操作场景
为构建统一、安全的数据治理体系,企业可使用Apache Ranger对大数据平台进行集中化的细粒度权限管控。通过Ranger,管理员可以统一配置并管理用户对Hive、Spark、HDFS及Doris等核心组件的访问策略,实现从库、表、列到文件、目录级别的安全控制。
在部署Ranger组件后,需为上述服务逐一启用对应的Ranger权限插件,并完成相关服务的配置与重启操作,以使权限策略生效,从而确保数据访问的安全性与合规性。
操作步骤
登录翼MR管理控制台。
单击“我的集群”,单击指定的集群名称,进入集群信息页面。
单击“翼MR Manager”tab,单击“前往翼MR Manager”。
进入到翼MR Manager操作界面,单击“集群服务”菜单。
选择Ranger服务,单击“插件启用”tab。
单击要启用的插件,启用后请参考说明进行配置修改或重启相关服务。
注意
重启服务时请选择合适的业务时间,避免影响存量作业运行,可考虑使用滚动重启或逐节点重启的方式,降低业务影响。
说明
Hive:插件启用成功后,请重启HiverServer2角色实例。
HDFS:插件启用成功后,请重启NameNode角色实例。
Spark:插件启用成功后,请重启Kyuubi服务。
Doris:插件启用成功后,请参考下述信息修改配置并进行同步,重启FE角色实例后,功能生效。
步骤1:上Ranger的keytab文件到所FE节点上(ansible/scp等方式),上传路径:/etc/security/keytabs/ranger.keytab,然后改成其他用户可读
步骤2:修改/usr/local/doris-fe/conf/ranger-doris-security.xml文件中的配置,并确认配置项替换成功
RANGER_ADMIN_REST_ADDRESS=Ranger Admin所在的IP与端口 RANGER_ADMIN_KEYTAB_PATH=/etc/security/keytabs/ranger.keytab RANGER_ADMIN_PRINCIPAL=$(klist -kt /etc/security/keytabs/ranger.keytab | grep -m1 ranger/ | sed -E "s/.* (ranger\\/[^[:space:]]+).*/\\1/" | tr -d "\n" | xargs) sed -i "s|RANGER_ADMIN_REST_ADDRESS|$RANGER_ADMIN_REST_ADDRESS|" /usr/local/doris-fe/conf/ranger-doris-security.xml sed -i "s|RANGER_ADMIN_KEYTAB_PATH|$RANGER_ADMIN_KEYTAB_PATH|" /usr/local/doris-fe/conf/ranger-doris-security.xml sed -i "s|RANGER_ADMIN_PRINCIPAL|$RANGER_ADMIN_PRINCIPAL|" /usr/local/doris-fe/conf/ranger-doris-security.xml步骤3:在manager启用Ranger集群服务页面,启Doris插件,并重启FE节点。
