如何進行Apache Ranger的內(nèi)部分析

今天就跟大家聊聊有關如何進行Apache Ranger的內(nèi)部分析，可能很多人都不太了解，為了讓大家更加了解，小編給大家總結(jié)了以下內(nèi)容，希望大家根據(jù)這篇文章可以有所收獲。

首先我們看一下Ranger內(nèi)部的所有部件：

• Ranger Admin Server/Portal

• Ranger Policy Server

• Ranger Plugins

• Ranger User/Group Sync

• Ranger Tag Sync

• Ranger Audit Server

下面這張架構(gòu)圖展示了每個部件之間的關系：

以下我們看看每個部件的更多細節(jié)。

Ranger Admin Server/Portal

• 安全管理的集中接口

• 管理員可以

• 定義repositories

• 創(chuàng)建和更新策略

• 管理Ranger用戶/組

• 定義審計策略

• 查看審計事件

• 運行在Tomcat服務中

• 提供Ranger API

Ranger Policy Server

• 允許管理員定義/更新策略細節(jié)

• 允許管理員指定哪些用戶是代理管理員，誰可以訪問修改策略

• 策略可以分為不同的安全區(qū)域

• 一種資源只能分配給一個安全區(qū)域

• 如果資源匹配，則僅檢查已定義區(qū)域中的策略

• 如果沒有資源匹配，則將使用默認區(qū)域（無名稱）下的策略

• 同時支持allow和deny策略

• 拒絕策略會先于允許前檢查

• 策略適用于用戶或組

Ranger User/Group Sync

• 同步程序會拉取用戶和用戶組，它支持從以下源同步用戶/組：

• Unix

• LDAP

• AD

• 用戶/組信息存儲在Ranger管理策略數(shù)據(jù)庫中，并用于策略定義

Ranger Plugins

• 安裝在Hadoop組件中的輕量級的Java組件，比如安裝到HDFS或Hive中。

• 定期從Admin Server提取策略并本地緩存

• 充當授權(quán)模塊并根據(jù)安全策略評估用戶請求

• 如果未找到策略，則回退使用HDFS ACLs，同時拒絕所有其他組件的訪問

• 觸發(fā)審計數(shù)據(jù)存儲請求（同時發(fā)送到HDFS和Solr）

Ranger Audit Server

• 通過策略配置審計（用戶指定是否需要啟用審計，如果適用此策略）

• 默認情況下，審計數(shù)據(jù)存儲在HDFS和Solr中

• Solr中的數(shù)據(jù)將用于在Ranger admin UI中顯示審計數(shù)據(jù)

• HDFS中的數(shù)據(jù)作為備份，不會被使用(就我目前的了解)

• 從0.5開始不再支持審計數(shù)據(jù)存儲在DB中

• 支持審計日志摘要(Audit Log Summarisation)

• 從Apache Ranger0.5開始

• 在定義的期間內(nèi)，只有時間戳不同的相似日志將匯總到單個審計條目中，以避免大量審計日志

• 默認為5秒

Ranger Tag Sync

• 從Apache Ranger 0.6開始

• 它將資源分類與訪問授權(quán)分開

• 只要資源附加了相同的標簽，就可以將一個標簽策略應用于多個組件

• 幫助減少Ranger中所需的策略數(shù)量

• 需要Apache Atlas來管理元數(shù)據(jù)（Hive數(shù)據(jù)庫/表，HDFS路徑，Kafka Topic和標簽/分類等）

• 基于事件

• Hive等中的任何更改都會將事件發(fā)送到Kafka topic（ATLAS_HOOK），然后Atlas將獲取更改

• Atlas中的任何更改都會將事件發(fā)送到Kafka topic（ATLAS_ENTITIES），然后Ranger Tag Sync將獲取更改

• 標簽策略將在基于資源的策略之前進行評估

如你所見，Ranger內(nèi)部還包括很多其它部件，根據(jù)本文的描述應該能讓你對Ranger的整體功能有一個清晰的了解。

看完上述內(nèi)容，你們對如何進行Apache Ranger的內(nèi)部分析有進一步的了解嗎？如果還想了解更多知識或者相關內(nèi)容，請關注億速云行業(yè)資訊頻道，感謝大家的支持。