Apache Ranger提供集中式的許可權管理架構,可以對Hadoop生態中的HDFS、Hive和YARN等組件進行細粒度的許可權存取控制,並且提供了Web UI方便管理員操作。
Ranger組件介紹
- Ranger Admin
您可以建立和更新安全存取原則,這些策略被儲存在資料庫中。各個組件的Plugin定期對這些策略進行輪詢。
- Ranger Plugins
Plugin嵌入在各個叢集組件的進程裡,是一個輕量級的Java程式。例如,Ranger對Hive的組件,就被嵌入在Hiveserver2裡。這些Plugin從Ranger Admin服務端拉取策略,並把它們儲存在本地檔案中。當接收到來自組件的使用者請求時,對應組件的Plugin會攔截該請求,並根據安全性原則對其進行評估。
- Ranger UserSync
Ranger提供了一個使用者同步工具。您可以從Unix或者LDAP中拉取使用者和使用者組的資訊。這些使用者和使用者組的資訊被儲存在Ranger Admin的資料庫中,可以在定義策略時使用。
訪問Ranger UI
添加8443連接埠,具體操作請參見添加安全性群組規則。
進入訪問連結與連接埠頁簽。
在頂部功能表列處,根據實際情況選擇地區和資源群組。
在EMR on ECS頁面,單擊目的地組群的叢集名稱。
單擊上方的訪問連結與連接埠頁簽。
在訪問連結與連接埠頁面,單擊Ranger UI所在行的連結。
在Ranger UI登入介面,輸入使用者名稱和密碼。
首次登入後,需要修改密碼並妥善儲存。
單擊上方的Settings。
修改admin的密碼。
單擊右上方的
。修改後即可使用新的密碼登入。
常見問題
Q:如果忘記密碼無法登入Ranger UI時,該如何處理?
A:您可以按照如下方法處理:
登入叢集的Master節點,詳情請參見登入叢集。
執行如下命令重設admin的密碼為初始密碼。
DataLake叢集
EMR-3.44.0及後續版本、EMR-5.10.0及後續版本
mysql -urangeradmin -pRangeradmin1234 update ranger.x_portal_user set password="07e47d323c1c36c1dc2cc3966027d6f9" where login_id="admin";
EMR-3.44.0之前版本、EMR-5.10.0之前版本
mysql -urangeradmin -prangeradmin1234 update ranger.x_portal_user set password="257e4521fee681b67583e2e7a4ac1c28" where login_id="admin";
Hadoop叢集
mysql -urangeradmin -prangeradmin update ranger.x_portal_user set password="ceb4f32325eda6142bd65215f4c0f371" where login_id="admin";