Конфигурационные параметры

Knox gateway port

HTTP-порт для Knox

8443

Gateway whitelist

Список разделенных символом ; регулярных выражений, который определяет доступные системные конечные точки (endpoints) для пакетов и перенаправлений Knox

^https?:\/\/(.*|localhost|127\.0\.0\.1|0:0:0:0:0:0:0:1|::1):[0-9].*$

KNOX_GATEWAY_MEM_OPTS

Плейсхолдер, позволяющий менять настройки JVM-памяти сервера шлюза

 — 

gateway.truststore.password.alias

Алиас для пароля к truststore-файлу, содержащему доверенные сертификаты клиента. Чтобы задать пароль, алиас следует создавать с использованием команды knoxcli.sh create-alias, иначе будет использован Master Secret

gateway-truststore-password

gateway.truststore.path

Путь к truststore-файлу, содержащему доверенные сертификаты клиента

 — 

gateway.truststore.type

Тип truststore-файла, лежащего по пути, указанному в gateway.truststore.path

JKS

gateway.tls.keystore.password.alias

Алиас для пароля к keystore-файлу, содержащему TLS-сертификат и пару ключей шлюза. Чтобы задать пароль, алиас следует создавать с использованием команды knoxcli.sh create-alias, иначе будет использован Master Secret

gateway-identity-keystore-password

gateway.tls.keystore.path

Путь к keystore-файлу, содержащему TLS-сертификат и пару ключей шлюза

data/security/keystores/gateway.jks

gateway.tls.keystore.type

Тип keystore-файла, лежащего по пути, указанному в gateway.tls.keystore.path

JKS

gateway.tls.key.alias

Алиас для TSL-сертификата и пары ключей шлюза, указанных в keystore-файле

gateway-identity

key_passphrase

Ключевая фраза для приватного TLS-ключа шлюза, указанного в keystore-файле. Если поле пусто, то используется пароль для keystore

 — 

gateway.tls.key.passphrase.alias

Алиас для ключевой фразы для приватного TLS-ключа шлюза, указанного в keystore-файле. Чтобы задать пароль, алиас следует создавать с использованием команды knoxcli.sh create-alias, иначе будет использован Master Secret или пароль keystore

gateway-identity-passphrase

ssl.exclude.protocols

Список недопустимых протоколов, разделенных запятой(,) или вертикальной чертой (|). Если таковых нет, то указывается none

SSLv2,SSLv3,TLSv1,TLSv1.1

main.ldapRealm.contextFactory.url

URL-адрес хоста с номером порта, на котором находится LDAP-сервер. Также включает в себя схему протокола (ldap, или ldaps при коммуникации по LDAP через SSL)

ldap://example.com:389

main.ldapRealm.contextFactory.systemUsername

Полное отличительное имя (DN) учетной записи пользвателя AD с правами поиска

 — 

main.ldapRealm.contextFactory.systemPassword

Пароль для учетной записи с именем пользователя, указанным в main.ldapRealm.contextFactory.systemUsername

 — 

main.ldapRealm.searchBase

Отличительное имя начальной точки для поиска по директориям сервера

 — 

main.ldapRealm.userObjectClass

ObjectClass LDAP-пользователя

Person

main.ldapRealm.userSearchAttributeName

Имя атрибута для упрощенного фильтра поиска

sAMAccountName

main.ldapRealm.groupSearchBase

Отличительное имя начальной точки для поиска групп по директориям сервера

 — 

main.ldapRealm.groupObjectClass

ObjectClass LDAP-группы

group

main.ldapRealm.groupIdAttribute

Атрибут уникальной идентификации группы

cn

sessionTimeout

Тайм-аут сессии в минутах

30

main.ldapRealm

Имя класса, имплементирующего Knox Shiro Realm

org.apache.hadoop.gateway.shirorealm.KnoxLdapRealm

main.ldapContextFactory

Имя класса, имплементирующего Knox Shire LdapContextFactory

org.apache.hadoop.gateway.shirorealm.KnoxLdapContextFactory

main.ldapRealm.contextFactory

Context factory в realm

$ldapContextFactory

main.ldapRealm.userSearchBase

Заменяет main.ldapRealm.searchBase

 — 

main.ldapRealm.memberAttribute

Предоставляет пользователей группы

 — 

Master Secret

Master Secret, используемый для keystore-, truststore- и CredentialStore-файлов инстанса шлюза

