【ranger】CDP环境 更新 ranger 权限策略会发生低概率丢失权限策略的解决方法

最新推荐文章于 2024-12-31 15:46:51 发布
最新推荐文章于 2024-12-31 15:46:51 发布
阅读量1.4k 收藏 8
点赞数 8
CC 4.0 BY-SA版权
分类专栏: 问题解决 ldap+kerberos 文章标签: ranger kafka
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mrerlou/article/details/135065630
文章讨论了在更新Ranger权限时,Kafka服务偶尔出现NotAuthorized错误的原因,即Ranger处理deltaupdate可能导致权限丢失。解决方法包括关闭增量更新、修改ranger-admin-site.xml和rangeradminJVM内存,并提供获取RangerPolicyHTTP请求和监控性能的步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、问题描述:

我们的 kafka 服务在更新(添加) ranger 权限时,会有极低的概率导致 MM2 同步服务报错,报错内容 Not Authorized。但是查看 ranger 权限是赋予的,并且很早配置的权限策略也会报错。

相关组件版本:

  • CDP : 7.1.7
  • KAFKA: 2.5.0
  • RAGNER: 2.0.0
  • MM2:2.5.0

二、问题原因:

当高频更新 Ranger 策略时,Ranger plugin 处理 delta update 的时候有一定几率触发丢失 Kafka 权限策略的问题,导致个别权限没有被正确加载。

即:我们在 ranger WEB UI 中看到我们的策略确实是已经配置,但是实际上落实到各个服务的策略缓存时发生了丢失。

默认的缓存策略存放位置是在 /var/lib/ranger/ 目录下,这里我以 kafka 为例,kafkaranger 缓存策略在:

ls /var/lib/ranger/kafka/policy-cache/
kafka_cm_kafka.json kafka_cm_kafka_roles.json kafka_cm_kafka_tag.json

其中的 kafka_cm_kafka.json 就是存放我们实际的缓存策略的文件。

三、解决方案:

关闭 Ranger 组件的增量更新,确认可以规避由此 bug 导致的权限丢失问题

四、操作步骤:

1.更改策略更新配置 (改为全量更新)

1.集群 -> Ranger -> 配置 -> 搜索conf/ranger-admin-site.xml_role safety_valve
-> 点击 “以 XML 格式查看”,插入如下内容:

<property><name>ranger.admin.supports,policy.deltas</name><value>false</value></property>
<property><name>ranger.admin.supports.tag.deltas</name><value>false</value></property>

在这里插入图片描述
2.修改 ranger admin JVM 内存
CM -> 集群 -> Ranger-> 配置 -> 搜索 ranger admin max heap_size
-> 修改配置 8G

在这里插入图片描述
3. 重启 ranger admin 和 mm2 服务。

四、如何获取 Ranger Policy HTTP 请求

CM ->ranger-> 配置 -> 日志 -> INFO改为 DEBUG
在这里插入图片描述

查看日志:
在这里插入图片描述

http 请求如下:

http://mn.test.com:6080/service/plugins/secure/policies/download/cm kafka?supportsPolicyDeltas=true&pluginld=kafka@kafka-03.test.com-cm_kafka&clusterName=Bigdata

查看返回结果:

curl -o rangerdata -u "admin:P@sswOrd2021" "1.5.4.5:6080/service/plugins/secure/policies/download/cm_kafka?supportsPolicyDeltas=true&pluginld=kafka@kafka-03.test.com/cm kafka&clusterName=Bigdata"

## 查看大小
du -sh rangerdata

五、查看性能

查看修改配置后,ranger 的性能。如:堆内存使用率,非堆内存提交等等。
在这里插入图片描述

问题解决!

Ldap集成Ranger应用服务
anguoan的博客
10-28 560
Ldap集成Ranger应用服务
CDP-RANGER报错处理
weixin_42399606的博客
07-14 380
CDP-ranger报错: 文件描述符太多:(测试该角色是否拥有过多已经打开的文件描述符,使用百分比74.3%,临界阈值:70%) 将ranger主节点上的/etc/security/limits.conf中的soft nofile调高致65536。在服务器上ulimit -n 命令也调成65536,现将ranger服务的配置项“最大进程文件描述符”由空改成65536,报错可消失。 ...
0752-7.0.3-如何在CDP DC7.0.3安装Ranger
Hadoop_SC的博客
03-01 992
Fayson的github: https://github.com/fayson/cdhproject 文档编写目的 在前面的文章中,Fayson介绍了《如何在Redhat7.6中安装CDP DC7.0.3》和《如何在CDP DC7.0.3集群部署Flink1.9.1》,基于前面的集群环境,本篇文章Fayson主要介绍如何在CDP DC7.0.3集群安装Ranger。 文档概述 1.如何在...
CDP集群安全指南-开启Ranger授权和审计篇
罗仲虎的博客
12-28 829
审核更改 命令详细信息 汇总 [二]开启服务的Ranger授权 1-开启hdfs的ranger授权 2-开启Yarn的Ranger授权 3-开启hive的Ranger授权 4-开启hive on tez的ranger授权 5-开启Impala的Ranger授权 6-开启Hbase的Ranger授权
大数据 Ranger2.1.0 适配 Kafka3.4.0
红桃∩
05-30 1336
根据官方说明Kafka3.0以上版本将会被替换权限认证方式,包括 类和方法 的变换,所以需要对ranger中继承 kafka 的实现中,修改相应的逻辑
Ranger权限策略不生效或延迟
qq_32068809的博客
11-04 2872
最近在使用Ranger配置管理Hbase权限时候,发现虽然创建了权限策略,但是不能生效,打开Ranger审计页面时,可以看到刚修改的策略虽然更新了,但是没有生效,如图: 该页面可以看到有些策略状态存在警告,鼠标放在警告图标处可以看到提示“策略生效时间延迟超过1小时··” ,打开ranger服务日志可以看到错误: 错误说“spnego.service.keytab”文件没有读的权限,并且发现该文件为root用户所属,于是将该文件赋予666权限,再次重启ranger服务后策略正常生效,打开Range
Impala权限管理机制
热门推荐
Hello World
12-14 1万+
在Impala中,权限管理的作用主要是确定某个用户是否有权限访问某些资源,用户对于这些资源具有哪种访问权限等,这里涉及到三个概念:用户,资源和权限。对于Impala 1.1之后的版本,可以直接集成Apache Sentry服务来实现Impala的权限管理,由于Impala可以和hive共享元数据库,包括权限机制。 用户 在不开启权限认证的impala集群中,没有用户的概念存在了,所有访问Impala
ranger权限管理、rang kms 秘钥管理、kerberos认证服务整合应用(ambari 平台上安装)...
dingweijson的博客
05-17 2800
一、ranger权限管理安装         ranger安装参考:https://docs.hortonworks.com/HDPDocuments/HDP2/HDP-2.5.0/bk_security/content/ch03s01s03s01.html   二、rang kms 秘钥管理安装         ranger kms安装参考:https://docs.hortonwo...
0741-什么是Apache Ranger – 1
01-20
3. 标准化授权方法Ranger旨在为所有Hadoop组件提供统一的安全策略,包括基于角色的访问控制(RBAC)和基于属性的访问控制(ABAC)。 4. 审计功能:Ranger 提供了集中式的审计功能,能够记录用户访问和管理操作,这...
CDP集群安全指南-静态数据加密
罗仲虎的博客
12-31 1062
loudera 支持两种加密组件,这些组件可以组合成独特的解决方案。在选择密钥管理系统(KMS)时,您需要决定哪些组件能够满足企业的密钥管理和加密需求。Ranger 扩展了 Hadoop 原生 KMS 的功能,允许将密钥存储在安全的数据库中。它是一个支持 HDFS TDE(透明数据加密)的密码密钥管理服务,但并非通用密钥管理系统。与 Hadoop KMS 不同,Hadoop KMS 将密钥存储在基于文件的 Java Keystore 中,仅能通过 KeyProvider API 访问。
ranger-2.0.0-kafka-plugin.zip
06-04
由于很多文章都是只有ranger的安装说明,却没有编译后的tar包,而且编译的时间有点长,编译期间会出现各种问题,导致编译不过,特此上传编译后的包,来提供大家下载
使用rangerkafka进行鉴权
微信公众号:大数据从业者
03-05 573
使用rangerkafka进行鉴权测试环境ranger-kafka-plugin为0.6.3版本,kafka版本为kafka_2.10-0.10.1.1,且kafka broker为一个节点。一、Rangerkafka进行权限控制,前提需要kafka开启kerberos认证(注意:若kafka不开启kerberos的话Ranger无法获取kafka相关操作的用户,进而无法完成鉴权操作)二、...
使用apache ranger控制hdfs权限,对组设置访问权限不起作用的解决
join_null的博客
02-15 3092
问题:      在ranger中的hdfs控制策略中对组mygroup授权访问/my目录可读、可写、可执行。并将/my目录的用户组已经改为mygroup。但是以mygroup组的用户test用户使用hadoop fs -mkdir /mygroup/test1命令创建目录,还是提示无权限。ramger审计日志显示被hadoop-acl权限执行器拒绝。后查看ranger的hdfs插件日志发现。是...
ranger中启用“deny” policies(hdfs、hive等)
TBSOD的博客
05-07 652
如果没有“拒绝”策略Ranger策略和HDFS ACL之间最宽松的访问将用于授予对资源的访问权限。换句话说,除非您明确定义了适用于所访问资源的“拒绝”策略,否则将始终考虑HDFS ACL进行授权。 启用HDFS“拒绝”策略 默认情况下,Ranger UI中不提供“拒绝”策略。这主要是因为这个概念很难理解,使用“拒绝”政策时,事情很快就会变得一团糟。此外,对于大多数用户,永远不会使用此功能。使...
Apache Ranger 介绍与使用
liu_xue_xue的专栏
03-07 5932
1.Ranger简介 Apache Ranger提供一个集中式安全管理框架, 并解决授权和审计。它可以对Hadoop生态的组件如HDFS、Yarn、Hive、Hbase等进行细粒度的数据访问控制。通过操作Ranger控制台,管理员可以轻松的通过配置策略来控制用户访问权限。 优点: 提供了细粒度级(hive列级别) 基于访问策略权限模型 权限控制插件式,统一方便的策略管理 支持审计日志,可以...
数据治理(十一):数据安全管理 Ranger 初步认识
wr_java的博客
04-15 469
Apache Ranger 提供一个集中式安全管理框架, 并解决授权和审计。它可以对 Hadoop 生态的组件如 HDFS、YARN、Hive、HBase 等进行细粒度的数据访问控制。通过 Ranger 统一的管理控制台界面,管理员可以轻松的通过配置策略来控制用户访问权限,并且可以对用户的行为日志进行统一的审计管理。我们可以通过 Ranger 提供的 UI 界面或者 Rest API 来管理所有与安全性相关的任务,可以使用管理工具来对 Hadoop 体系中的组件进行授权。
Kafka系列之:基于SCRAM和Ranger机制完成动态新增kafka读写账号、赋予账号对指定Topic的读写权限
zhengzaifeidelushang的博客
02-15 976
Kafka系列之:基于SCRAM和Ranger机制完成动态新增kafka读写账号、赋予账号对指定Topic的读写权限
使用Apache Ranger提供授权 -- 01
TT-Learning
10-12 1692
文章目录使用Ranger在Hadoop中提供授权Ranger策略概述基于Ranger标签的策略基于标签的策略概述标签存储标签标签同步标签和策略评估找到标签基于标签策略评估Apache Ranger访问条件 使用Ranger在Hadoop中提供授权 Ranger通过用户界面管理访问控制,以确保跨Hadoop数据访问组件进行一致的策略管理。安全管理员可以在数据库,表,列和文件级别定义安全策略,还可...
Ranger架构剖析
木木与呆呆的专栏
04-24 3207
Ranger介绍 2016年,Hadoop迎来了自己十周岁生日。过去的十年,Hadoop雄霸武林盟主之位,号令天下,引领大数据技术生态不断发展壮大,一时间百家争鸣,百花齐放。然而,兄弟多了不好管,为了抢占企业级市场,各家都迭代出自己的一套访问控制体系,不管是老牌系统(比如HDFS、HBase),还是生态新贵(比如Kafka、Alluxio),ACL(Acc...
MRS集群到CDP集群的hive迁移
最新发布
07-04
### Hive 数据和作业迁移从 MRS 到 CDP 集群的步骤 Hive 是 Hadoop 生态系统中用于数据仓库的重要工具,支持类 SQL 查询。将 Hive 数据和作业从华为云 MRS(MapReduce Service)集群迁移到 CDP(Cloudera Data Platform)集群,需要完成元数据、表结构、实际数据以及相关作业的迁移。以下是详细的迁移流程: #### 1. Hive 元数据迁移 Hive 的元数据存储在外部数据库中(如 MySQL 或 PostgreSQL)。MRS 和 CDP 都支持自定义配置该数据库。 - **导出 MRS 中的 Hive 元数据库** 使用 `mysqldump` 命令将 MRS 集群中的 Hive 元数据导出: ```bash mysqldump -u <username> -p hive_metastore > hive_metastore.sql ``` - **导入到 CDP 集群的 Hive 元数据库** 将导出的 SQL 文件导入目标 CDP 集群使用的元数据库实例: ```bash mysql -u <username> -p hive_metastore < hive_metastore.sql ``` - **验证元数据一致性** 检查 Hive 表结构、分区信息是否完整无误,并确保 CDP 集群的 Hive Metastore 配置正确[^4]。 #### 2. Hive 数据迁移 Hive 表的数据通常存储在 HDFS 或对象存储(如 S3、OBS)上。MRS 使用 OBS 作为底层存储,CDP 支持多种存储后端。 - **使用 DistCp 迁移数据** 如果 MRS 和 CDP 集群处于同一网络环境且可以互通,可以使用 Hadoop 的 `distcp` 工具进行高效数据复制: ```bash hadoop distcp hdfs://mrs-cluster/path/to/hive/tables hdfs://cdp-cluster/path/to/hive/tables ``` - **使用对象存储跨区域复制** 若 MRS 使用的是 OBS,CDP 可以通过兼容的 S3 接口访问 OBS 数据,或者先将数据拷贝至本地 HDFS/S3 存储后再处理。 - **更新 Hive 表路径** 确保 Hive 表指向新的存储位置。可使用 `ALTER TABLE` 修改表路径: ```sql ALTER TABLE table_name SET LOCATION 'hdfs://cdp-cluster/path/to/table'; ``` #### 3. Hive 作业迁移 HiveQL 脚本或 Beeline 脚本可以在 CDP 上直接运行,但需注意版本差异。 - **检查 HiveQL 兼容性** MRS 通常基于 Apache Hive 或 CDH Hive,而 CDP 使用 Hive on Tez 或 Hive LLAP。建议测试关键查询语句是否兼容。 - **调整执行引擎** CDP 支持 Tez、Spark 等执行引擎,默认为 Tez。可通过以下方式切换执行引擎: ```sql SET hive.execution.engine=tez; ``` - **优化参数设置** 根据 CDP 集群资源配置适当调整内存、并发等参数,例如: ```sql SET mapreduce.map.memory.mb=4096; SET mapreduce.reduce.memory.mb=8192; ``` #### 4. 权限与安全迁移 如果 MRS 使用 Ranger 进行权限管理,则 CDP 也支持 Ranger,可同步策略CDPRanger 服务。 - **导出 Ranger 策略** 在 MRS 的 Ranger 管理界面中导出 Hive 相关策略。 - **导入至 CDPRanger** 登录 CDPRanger UI,创建对应的服务并导入策略文件。 - **验证权限** 测试用户能否正常访问 Hive 表,确保 ACL 控制符合预期[^1]。 #### 5. 自动化与调度任务迁移 若 MRS 中使用 Oozie 或 Airflow 调度 Hive 作业,需将这些调度器配置迁移至 CDP。 - **Oozie 作业迁移** 将工作流 XML 文件上传至 CDP 的 HDFS 并注册新 Coordinator。 - **Airflow DAGs** 将 DAG 文件部署至 CDP 环境下的 Airflow 实例,并测试连接性和执行状态。 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值