本文介绍如何将HDFS集成到Ranger,以及如何配置权限。
背景信息
Ranger HDFS权限控制与HDFS ACL共同生效,且优先级低于HDFS ACL。只有在HDFS ACL权限校验被拒绝时才会校验Ranger HDFS权限。鉴权流程如下图所示。
前提条件
已在E-MapReduce上创建集群,并选择了Ranger服务,详情请参见创建集群。
HDFS集成Ranger
- 进入集群详情页面。
- 登录阿里云E-MapReduce控制台。
- 在顶部菜单栏处,根据实际情况选择地域和资源组。
- 单击上方的集群管理页签。
- 在集群管理页面,单击相应集群所在行的详情。
- Ranger启用HDFS。
- 单击右侧的操作下拉菜单,选择启用HDFS。
- 单击右侧的操作下拉菜单,选择启用HDFS。
- Ranger UI添加HDFS Service。
- 在Ranger UI页面,单击HDFS所在行的
图标,添加HDFS Service。
- 配置相关参数。
参数 描述 Service Name 固定值emr-hdfs。 Username 固定值hadoop。 Password 自定义。 Namenode URL - 非高可用集群:hdfs://emr-header-1:9000。
- 高可用集群:hdfs://emr-cluster。
Authorization Enabled 普通集群选择No;高安全集群选择Yes。 Authentication Type - Simple:表示普通集群。
- Kerberos:表示高安全集群。
dfs.datanode.kerberos.principal 普通集群时不填写;高安全集群时填写hdfs/_HOST@${REALM}。 说明 ${REALM}为KDC的Realm值,EMR高安全集群的Realm可以通过查看任意节点下/etc/krb5.conf文件的kdc_realm配置获取。例如,查看到的kdc_realm配置如下图。
dfs.namenode.kerberos.principal dfs.secondary.namenode.kerberos.principal Add New Configurations 需要添加参数policy.download.auth.users,参数值为hdfs。 
如果您的集群为高可用集群,还需额外添加以下配置:- dfs.nameservices:固定值emr-cluster。
- dfs.ha.namenodes.emr-cluster
- dfs.namenode.rpc-address.emr-cluster.nn1
- dfs.namenode.rpc-address.emr-cluster.nn2
- dfs.client.failover.proxy.provider.emr-cluster
参数值请根据实际环境信息填写。您可以在EMR控制台HDFS服务的配置页面获取。
- 在Ranger UI页面,单击HDFS所在行的
- 重启HDFS。
权限配置示例
例如,授予test用户/user/foo路径的Write和Execute权限。
- 在Ranger UI页面,单击配置好的emr-hdfs。
- 配置相关参数。
参数 描述 Policy Name 策略名称,可以自定义。 Resource Path 资源路径。例如,/user/foo。 recursive 子目录或文件是否集成权限。 Select Group 指定添加此策略的用户组。 Select User 指定添加此策略的用户。例如,test。 Permissions 选择授予的权限。例如,Write和Execute。