 — 

xasecure.audit.destination.solr.batch.filespool.dir

Директория для spool-файлов

/srv/ranger/knox/audit_solr_spool

ranger.plugin.knox.policy.cache.dir

Директория для хранения политик Ranger после их получения

/srv/ranger/knox/policycache

ranger.plugin.knox.policy.pollIntervalMs

Интервал для проверки изменений политики

30000

ranger.plugin.knox.policy.rest.client.connection.timeoutMs

Тайм-аут соединения в миллисекундах

120000

ranger.plugin.knox.policy.rest.client.read.timeoutMs

Тайм-аут на чтение в миллисекундах

30000

ranger.plugin.knox.policy.source.impl

Класс, используемый для получения политик

org.apache.ranger.admin.client.RangerAdminJersey2RESTClient

xasecure.policymgr.clientssl.keystore.credential.file

Путь к файлу с учетными данными для пароля keystore

/etc/knox/conf/rangerusersync.jceks

xasecure.policymgr.clientssl.truststore.credential.file

Путь к файлу с учетными данными для пароля truststore

/etc/knox/conf/rangerusersync.jceks

Password

Пароль пользователя БД

 — 

Password for admin user

Пароль для администратора ADCM

 — 

Password for keyadmin user

Пароль для администратора Ranger KMS

 — 

Password for rangerusersync user

Пароль для пользователя с правами добавления пользователей и групп в Ranger Admin как часть механизма синхронизации с LDAP/AD или UNIX

 — 

Credstore password opts

Определяет, нужен ли пароль для credstore

password-file

ranger.db.encrypt.key.password

Пароль мастер-ключа шифрования

 — 

ranger.ks.jpa.jdbc.password

Пароль пользователя базы данных

 — 

ranger.ks.jpa.jdbc.url

Строка подключения JDBC для БД Ranger KMS. Оставьте поле пустым для автозаполнения при следующей реконфигурации

jdbc:mysql:<ranger-kms-host>:3306/rangerkms

ranger.ks.jpa.jdbc.driver

JDBC-драйвер, используемый для БД

 — 

ranger.ks.jpa.jdbc.user

Имя пользователя базы данных для запросов

rangerkms

ranger.ks.kerberos.keytab

Kerberos keytab-файл для Ranger KMS

 — 

ranger.ks.kerberos.principal

Kerberos-принципал для Ranger KMS

 — 

ranger.audit.solr.urls

Используется для подключения Ranger Admin к Solr для аудита

 — 

ranger.audit.solr.zookeepers

Используется для подключения Ranger Admin к инстансу Zookeeper для Solr для аудита

 — 

ranger.audit.source.type

Хранилище данных аудита. На данный момент поддерживается только Solr

 — 

ranger.authentication.method

Методы аутентификации (ACTIVE DIRECTORY, LDAP, NONE), используемые для входа в Ranger Admin

 — 

ranger.jpa.jdbc.password

Пароль для базы данных Ranger Admin

 — 

ranger.jpa.jdbc.url

Строка подключения JDBC для БД Ranger Admin. Оставьте поле пустым для автозаполнения при следующей реконфигурации

