Guardian服务对接OBS场景说明

基于Guardian服务的存算分离配置流程

1. 创建MRS集群。

   MRS集群内需包含Guardian、Ranger、Hadoop等基础组件。

   

   目前仅MRS 3.3.0-LTS及之后的版本支持基于Guardian组件对接OBS。

2. 创建OBS委托。

   用户需要创建1个具有OBS访问权限的委托，用于Guardian组件对接OBS时使用。

3. 开启Guardian组件对接OBS开关并配置组件。

   修改Guardian服务相关配置参数，配置IAM委托认证信息。

4. 配置组件数据回收站目录的清理策略。

   在存算分离场景下，对接OBS的组件默认开启了数据防误删功能，用户删除数据时，被删除对象会移动至用户对应的回收站目录内，用户需要在OBS文件系统中为对应的目录配置生命周期策略，以避免存储空间被占满的风险。

5. 组件对接OBS。

   在具备OBS资源的访问权限后，MRS集群内组件可直接访问对应路径。用户可以通过组件客户端以绝对路径方式直接访问OBS文件系统下的资源。

基于Guardian服务的OBS权限配置说明

基于Guardian服务的存算分离场景下，对于开启了Ranger鉴权的MRS集群，Ranger管理员可以通过Ranger为集群用户配置OBS目录或文件的读、写权限。

同时，基于Guardian权限模型存算分离，依赖Hive级联授权功能，实现用户基于Ranger对业务表授权，自动细粒度关联OBS对应存储目录的权限，无需二次授权，即用户只需在Ranger页面上对业务表进行一次授权，系统就会自动细粒度关联数据存储源的权限，不需要感知表的存储路径，无需进行二次授权。

• Ranger页面OBS授权对象只能针对Manager中自定义的用户组，内置用户组不支持，用户组仅由数字0~9、字母a~Z、下划线或#组成，且最大长度为52个字符，否则将导致策略添加失败。
• 启用Kerberos认证的集群需要基于Ranger赋权，未启用Kerberos认证的集群默认拥有OBS权限，无需额外配置。
• 如果当前集群未启用Kerberos认证，访问OBS的用户，需要属于supergroup组。