温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

如何进行Apache Ranger的内部分析

发布时间:2022-01-18 10:02:48 来源:亿速云 阅读:168 作者:柒染 栏目:大数据

今天就跟大家聊聊有关如何进行Apache Ranger的内部分析,可能很多人都不太了解,为了让大家更加了解,小编给大家总结了以下内容,希望大家根据这篇文章可以有所收获。


首先我们看一下Ranger内部的所有部件:

  • Ranger Admin Server/Portal

  • Ranger Policy Server

  • Ranger Plugins

  • Ranger User/Group Sync

  • Ranger Tag Sync

  • Ranger Audit Server

下面这张架构图展示了每个部件之间的关系:

如何进行Apache Ranger的内部分析

以下我们看看每个部件的更多细节。

Ranger Admin Server/Portal

  • 安全管理的集中接口

  • 管理员可以

    • 定义repositories

    • 创建和更新策略

    • 管理Ranger用户/组

    • 定义审计策略

    • 查看审计事件

  • 运行在Tomcat服务中

  • 提供Ranger API

Ranger Policy Server

  • 允许管理员定义/更新策略细节

  • 允许管理员指定哪些用户是代理管理员,谁可以访问修改策略

  • 策略可以分为不同的安全区域

    • 一种资源只能分配给一个安全区域

    • 如果资源匹配,则仅检查已定义区域中的策略

    • 如果没有资源匹配,则将使用默认区域(无名称)下的策略

  • 同时支持allow和deny策略

    • 拒绝策略会先于允许前检查

  • 策略适用于用户或组

Ranger User/Group Sync

  • 同步程序会拉取用户和用户组,它支持从以下源同步用户/组:

    • Unix

    • LDAP

    • AD

  • 用户/组信息存储在Ranger管理策略数据库中,并用于策略定义

Ranger Plugins

  • 安装在Hadoop组件中的轻量级的Java组件,比如安装到HDFS或Hive中。

  • 定期从Admin Server提取策略并本地缓存

  • 充当授权模块并根据安全策略评估用户请求

    • 如果未找到策略,则回退使用HDFS ACLs,同时拒绝所有其他组件的访问

  • 触发审计数据存储请求(同时发送到HDFS和Solr)

Ranger Audit Server

  • 通过策略配置审计(用户指定是否需要启用审计,如果适用此策略)

  • 默认情况下,审计数据存储在HDFS和Solr中

    • Solr中的数据将用于在Ranger admin UI中显示审计数据

    • HDFS中的数据作为备份,不会被使用(就我目前的了解)

    • 从0.5开始不再支持审计数据存储在DB中

  • 支持审计日志摘要(Audit Log Summarisation)

    • 从Apache Ranger0.5开始

    • 在定义的期间内,只有时间戳不同的相似日志将汇总到单个审计条目中,以避免大量审计日志

    • 默认为5秒

Ranger Tag Sync

  • 从Apache Ranger 0.6开始

  • 它将资源分类与访问授权分开

  • 只要资源附加了相同的标签,就可以将一个标签策略应用于多个组件

    • 帮助减少Ranger中所需的策略数量

  • 需要Apache Atlas来管理元数据(Hive数据库/表,HDFS路径,Kafka Topic和标签/分类等)

  • 基于事件

    • Hive等中的任何更改都会将事件发送到Kafka topic(ATLAS_HOOK),然后Atlas将获取更改

    • Atlas中的任何更改都会将事件发送到Kafka topic(ATLAS_ENTITIES),然后Ranger Tag Sync将获取更改

  • 标签策略将在基于资源的策略之前进行评估

如何进行Apache Ranger的内部分析

如你所见,Ranger内部还包括很多其它部件,根据本文的描述应该能让你对Ranger的整体功能有一个清晰的了解。

看完上述内容,你们对如何进行Apache Ranger的内部分析有进一步的了解吗?如果还想了解更多知识或者相关内容,请关注亿速云行业资讯频道,感谢大家的支持。

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI