配置对接LakeFormation概述

应用场景

LakeFormation是企业级一站式湖仓构建服务，提供元数据统一管理的可视化界面及API，兼容Hive元数据模型以及Ranger权限模型，支持无缝对接多种计算引擎及大数据云服务，使客户便捷高效地构建数据湖和运营相关业务，加速释放业务数据价值。

您可以创建一个LakeFormation实例并与MRS集群对接，实现统一的数据湖元数据及权限管理。本操作为您介绍未开启Kerberos认证的MRS集群对接LakeFormation。

MRS对接LakeFormation约束与限制（未开启Kerberos认证）

• MRS对接LakeFormation前，需要注意以下约束限制：
  • MRS集群已关闭Kerberos认证。
  • MRS仅在3.6.0-LTS及之后版本，支持普通模式集群对接LakeFormation。
  • MRS集群和LakeFormation实例必须同在一个云账户下且属于同一个Region。
  • LakeFormation侧创建的接入客户端所在虚拟私有云，必须与MRS集群在同一虚拟私有云下。
  • MRS集群仅支持对接LakeFormation实例中名称为hive的Catalog。
  • 普通集群默认不开启Ranger鉴权，不具备细粒度鉴权能力，支持开启Ranger鉴权，开启后在LakeFormation配置角色的细粒度权限，并通过PolicySync同步后在MRS侧生效。
  • 在迁移场景下，如果原存算一体集群开启了细粒度鉴权，MRS存量集群需要先完成元数据库和权限策略向LakeFormation实例上迁移，再配置对接。
  • 如果需要迁移多个MRS集群中的元数据到同一个LakeFormation实例，MRS集群之间的Database名称不能重复。
• MRS对接LakeFormation后，MRS组件功能约束限制：
  • Hive暂不支持列加密表功能。
  • Hive WebHCat暂不支持对接LakeFormation。
  • Hudi表创建前，需要先在LakeFormation上添加Hudi表目录的路径授权，赋予OBS读写权限。
  • Hudi表不支持在LakeFormation管理面编辑表的字段，只能通过Hudi客户端增删改表的字段。
  • Flink读写Hudi场景下同步Hive表，仅支持使用hive_sync.mode=jdbc，不支持hms方式。
• MRS对接LakeFormation后，权限策略约束限制：
  • 通过LakeFormation授权仅支持将LakeFormation角色作为授权主体，不支持IAM用户或IAM用户组作为授权主体。
  • PolicySync进程不会修改集群内RangerAdmin Hive模块的默认策略，默认策略仍然生效。
  • PolicySync进程启动后，会与LakeFormation实例的权限进行比对，删除LakeFormation上不存在的非默认策略，请先完成权限策略迁移到LakeFormation实例上。
  • RangerAdmin WebUI界面的Hive模块，禁止执行添加、删除权限非默认策略的操作，统一在LakeFormation实例的数据权限界面进行授权操作。
  • MRS集群取消对接LakeFormation后，RangerAdmin的非默认策略不会清理，需要人工进行清理。
  • MRS暂不支持LakeFormation行过滤权限能力。
  • MRS普通模式需要在LakeFormation上对LakeFormation委托的委托用户添加必要SQL权限。
  • MRS普通模式集群不支持Hive grant/revoke操作。