如何进行ApacheRanger的内部分析

今天就跟大家聊聊有关如何进行Apache Ranger的内部分析，可能很多人都不太了解，为了让大家更加了解，小编给大家总结了以下内容，希望大家根据这篇文章可以有所收获。

首先我们看一下Ranger内部的所有部件：

• Ranger Admin Server/Portal

• Ranger Policy Server

• Ranger Plugins

• Ranger User/Group Sync

• Ranger Tag Sync

• Ranger Audit Server

下面这张架构图展示了每个部件之间的关系：

以下我们看看每个部件的更多细节。

Ranger Admin Server/Portal

• 安全管理的集中接口

• 管理员可以

• 定义repositories

• 创建和更新策略

• 管理Ranger用户/组

• 定义审计策略

• 查看审计事件

• 运行在Tomcat服务中

• 提供Ranger API

Ranger Policy Server

• 允许管理员定义/更新策略细节

• 允许管理员指定哪些用户是代理管理员，谁可以访问修改策略

• 策略可以分为不同的安全区域

• 一种资源只能分配给一个安全区域

• 如果资源匹配，则仅检查已定义区域中的策略

• 如果没有资源匹配，则将使用默认区域（无名称）下的策略

• 同时支持allow和deny策略

• 拒绝策略会先于允许前检查

• 策略适用于用户或组

Ranger User/Group Sync

• 同步程序会拉取用户和用户组，它支持从以下源同步用户/组：

• Unix

• LDAP

• AD

• 用户/组信息存储在Ranger管理策略数据库中，并用于策略定义

Ranger Plugins

• 安装在Hadoop组件中的轻量级的Java组件，比如安装到HDFS或Hive中。

• 定期从Admin Server提取策略并本地缓存

• 充当授权模块并根据安全策略评估用户请求

• 如果未找到策略，则回退使用HDFS ACLs，同时拒绝所有其他组件的访问

• 触发审计数据存储请求（同时发送到HDFS和Solr）

Ranger Audit Server

• 通过策略配置审计（用户指定是否需要启用审计，如果适用此策略）

• 默认情况下，审计数据存储在HDFS和Solr中

• Solr中的数据将用于在Ranger admin UI中显示审计数据

• HDFS中的数据作为备份，不会被使用(就我目前的了解)

• 从0.5开始不再支持审计数据存储在DB中

• 支持审计日志摘要(Audit Log Summarisation)

• 从Apache Ranger0.5开始

• 在定义的期间内，只有时间戳不同的相似日志将汇总到单个审计条目中，以避免大量审计日志

• 默认为5秒

Ranger Tag Sync

• 从Apache Ranger 0.6开始

• 它将资源分类与访问授权分开

• 只要资源附加了相同的标签，就可以将一个标签策略应用于多个组件

• 帮助减少Ranger中所需的策略数量

• 需要Apache Atlas来管理元数据（Hive数据库/表，HDFS路径，Kafka Topic和标签/分类等）

• 基于事件

• Hive等中的任何更改都会将事件发送到Kafka topic（ATLAS_HOOK），然后Atlas将获取更改

• Atlas中的任何更改都会将事件发送到Kafka topic（ATLAS_ENTITIES），然后Ranger Tag Sync将获取更改

• 标签策略将在基于资源的策略之前进行评估

如你所见，Ranger内部还包括很多其它部件，根据本文的描述应该能让你对Ranger的整体功能有一个清晰的了解。

看完上述内容，你们对如何进行Apache Ranger的内部分析有进一步的了解吗？如果还想了解更多知识或者相关内容，请关注编程笔记行业资讯频道，感谢大家的支持。