Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.
Central de ajuda/ MapReduce Service/ Visão geral de serviço/ Componentes/ Ranger/ Princípios básicos do Ranger
Atualizado em 2023-05-19 GMT+08:00
Ver PDF
Compartilhar

Princípios básicos do Ranger

Apache Ranger oferece uma estrutura de gerenciamento de segurança centralizada e suporta autorização e auditoria unificadas. Ele gerencia o controle de acesso refinado sobre o Hadoop e componentes relacionados, como Storm, HDFS, Hive, HBase e Kafka. Você pode usar o console de interface de usuário da Web front-end fornecido pelo Ranger para configurar políticas para controlar o acesso dos usuários a esses componentes.

Figura 1 mostra a arquitetura do Ranger.

Figura 1 Estrutura do Ranger
Tabela 1 Descrição da arquitetura

Nome da conexão

Descrição

RangerAdmin

Fornece uma WebUI e uma API RESTful para gerenciar políticas, usuários e auditoria.

UserSync

Sincroniza periodicamente informações de usuários e grupos de usuários de um sistema externo e grava as informações em RangerAdmin.

TagSync

Sincroniza periodicamente as informações de tag do serviço Atlas externo e grava as informações de tag em RangerAdmin.

Princípios do Ranger

  • Plug-ins de Ranger

    O Ranger fornece plug-ins de controle de acesso baseado em políticas (PBAC) para substituir os plug-ins de autenticação originais dos componentes. Os plug-ins de Ranger são desenvolvidos com base na interface de autenticação dos componentes. Os usuários definem políticas de permissão para serviços especificados na interface da Web do Ranger. Os plug-ins de Ranger atualizam periodicamente as políticas do RangerAdmin e as armazenam em cache no arquivo local do componente. Quando uma solicitação do cliente precisa ser autenticada, o plug-in de Ranger corresponde ao usuário realizado na solicitação com a política e, em seguida, retorna uma mensagem de aceitação ou rejeição.

  • Sincronização de usuário UserSync

    O UserSync sincroniza periodicamente dados de LDAP/Unix para RangerAdmin. No modo de segurança, os dados são sincronizados a partir do LDAP. No modo não-segurança, os dados são sincronizados a partir do Unix. Por padrão, o modo de sincronização incremental é usado. Em cada período de sincronização, o UserSync atualiza apenas usuários e grupos de usuários novos ou modificados. Quando um usuário ou grupo de usuários é excluído, o UserSync não sincroniza a alteração para RangerAdmin. Ou seja, o usuário ou grupo de usuários não é excluído do RangerAdmin. Para melhorar o desempenho, o UserSync não sincroniza grupos de usuários aos quais nenhum usuário pertence ao RangerAdmin.

  • Auditoria unificada

    Os plug-ins de Ranger podem gravar logs de auditoria. Atualmente, os logs de auditoria podem ser armazenados em arquivos locais.

  • Alta confiabilidade

    Ranger suporta dois RangerAdmins trabalhando no modo ativo/ativo. Dois RangerAdmins prestam serviços ao mesmo tempo. Se algum dos RangerAdmin estiver defeituoso, o Ranger continua a trabalhar.

  • Alto desempenho

    Ranger fornece a capacidade de balanceamento de carga. Quando um usuário acessa o Ranger WebUI usando um navegador, o Load-Balance seleciona automaticamente o RangerAdmin com a carga mais leve para fornecer serviços.

Tópico principal: Ranger