Apache Hadoop生態系統中的安全管理框架Apache Ranger晉升為頂級項目。Range是一種定義和管理安全策略的集中式組件,這些安全策略在受支持的Hadoop組件間強制執行,包括Apache HBase、Hadoop(HDFS和YARN)、Apache Hive、Apache Kafka、Apache Solr等。
對于受支持的Hadoop組件,Ranger通過訪問控制策略提供了一種標準的授權方法。作為標準,Ranger提供了一種集中式的組件,用于審計用戶的訪問行為和管理組件間的安全交互行為。
Ranger使用了一種基于屬性的方法定義和強制實施安全策略。當與Apache Hadoop的數據治理解決方案和元數據倉儲組件Apache Atlas一起使用時,它可以定義一種基于標簽的安全服務,通過使用標簽對文件和數據資產進行分類,并控制用戶和用戶組對一系列標簽的訪問。
Ranger的功能還包括動態策略(Dynamic Policies),當訪問依賴于時間等動態因素時。它可以基于每天的不同時刻、IP地址或是地理位置對訪問資源進行限制。
Apache Ranger架構在組成上還包括一個Ranger策略管理服務器(Policy Admin Server),該服務器將策略存儲在關系數據庫中(通常使用MySQL)。每個受支持的組件(例如Hive、HDFS等)通過運行Ranger插件對所有被訪問的資源(例如文件、數據庫、數據庫表、數據列等)執行授權檢查。授權通常基于已定義的策略,并從集中式管理服務器處獲取,默認的輪詢周期是30秒。插件在管理服務器宕機時仍然能夠工作,不過根據最佳實踐,最好把它們配置成高可用的。
Ranger另一個對企業有用的特性是與外部系統集成做授權證。它支持的授權機制包括LDAP/AD和Unix系統認證。Ranger可以將審計記錄寫入Apache Solr。
查看英文原文: Apache Ranger Graduates to Top-Level Project
京公網安備 11010502049343號