Apache Ranger 集成
Last updated
Last updated
通过,管理员能够对各类数据资源的权限策略进行集中管理。至于 Ranger 与 Alluxio 的集成,其具体方式会因不同用例而存在差异:
Ranger 在 HDFS 侧集成:Alluxio 可正常与 HDFS 通信,Ranger 在 HDFS 层面执行访问权限管理,Alluxio 侧无需额外配置。
Ranger 在计算引擎(如 Spark 和 Trino)侧集成:Ranger 在计算引擎侧进行权限管理,Alluxio 无需进行额外配置。
Ranger 作为 Alluxio 命名空间的授权工具:目前,Alluxio 尚不支持 Ranger 对 Alluxio 命名空间访问权限管理。
当 Ranger 充当 HDFS 的授权工具时,Alluxio 与 HDFS 的通信保持正常状态。在此情况下,Ranger 负责在 HDFS 上实施访问权限管控,Alluxio 这一侧无需进行任何额外的配置工作,二者协同工作,确保整个数据访问流程在安全且稳定的权限管理下顺利开展。这种模式充分利用了 Ranger 在 HDFS 授权方面的功能,简化了 Alluxio 的配置复杂度,为数据资源的权限管理提供了高效的解决方案。
如果要让 Alluxio 能够访问启用了Ranger的HDFS,可为 Alluxio 进程用户(如alluxio)配置 Ranger 策略,并授予必要的权限。
总结:当 Ranger 在 HDFS 侧开展访问权限管理工作时,Alluxio 可照常运行,无需任何特殊配置。
Spark 和 Trino 等计算引擎与 Ranger 集成后,可在内部执行访问控制策略:
**Trino:** Trino coordinator 会在执行查询之前检查并执行 Ranger 中定义的策略,确保用户拥有合理的权限。
**Spark:** Spark 经配置后可与 Ranger 集成,并执行相应的访问策略。
Alluxio 作为数据缓存层,不执行表级别或 schema 级别的策略。由于 Alluxio 对表无感知,因此不会直接与 schema 级别的数据交互,也不会执行表的相关策略。
总结:当 Spark 和 Trino 等计算引擎与 Ranger 集成后,会在内部执行访问策略。在此类情况下,无需对Alluxio 进行额外配置。
Alluxio 命名空间提供了数据的统一视图和组织,可统一多个底层存储系统。目前 Alluxio 尚不支持在 Alluxio 命名空间级别直接集成 Ranger 进行权限的管理。