Contents

1. 1. Ranger平台使用体验
   1. 1.1. 需求来源
   2. 1.2. Ranger介绍
   3. 1.3. 使用体验
   4. 1.4. 未完待续留坑

Ranger平台使用体验

---

需求来源

Hadoop平台需要进行权限控制，限制对YARN资源的使用、HDFS文件的读取控制。

Ranger介绍

Ranger是Hadoop平台的集中式安全管理框架，能够为hadoop平台组件提供细粒度的访问控制。通过Ranger, Hadoop管理员能够轻松地管理各种安全策略，包括：访问文件/文件夹，数据库，Hive表，列, Hbase, YARN等。此外，Ranger还能进行审计管理，以及策略分析，从而为Hadoop环境的深层次分析提供支持。
目前，Ranger支持对以下的Hadoop组件：HDFS, HBase, Hive, Yarn, Knox, Storm, Solr, Kafka

使用体验

首先需要申明笔者的业务需求。

1. 笔者希望凡是访问HDFS文件的Access Request都能留下日志。
2. HDFS的群组信息可能并不清楚访问者身份，所以在HDFS认定为匿名用户时，Ranger能为该用户分配身份和分配群组信息，同时该身份能在Ranger平台进行授权操作，这样能达到管理数据资源的业务需求。
   笔者使用了Ranger-admin Ranger-hdfs-plugin(需要修改启动脚本，设置hdfs库目录) Ranger-tagsync(需要zookeeper) Ranger-usersync(需要kafka组件) Ranger-kms(key-manage-system),Hadoop2.7.3使用kerberos作为权限认证组件，不过过程不顺利、结果不理想。
3. 使用缓存票据可以访问hdfs文件，不过不能在Ranger生成Access Audit日志，这是问题之一。
4. 同时Ranger不能对External User进行群组管理，为他们在Ranger平台设置Group信息，笔者并没有详细查询HDFS系统内的群组的命令及管理操作。
5. 针对SSO平台提供的票据，Ranger也没能为他们提供Group管理。

未完待续留坑