jdbc:mysql:<ranger-admin-host>:3306/ranger

ranger.jpa.jdbc.user

Имя пользователя для базы данных Ranger Admin

rangeradmin

ranger.service.http.port

HTTP-порт для Ranger Admin

6080

ranger.service.https.port

HTTPS-порт для Ranger admin

6182

ranger.service.shutdown.port

HTTP-порт, который будет использоваться для корректного выключения службы

6085

ranger.solr.audit.user.password

Пароль для пользователя Solr

 — 

ranger.admin.balancer.host

URL хоста с установленным балансировщиком

 — 

ranger.admin.balancer.port

Порт, на котором слушает балансировщик

 — 

ranger.admin.kerberos.token.valid.seconds

Время (в секундах) для валидации токена Kerberos

 — 

xasecure.audit.destination.solr.batch.filespool.dir

Каталог, в котором хранятся spool-файлы, когда буфер в памяти переполнен

/srv/ranger/kms/audit_solr_spool

HTTP Port for Ranger admin

HTTP-порт для Ranger Admin

9292

ranger.service.https.port

HTTPS-порт для Ranger Admin

9393

ranger.service.shutdown.port

HTTP-порт, который будет использоваться для корректного выключения службы

7085

ranger.contextName

Веб-контекст Ranger

/kms

ranger.service.host

Хост сервиса Ranger

localhost

ranger.plugin.kms.policy.cache.dir

Каталог, в котором кешируются политики Ranger после успешного извлечения из источника

srv/ranger/kms/policycache

ranger.usersync.port

Порт для службы аутентификации Unix

5151

ranger.usersync.role.assignment.list.delimiter

Разделитель при синхронизации ролей с пользователями, группами и ролями в Ranger Admin

&

ranger.usersync.sleeptimeinmillisbetweensynccycle

Тайм-аут (в миллисекундах) между операциями синхронизации пользователя операции

 — 

ranger.usersync.unix.minGroupId

Минимальный идентификатор группы для начала синхронизации. Этот параметр используется для того, чтобы избежать синхронизации пользователей уровня системы UNIX в Ranger Admin

500

ranger.usersync.unix.minUserId

Минимальный идентификатор пользователя для начала синхронизации. Этот параметр используется для того, чтобы избежать синхронизации пользователей уровня системы UNIX в Ranger Admin

500

ranger.usersync.username.groupname.assignment.list.delimiter

Разделитель при синхронизации пользователей и групп в Ranger Admin

,

ranger.usersync.users.groups.assignment.list.delimiter

Разделитель при синхронизации пользователей и групп с указанными ролями в Ranger Admin. Этот разделитель отделяет пользователей и группы от соответствующих ролей

:

ranger.usersync.ldap.binddn

Полное отличительное имя (DN)

 — 

LDAP bind password

Пароль для пользователя привязки LDAP

 — 

ranger.usersync.ldap.searchBase

База поиска пользователей и групп

rangerkms

ranger.usersync.ldap.url

URL-адрес сервера LDAP

ranger

ranger.usersync.ldap.user.groupnameattribute

Атрибут имени группы пользователей LDAP

memberof,ismemberof

ranger.usersync.ldap.user.nameattribute

Атрибут имени пользователя LDAP

cn

ranger.usersync.ldap.user.objectclass

Класс объекта пользователя LDAP

person

ranger.usersync.ldap.user.searchbase

Поисковая база для пользователей

 — 

ranger.usersync.ldap.user.searchfilter

Необязательный дополнительный фильтр, ограничивающий пользователей, выбранных для синхронизации

 — 

ranger.usersync.ldap.user.searchscope

 — 

ranger.usersync.group.searchenabled

Должен ли Usersync использовать ldapsearch для поиска групп вместо того, чтобы полагаться на атрибуты входа пользователя

 — 

ranger.usersync.group.memberattributename

Имя атрибута члена группы LDAP

member

ranger.usersync.group.nameattribute

Атрибут имени группы LDAP

cn

ranger.usersync.group.objectclass

Класс объекта LDAP Group

groupofnames

ranger.usersync.group.searchbase

Поисковая база для групп

 — 

ranger.usersync.group.searchfilter

Необязательный дополнительный фильтр, ограничивающий группы, выбранные для синхронизации

 — 

ranger.usersync.group.searchscope

 — 

ranger.ldap.url

URL-адрес сервера LDAP

 — 

ranger.ldap.bind.dn

Полное отличительное имя (DN) пользователя LDAP для привязки

 — 

ranger.ldap.bind.password

Пароль пользователя LDAP для привязки

 — 

ranger.ldap.base.dn

Отличительное имя запуска для поиска на сервере каталогов

 — 

ranger.ldap.group.searchbase

База поиска групп LDAP

 — 

ranger.ldap.group.searchfilter

Фильтр поиска групп LDAP

 — 

ranger.ldap.group.roleattribute

Атрибут роли группы LDAP

 — 

ranger.ldap.user.searchfilter

Фильтр поиска пользователей LDAP

 — 

ranger.ldap.user.dnpattern

DN пользователя LDAP

 — 

ranger.ldap.referral

ignore

ranger.ldap.ad.url

Адрес сервера Active Directory

 — 

ranger.ldap.ad.bind.dn

Полное отличительное имя (DN) пользователя AD для привязки

 — 

ranger.ldap.ad.bind.password

Пароль пользователя AD для привязки

 — 

ranger.ldap.ad.base.dn

Отличительное имя запуска для поиска на сервере каталогов

 — 

ranger.ldap.ad.domain

Доменное имя сервера (или IP-адрес), на котором запущен модуль ranger-usersync (наряду с AD Authentication Service)

 — 

ranger.ldap.ad.user.searchfilter

Фильтр поиска пользователей

sAMAccountName={0}

ranger.ldap.ad.referral

ignore

SOLR_HOME

Расположение индексных данных и конфигураций

/srv/solr/server

SOLR_AUTH_TYPE

Тип аутентификации для Solr

 — 

SOLR_AUTHENTICATION_OPTS

Параметры аутентификации Solr

 — 

GC_TUNE

JVM-параметры для Solr

-XX:-UseLargePages

SOLR_SSL_KEY_STORE:

Путь к keystore-файлу Solr (.jks)

 — 

SOLR_SSL_KEY_STORE_PASSWORD

Пароль к keystore-файлу Solr

 — 

SOLR_SSL_TRUST_STORE

Путь к truststore-файлу Solr (.jks)

 — 

SOLR_SSL_TRUST_STORE_PASSWORD

Пароль к truststore-файлу Solr

 — 

SOLR_SSL_NEED_CLIENT_AUTH

Определяет, включена ли клиентская аутентификация

false

SOLR_SSL_WANT_CLIENT_AUTH

Позволяет клиентам выполнять клиентскую аутентификацию (но не требует этого)

false

SOLR_SSL_CLIENT_HOSTNAME_VERIFICATION

Определяет, включена ли проверка имен хостов

false

SOLR_HOST

Указывает имя хоста Solr-сервера

 — 

LOG4J_PROPS

Путь к кастомному файлу конфигурации для log4j

/etc/solr/conf/log4j2.xml,/etc/solr/conf/log4j2-console.xml

Custom solr-env.sh

 — 

solr.xml

Содержимое файла solr.xml

ZK_HOST

Список всех серверов в Ensemble, включая порты, по которым они взаимодействуют. Вы можете добавить путь ZooKeeper chroot в конец строки подключения ZK_HOST. Например, host1.mydomain.com:2181,host2.mydomain.com:2181,host3.mydomain.com:2181/solr

 — 

Solr Server Heap Memory

Устанавливает начальный (-Xms) и максимальный (-Xmx) размер Java heap для Solr Server

-Xms512m -Xmx512m

xasecure.audit.solr.solr_url

Путь к Solr-коллекции для сохранения аудит-логов

 — 

xasecure.audit.solr.async.max.queue.size

Максимальный размер внутренней очереди для хранения аудит-логов

1

xasecure.audit.solr.async.max.flush.interval.ms

Максимальный временной интервал между сбросом лог-данных на диск (в миллисекундах)

100

ranger.solr.plugin.audit.excluded.users

Список пользователей, которым будет запрещен доступ к логам аудита Ranger

HTTP,rangeradmin,rangerkms

ranger.plugin.solr.policy.rest.url

 — 

ranger.plugin.solr.service.name

 — 

ranger.plugin.solr.policy.cache.dir

/srv/ranger/yarn/policycache

ranger.plugin.solr.policy.pollIntervalMs

30000

ranger.plugin.solr.policy.rest.client.connection.timeoutMs

Время ожидания подключения Solr-плагина RangerRestClient (в миллисекундах)

120000

ranger.plugin.solr.policy.rest.client.read.timeoutMs

Тайм-аут на чтение для Solr-плагина RangerRestClient (в миллисекундах)

30000

xasecure.policymgr.clientssl.keystore

Путь к keystore-файлу, который использует Ranger

 — 

xasecure.policymgr.clientssl.keystore.credential.file

Путь к файлу с учетными данными для keystore

/etc/{service-name}/conf/ranger-{service-name}.jceks

xasecure.policymgr.clientssl.truststore.credential.file

Путь к файлу с учетными данными для truststore

/etc/{service-name}/conf/ranger-{service-name}.jceks

xasecure.policymgr.clientssl.truststore

Путь к truststore-файлу, который использует Ranger

 — 

xasecure.policymgr.clientssl.keystore.password

Пароль для keystore-файла

 — 

xasecure.policymgr.clientssl.truststore.password

Пароль для truststore-файла

 — 

Ranger plugin enabled

Включает Ranger-плагин

false

Строка подключения ZooKeeper, используемая другими службами или кластерами. Генерируется автоматически

 — 

Место, где ZooKeeper хранит снепшоты базы данных в памяти и, если не указано иное, журнал транзакций обновлений базы данных

/var/lib/zookeeper

clientPort

Порт для прослушивания клиентских подключений, то есть порт, к которому пытаются подключиться клиенты

2181

Порт, который прослушивает сервер Jetty

5181

Активирует Admin server — встроенный Jetty-сервер, предоставляющий HTTP-интерфейс к командам, состоящим из четырех букв

False

tickTime

Базовая единица времени, используемая в ZooKeeper для heartbeats (в миллисекундах). Минимальный тайм-аут сессии равен tickTime * 2

2000

initLimit

Тайм-аут, который ZooKeeper использует для ограничения длительности времени, в течение которого серверы ZooKeeper в quorum подключаются к лидеру

5

Определяет максимальное допустимое отклонение по дате между сервером и лидером

2

Этот параметр ограничивает количество активных подключений с хоста с определенным IP-адресом к одному серверу ZooKeeper

0

Когда функция автоматической очистки ZooKeeper включена, она сохраняет последние autopurge.snapRetainCount cнепшотов и соответствующие журналы транзакций в dataDir и dataLogDir каталогах соответственно, а остальные удаляет. Минимальное значение 3

3

Интервал времени, в течение которого должна быть запущена задача очистки (в часах). Значением должно быть положительное целое число (1 и больше), чтобы включить автоматическую очистку

24

Add key,value

 — 

sslQuorum

Активирует зашифрованную кворумную коммуникацию

False

serverCnxnFactory

Имя класса, имплементирующего ServerCnxnFactory. Чтобы использовать серверную коммуникацию на основе TLS, присвойте параметру значение NettyServerCnxnFactory

org.apache.zookeeper.server.NettyServerCnxnFactory

ssl.quorum.keyStore.location

Полный путь к keystore-файлу на сервере

 — 

ssl.quorum.keyStore.password

Пароль от keystore-файла

 — 

ssl.quorum.trustStore.location

Полный путь к truststore-файлу на сервере

 — 

ssl.quorum.trustStore.password

Пароль от truststore-файла

 — 

ssl.protocol

Протокол, используемый при TLS-рукопожатии в клиенте

TLSv1.2

ssl.quorum.protocol

Протокол, используемый при TLS-рукопожатии в кворуме

TLSv1.2

ZOO_LOG_DIR

Каталог для хранения логов

/var/log/zookeeper

ZOOPIDFILE

Каталог, где хранится ID процесса ZooKeeper

/var/run/zookeeper/zookeeper_server.pid

SERVER_JVMFLAGS

Используется для установки различных JVM-параметров, например, для сборщика мусора

-Xmx1024m

JAVA

Путь к Java

$JAVA_HOME/bin/java

ZOO_LOG4J_PROP

Используется для установки уровня логирования log4j и определяет, какие лог-appender следует использовать. Использование лог-appender CONSOLE направляет логи в стандартный вывод. Использование ROLLINGFILE создает файл zookeeper.log, затем этот файл ротируется, а затем срок его действия истекает

INFO, CONSOLE, ROLLINGFILE