文档编写目的
在前面的文章中,Fayson介绍了
《0752-7.0.3-如何在CDP DC7.0.3安装Ranger》
《0741-什么是Apache Ranger - 1》
《0742-什么是Apache Ranger - 2》
《0745-什么是Apache Ranger - 3》
《0801-什么是Apache Ranger - 4 - Resource vs Tag Based Policies》
《0803-什么是Apache Ranger - 5 - Hive Plugin》
本篇文章Fayson主要介绍Ranger 页面的功能点。
- 测试环境
1.操作系统Redhat7.6
2.CDP DC7.1.3
Ranger 页面功能简介
2.1Access Manager 功能简介
首先从Cloudera Manager 页面点击Ranger Admin UI 或者直接访问 Ranger Admin Server 所在节点的6080端口,输入admin的账号和密码进入Ranger主页
在Ranger 的首页中展示的其实是Access Manager 中的Resouce Based Policy页面的信息。我们可以看到当前的版本为2.0,支持的组件包括HDFS、HBase、YARN等,其中Hive、Impala 在Ranger 中统称为Hadoop SQL。对于如何对每个组件进行设置权限策略,Fayson在后面的文章中会逐一详细介绍。
Access Manager 中的Tag Based Policy页面的信息如下,只有一个cm_tag 的权限策略,在《什么是Apache Ranger - 4 - Resource vs Tag Based Policies》有介绍,本文中不深入探讨
然后Fayson介绍下Access Manager 中的Reports ,该页面主要统一展示在Ranger 设置哪些权限策略,并且在页提上了条件筛选,默认展示所有策略。如果我们只想知道某个用户或者组的权限策略,以通过Search By 这里进行条件筛选
2.2Audit功能简介
在Audit 中主要功能是用于审计,该功能依赖于Solr 中生成的索引,用于快速查询审计信息。包括功能点如下:
- Access 用于对所有策略请求记录查看,包括拒绝的策略和允许的策略。默认展示的为当天的权限策略请求记录,也可以根据上面的条件对用户、组、服务类型、安全域等条件进行筛选查看。
- Admin 用户的 操作记录,就是指登录Ranger WebUI时候或者是使用Rest API所用的用户的操作记录,包括用户创建或者修改策略信息等,支持用户、时间等条件筛选。
- Login Session指登录Ranger WebUI时候所用的用户的登录信息,包括登录类型、时间、用户、登录IP等信息,也可以通过你想要的条件进行筛选。
- Plugins 主要指的是Ranger 的Plugins 同步到指定服务的信息,包括状态以及同步的服务以及IP 和时间的信息,从这里我们也可以看出Hive和Impala 在CDP7.1.3中统一为Hadoop SQL。并且可以看到Plugin 需要同步每个服务的哪些节点,比如Hive 同步了HiveServer2和 Hive Metastore ,Impala 同步了Impala Deamon、HBase 中则是包括HBase Master 和HBase Region Server。
- Plugin Status 用于展示Ranger 在每个组件中的Plugin 同步的IP、Host Name以及时间等信息,如果同步状态有问题,在时间栏中会有告警提示
- User Sync 用于展示用户同步信息,默认只展示当天的用户同步信息。
2.3 Security Zone 功能简介
安全区域(Security Zone)在Ranger中提供了将资源策略分成不同区域的功能。这有助于简化安全策略的管理,并允许在针对某些资源进行授权时检查数量有限的策略,因为仅加载和检查包含请求资源的特定区域下的策略。在《什么是Apache Ranger – 3》文章中有详细的介绍
2.4 Setting功能简介
- Users/Gourps/Roles 主要用于对Ranger 中所有的用户和组以及角色的信息查看,包括Unix或者LDAP用户。当某个用户无法登录时,可以使用admin 用户登录该页面查询用户是否已经同步。
- Permissions 用于统一管理Ranger WebUI 的上述大较大功能项的管理。如你登录用户后发下没有Audit 或者Resource Based Policies ,那么可能是该出没有设置权限
总结
通过对Ranger 页面功能简介可以看出,Ranger 基于策略(Policy-based)的访问权限模型,并且有者通用的策略同步与决策逻辑,便控制插件的扩展接入。置常见系统(如HDFS、YARN、HBase等14个)的控制插件,且可扩展。基于LDAP、File、Unix的用户同步机制,提供了统一的中心化的管理界面,包括策略管理、审计查看、插件管理等功能,相对于Sentry 而言,权限管理明确又易用。