您好,登录后才能下订单哦!
今天就跟大家聊聊有关如何进行Apache Ranger的内部分析,可能很多人都不太了解,为了让大家更加了解,小编给大家总结了以下内容,希望大家根据这篇文章可以有所收获。
首先我们看一下Ranger内部的所有部件:
Ranger Admin Server/Portal
Ranger Policy Server
Ranger Plugins
Ranger User/Group Sync
Ranger Tag Sync
Ranger Audit Server
下面这张架构图展示了每个部件之间的关系:
以下我们看看每个部件的更多细节。
Ranger Admin Server/Portal
安全管理的集中接口
管理员可以
定义repositories
创建和更新策略
管理Ranger用户/组
定义审计策略
查看审计事件
运行在Tomcat服务中
提供Ranger API
Ranger Policy Server
允许管理员定义/更新策略细节
允许管理员指定哪些用户是代理管理员,谁可以访问修改策略
策略可以分为不同的安全区域
一种资源只能分配给一个安全区域
如果资源匹配,则仅检查已定义区域中的策略
如果没有资源匹配,则将使用默认区域(无名称)下的策略
同时支持allow和deny策略
拒绝策略会先于允许前检查
策略适用于用户或组
Ranger User/Group Sync
同步程序会拉取用户和用户组,它支持从以下源同步用户/组:
Unix
LDAP
AD
用户/组信息存储在Ranger管理策略数据库中,并用于策略定义
Ranger Plugins
安装在Hadoop组件中的轻量级的Java组件,比如安装到HDFS或Hive中。
定期从Admin Server提取策略并本地缓存
充当授权模块并根据安全策略评估用户请求
如果未找到策略,则回退使用HDFS ACLs,同时拒绝所有其他组件的访问
触发审计数据存储请求(同时发送到HDFS和Solr)
Ranger Audit Server
通过策略配置审计(用户指定是否需要启用审计,如果适用此策略)
默认情况下,审计数据存储在HDFS和Solr中
Solr中的数据将用于在Ranger admin UI中显示审计数据
HDFS中的数据作为备份,不会被使用(就我目前的了解)
从0.5开始不再支持审计数据存储在DB中
支持审计日志摘要(Audit Log Summarisation)
从Apache Ranger0.5开始
在定义的期间内,只有时间戳不同的相似日志将汇总到单个审计条目中,以避免大量审计日志
默认为5秒
Ranger Tag Sync
从Apache Ranger 0.6开始
它将资源分类与访问授权分开
只要资源附加了相同的标签,就可以将一个标签策略应用于多个组件
帮助减少Ranger中所需的策略数量
需要Apache Atlas来管理元数据(Hive数据库/表,HDFS路径,Kafka Topic和标签/分类等)
基于事件
Hive等中的任何更改都会将事件发送到Kafka topic(ATLAS_HOOK),然后Atlas将获取更改
Atlas中的任何更改都会将事件发送到Kafka topic(ATLAS_ENTITIES),然后Ranger Tag Sync将获取更改
标签策略将在基于资源的策略之前进行评估
如你所见,Ranger内部还包括很多其它部件,根据本文的描述应该能让你对Ranger的整体功能有一个清晰的了解。
看完上述内容,你们对如何进行Apache Ranger的内部分析有进一步的了解吗?如果还想了解更多知识或者相关内容,请关注亿速云行业资讯频道,感谢大家的支持。
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。