通过Ranger插件设置访问控制
  • PDF

通过Ranger插件设置访问控制

  • PDF

可在VPC环境下使用。

通过Apache Ranger可以构建针对大数据生态系统的安全规则。Ranger项目可以为所有Hadoop应用程序定义并应用统一的安全指南。

启用Ranger插件

  1. 访问Ambari UI后,依次点击Services > Ranger > Configs > Ranger Plugin后变更设置。

    • 集群中安装的服务决定了哪些插件可以启用。(默认值:启用插件)
    • 如需在服务中通过Ranger管理安全策略,请将插件变更为ON状态。此处将启用HDFS、Hive、YARN等全部插件并保存其配置值。
  2. HDFS、Hive、YARN服务均需重新启动。点击右上方的 [重新启动] 按钮以使变更的设置生效。

chadoop-3-8-02_zh.png

  1. 若显示Dependent Configurations提示符,则点击 [OK] 按钮。
    chadoop-3-8-04_zh.png

Ranger Admin UI

  1. 访问SSL VPN。

  2. 在Cloud Hadoop控制台的集群列表中,选择拟访问Ranger Admin UI的集群后,点击 [按应用程序查看] > Ranger

    chadoop-3-8-03_zh.png

    另外也可以通过以下URL直接访问Ranger Admin UI。

     ```
     https://<PUBLIC-DOMAIN>:6182/
     ```
    

    chadoop-3-8-05_zh.png

    参考

    Cloud Hadoop 1.3版本以下的Ranger UI账户(ID/密码)被设置为admin/admin。
    Cloud Hadoop 1.4版本以上的Ranger UI账户(ID/密码)则被设置为admin/{用户输入的密码}。

  3. 访问Ranger Admin UI后,可以查看已应用策略的服务。

    • 可以通过前期操作确认启用插件的HDFS、Hive、YARN策略。

    chadoop-3-8-06_zh.png

  4. 点击HDFS插件,在List of Policies界面确认默认创建的策略规则。

    chadoop-3-8-07_zh.png

    • 若查看详细信息页面,可以确认到hdfsambari-qa用户已设置为拥有所有路径的read、write、execute权限。

      chadoop-3-8-08_zh.png

创建Ranger策略

  1. 在Ranger Admin UI初始界面中点击HDFS插件后,在List of Policies界面中点击 [Add New Policy] 按钮。
    chadoop-3-8-09_zh.png

  2. 按如下方式设置新规则后,点击 [Add] 按钮。

    • Resource Path中也可以输入其他路径。此处使用管理员账户的HDFS主目录。如需为特定目录下的所有文件或子目录应用权限,则须将 [Recursive] 按钮设置为启用状态。
    • 为确保用于SSH访问的ncloud账户可以访问此路径,请在Select User中选择ncloud
    • 此处授予了read、write和execute等所有权限。

    chadoop-3-8-10_zh.png

参考

Cloud Hadoop会为安装时设置的管理员账户(例如:suewoon)默认创建HDFS主目录。

  1. 确认通过ls命令创建的规则是否已应用。

    • 可以随意访问集群中的任意节点。
    • 请通过SSH访问节点,按如下方式使用mkdir命令在ncloud账户的/user/suewoon目录中创建新的目录后,使用ls命令测试目录是否已正常创建。

    chadoop-3-8-11_zh.png


本文是否有帮助