您好,登錄后才能下訂單哦!
今天就跟大家聊聊有關如何進行Apache Ranger的內(nèi)部分析,可能很多人都不太了解,為了讓大家更加了解,小編給大家總結(jié)了以下內(nèi)容,希望大家根據(jù)這篇文章可以有所收獲。
首先我們看一下Ranger內(nèi)部的所有部件:
Ranger Admin Server/Portal
Ranger Policy Server
Ranger Plugins
Ranger User/Group Sync
Ranger Tag Sync
Ranger Audit Server
下面這張架構(gòu)圖展示了每個部件之間的關系:
以下我們看看每個部件的更多細節(jié)。
Ranger Admin Server/Portal
安全管理的集中接口
管理員可以
定義repositories
創(chuàng)建和更新策略
管理Ranger用戶/組
定義審計策略
查看審計事件
運行在Tomcat服務中
提供Ranger API
Ranger Policy Server
允許管理員定義/更新策略細節(jié)
允許管理員指定哪些用戶是代理管理員,誰可以訪問修改策略
策略可以分為不同的安全區(qū)域
一種資源只能分配給一個安全區(qū)域
如果資源匹配,則僅檢查已定義區(qū)域中的策略
如果沒有資源匹配,則將使用默認區(qū)域(無名稱)下的策略
同時支持allow和deny策略
拒絕策略會先于允許前檢查
策略適用于用戶或組
Ranger User/Group Sync
同步程序會拉取用戶和用戶組,它支持從以下源同步用戶/組:
Unix
LDAP
AD
用戶/組信息存儲在Ranger管理策略數(shù)據(jù)庫中,并用于策略定義
Ranger Plugins
安裝在Hadoop組件中的輕量級的Java組件,比如安裝到HDFS或Hive中。
定期從Admin Server提取策略并本地緩存
充當授權(quán)模塊并根據(jù)安全策略評估用戶請求
如果未找到策略,則回退使用HDFS ACLs,同時拒絕所有其他組件的訪問
觸發(fā)審計數(shù)據(jù)存儲請求(同時發(fā)送到HDFS和Solr)
Ranger Audit Server
通過策略配置審計(用戶指定是否需要啟用審計,如果適用此策略)
默認情況下,審計數(shù)據(jù)存儲在HDFS和Solr中
Solr中的數(shù)據(jù)將用于在Ranger admin UI中顯示審計數(shù)據(jù)
HDFS中的數(shù)據(jù)作為備份,不會被使用(就我目前的了解)
從0.5開始不再支持審計數(shù)據(jù)存儲在DB中
支持審計日志摘要(Audit Log Summarisation)
從Apache Ranger0.5開始
在定義的期間內(nèi),只有時間戳不同的相似日志將匯總到單個審計條目中,以避免大量審計日志
默認為5秒
Ranger Tag Sync
從Apache Ranger 0.6開始
它將資源分類與訪問授權(quán)分開
只要資源附加了相同的標簽,就可以將一個標簽策略應用于多個組件
幫助減少Ranger中所需的策略數(shù)量
需要Apache Atlas來管理元數(shù)據(jù)(Hive數(shù)據(jù)庫/表,HDFS路徑,Kafka Topic和標簽/分類等)
基于事件
Hive等中的任何更改都會將事件發(fā)送到Kafka topic(ATLAS_HOOK),然后Atlas將獲取更改
Atlas中的任何更改都會將事件發(fā)送到Kafka topic(ATLAS_ENTITIES),然后Ranger Tag Sync將獲取更改
標簽策略將在基于資源的策略之前進行評估
如你所見,Ranger內(nèi)部還包括很多其它部件,根據(jù)本文的描述應該能讓你對Ranger的整體功能有一個清晰的了解。
看完上述內(nèi)容,你們對如何進行Apache Ranger的內(nèi)部分析有進一步的了解嗎?如果還想了解更多知識或者相關內(nèi)容,請關注億速云行業(yè)資訊頻道,感謝大家的支持。
免責聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進行舉報,并提供相關證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。