиками будет создан (если еще не существует) вне зависимости от значения параметра Override service policies.

  4. Кликните Run и подтвердите действие в открывшемся окне.

    Подтверждение запуска действия
    Подтверждение действия

Добавление новой политики в Ranger

Чтобы добавить новую политику к существующему сервису HDFS, необходимо выполнить следующие действия:

  1. На странице Service Manager нажмите на существующий сервис в панели HDFS.

    HDFS в Ranger Admin UI
    Страница Service Manager
    HDFS в Ranger Admin UI
    Страница Service Manager

  2. На странице политик HDFS нажмите Add New Policy.

    Добавление новой политики для HDFS
    Добавление новой политики
    Добавление новой политики для HDFS
    Добавление новой политики

  3. На открывшейся странице Create Policy заполните необходимые поля.

    Параметры политики HDFS
    Параметры политики HDFS
    Параметры политики HDFS
    Параметры политики HDFS
    Параметры политики
    Параметр Описание

    Policy Name

    Название политики. Должно быть уникальным в системе

    Enabled

    Флаг, позволяющий применить политику сразу после создания

    Normal/Override

    Позволяет применить override-политику. Если выбран режим override, то права доступа новой политики переписывают права доступа существующих политик

    Policy Label

    Позволяет группировать несколько политик с метками, что дает возможность искать политики по меткам. Поиском можно воспользоваться на страницах Policy listing и Reports. Также упрощает экспорт/импорт политик — если требуется экспортировать некоторые политики, то можно провести поиск по меткам и экспортировать результат

    Resource Path

    Путь к ресурсу для папки/файла политики. Чтобы избежать необходимости указывать полный путь или включать политику для всех вложенных папок или файлов, вы можете заполнить это поле с помощью подстановок (wildcards) (например, /home) или указать, что политика должна быть рекурсивной. В путь к ресурсу, имя базы данных, таблицу или столбец могут быть включены символы подстановки: \* — обозначает ноль или более символов; ? — обозначает один символ

    Description

    Описание назначения политик

    Audit Logging

    Включает аудит для политики

    Add Validity Period

    Позволяет указать время начала и окончания действия политики

  4. Установите параметры разрешений/запретов. Секция Allow Conditions позволяет разрешать доступ определенным ролям/группам/пользователям. Имеет смысл использовать эту секцию, когда требуется разрешить доступ небольшому числу пользователей, а остальным — запретить. Секция Deny Conditions позволяет запрещать доступ определенным ролям/группам/пользователями. Её удобно использовать, когда требуется запретить доступ небольшому числу пользователей, а остальным — разрешить. Также можно комбинировать правила из обеих секций. Для добавления дополнительных условий кликните ranger grey plus. Условия интерпретируются в порядке, указанном в политике. Сначала применяется условие, находящееся в начале списка, затем второе, затем третье и так далее.

    Секции Allow/Deny conditions
    Параметры доступа к политике HDFS
    Секции Allow/Deny conditions
    Параметры доступа к политике HDFS
    Параметры Allow Conditions
    Параметр Описание

    Select Role

    Укажите роли, к которым применяется данная политика

    Select Group

    Укажите группы, к которым применяется эта политика. Публичная группа содержит всех пользователей, поэтому предоставление доступа к публичной группе дает доступ всем пользователям

    Select User

    Укажите пользователей, к которым применяется данная политика

    Permissions

    Добавьте или измените разрешения

    Delegate Admin

    Используйте эту опцию, чтобы назначить привилегии администратора пользователям или группам, указанным в политике. Администраторы могут редактировать или удалять политику, а также создавать дочерние политики
    Параметры Deny Conditions
    Параметр Описание

    Select Role

    Укажите роли, к которым не будет применяться данная политика

    Select Group

    Укажите группы, к которым не будет применяться эта политика. Публичная группа содержит всех пользователей, поэтому запрет доступа к публичной группе запрещает доступ всем пользователям

    Select User

    Укажите пользователей, к которым не будет применяться данная политика

    Permissions

    Добавьте или измените разрешения

    Delegate Admin

    Используйте эту опцию, чтобы назначить привилегии администратора пользователям или группам, указанным в политике. Администраторы могут редактировать или удалять политику, а также создавать дочерние политики

  5. Кликните Add внизу страницы.

Нашли ошибку? Выделите текст и нажмите Ctrl+Enter чтобы сообщить о ней