apache hadoop生态系統中的安全管理架構apache ranger晉升為頂級項目。range是一種定義和管理安全政策的集中式元件,這些安全政策在受支援的hadoop元件間強制執行,包括apache hbase、hadoop(hdfs和yarn)、apache hive、apache kafka、apache solr等。
對于受支援的hadoop元件,ranger通過通路控制政策提供了一種标準的授權方法。作為标準,ranger提供了一種集中式的元件,用于審計使用者的通路行為和管理元件間的安全互動行為。
ranger使用了一種基于屬性的方法定義和強制實施安全政策。當與apache hadoop的資料治了解決方案和中繼資料倉儲元件apache atlas一起使用時,它可以定義一種基于标簽的安全服務,通過使用标簽對檔案和資料資産進行分類,并控制使用者和使用者組對一系列标簽的通路。
ranger的功能還包括動态政策(dynamic policies),當通路依賴于時間等動态因素時。它可以基于每天的不同時刻、ip位址或是地理位置對通路資源進行限制。
apache ranger架構在組成上還包括一個ranger政策管理伺服器(policy admin server),該伺服器将政策存儲在關系資料庫中(通常使用mysql)。每個受支援的元件(例如hive、hdfs等)通過運作ranger插件對所有被通路的資源(例如檔案、資料庫、資料庫表、資料列等)執行授權檢查。授權通常基于已定義的政策,并從集中式管理伺服器處擷取,預設的輪詢周期是30秒。插件在管理伺服器當機時仍然能夠工作,不過根據最佳實踐,最好把它們配置成高可用的。
ranger另一個對企業有用的特性是與外部系統內建做授權證。它支援的授權機制包括ldap/ad和unix系統認證。ranger可以将審計記錄寫入apache solr。
本文轉自d1net(轉載)
![Windows下配置Apache的SSL服務[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)