一、業務背景

大數據集群最基本的就是數據以及用于計算的資源，是一個公司的寶貴财富，我們需要将它們很好管理起來，将相應的數據和資源開放給對應的用戶使用，防止被竊取、被破壞等，這就涉及到大數據安全。

現狀&&需求

目前我們大數據集群的現狀是處于裸奔狀态，隻要可以登錄linux機器即可對集群繼續相關操作

所以集群安全對于我們來說迫在眉睫，主要需求有以下幾個方面：

支持多組件,最好能支持當前公司技術棧的主要組件，HDFS、HBASE、HIVE、YARN、STORM、KAFKA等

支持細粒度的權限控制，可以達到HIVE列，HDFS目錄，HBASE列，YARN隊列，STORM拓撲，KAKFA的TOPIC

開源，社區活躍，按照現有的集群改情況造改動盡可能的小，而且要符合業界的趨勢。

二、大數據安全組件介紹與對比

目前比較常見的安全方案主要有三種：

Kerberos(業界比較常用的方案)

Apache Sentry（Cloudera選用的方案，cdh版本中集成）

Apache Ranger(Hortonworks選用的方案，hdp發行版中集成)

1、Kerberos

Kerberos是一種基于對稱密鑰的身份認證協議，它作為一個獨立的第三方的身份認證服務，可以為其它服務提供身份認證功能，且支持SSO(即客戶端身份認證後，可以訪問多個服務如HBase/HDFS等)。

服務名作用KDCKerberos的服務端程序，用于驗證各個模塊Client需要訪問服務的用戶，KDC和Service會對用戶的身份進行認證Service即集成了Kerberos的服務，如HDFS/YARN/HBase等

Kerberos協議過程主要有三個階段，第一個階段Client向KDC申請TGT，第二階段Client通過獲得的TGT向KDC申請用于訪問Service的Ticket,第三個階段是Client用返回的Ticket訪問Service。

優點：

服務認證，防止broker datanode regionserver等組件冒充加入集群

解決了服務端到服務端的認證，也解決了客戶端到服務端的認證

缺點：

kerberos為了安全性使用臨時ticket，認證信息會失效，用戶多的情況下重新認證繁瑣

kerberos隻能控制你訪問或者拒絕訪問一個服務，不能控制到很細的粒度，比如hdfs的某一個路徑，hive的某一個表，對用戶級别上的認證并沒有實現(需要配合LDAP)

2、Apache Sentry

Apache Sentry是Cloudera公司發布的一個Hadoop安全開源組件，它提供了細粒度級、基于角色的授權.

優點：

Sentry支持細粒度的hdfs元數據訪問控制，對hive支持列級别的訪問控制

Sentry通過基于角色的授權簡化了管理，将訪問同一數據集的不同特權級别授予多個角色

Sentry提供了一個統一平台方便管理

Sentry支持集成Kerberos

缺點：

組件隻支持hive,hdfs,impala 不支持hbase，yarn，kafka，storm等

3、Apache Ranger

Apache Ranger是Hortonworks公司發布的一個Hadoop安全組件開源組件

優點：

提供了細粒度級（hive列級别）

基于訪問策略的權限模型

權限控制插件式，統一方便的策略管理

支持審計日志，可以記錄各種操作的審計日志，提供統一的查詢接口和界面

豐富的組件支持(HDFS,HBASE,HIVE,YARN,KAFKA,STORM)

支持和kerberos的集成

提供了Rest接口供二次開發

4、為什麼我們選擇Ranger

多組件支持(HDFS,HBASE,HIVE,YARN,KAFKA,STORM)，基本覆蓋我們現有技術棧的組件

支持審計日志，可以很好的查找到哪個用戶在哪台機器上提交的任務明細，方便問題排查反饋

擁有自己的用戶體系，可以去除kerberos用戶體系，方便和其他系統集成，同時提供各類接口可以調用

綜上：我們考慮到和開放平台的集成，以及我們的技術棧和集群操作的審計等幾個問題最終選用了apache ranger

三、Apache Ranger系統架構及實踐

1、架構介紹

2、組件介紹

RangerAdmin

以RESTFUL形式提供策略的增删改查接口，同時内置一個Web管理頁面。

Service Plugin

嵌入到各系統執行流程中，定期從RangerAdmin拉取策略，根據策略執行訪問決策樹，并且記錄訪問審計

插件名稱安裝節點Hdfs-PluginNameNodeHbase-PluginHMaster HRegionServerHive-PluginHiveServer2Yarn-PluginResourceManager

Ranger-SDK

對接開放平台，實現對用戶、組、策略的管理

3、權限模型

訪問權限無非是定義了”用戶-資源-權限“這三者間的關系，Ranger基于策略來抽象這種關系，進而延伸出自己的權限模型。”用戶-資源-權限”的含義詳解：

用戶

由User或Group來表達，User代表訪問資源的用戶，Group代表用戶所屬的用戶組。

資源

不同的組件對應的業務資源是不一樣的，比如

HDFS的FilePath

HBase的Table，Column-family，Column

Hive的Database，Table，Column

Yarn的對應的是Queue

權限

由(AllowACL, DenyACL)來表達，類似白名單和黑名單機制，AllowACL用來描述允許訪問的情況，DenyACL用來描述拒絕訪問的情況,不同的組件對應的權限也是不一樣的。

插件權限項HdfsRead Write ExecuteHbaseRead Write Create AdminHiveSelect Create Update Drop Alter Index Lock Read Write AllYarnsubmit-app admin-queue

4、權限實現

Ranger-Admin職責：

管理員對于各服務策略進行規劃，分配相應的資源給相應的用戶或組，存儲在db中

Service Plugin職責：

定期從RangerAdmin拉取策略

根據策略執行訪問決策樹

實時記錄訪問審計

策略執行過程：

策略優先級：

黑名單優先級高于白名單

黑名單排除優先級高于黑名單

白名單排除優先級高于白名單

決策下放：

如果沒有policy能決策訪問，一般情況是認為沒有權限拒絕訪問，然而Ranger還可以選擇将決策下放給系統自身的訪問控制層

組件集成插件原理：

ranger通過實現各組件擴展的權限接口，進行權限驗證

Hdfs實現原理

hdfs-site.xml會修改如下配置：

<property> <name>dfs.permissions.enabled</name> <value>true</value> </property> <property> <name>dfs.permissions</name> <value>true</value> </property> <property> <name>dfs.namenode.inode.attributes.provider.class</name> <value>org.apache.ranger.authorization .hadoop.RangerHdfsAuthorizer</value> </property>

加載過程：

Hbase實現原理

在安裝完hbase插件後，hbase-site.xml會修改如下配置：

<property> <name>hbase.security.authorization</name> <value>true</value> </property> <property> <name>hbase.coprocessor.master.classes</name> <value>org.apache.ranger.authorization.hbase .RangerAuthorizationCoprocessor </value> </property> <property> <name> hbase.coprocessor.region.classes </name> <value>org.apache.ranger.authorization.hbase .RangerAuthorizationCoprocessor </value> </property>

加載過程：

Hive實現原理

<property> <name>hive.security.authorization.enabled</name> <value>true</value> </property> <property> <name>hive.security.authorization.manager</name> <value>org.apache.ranger.authorization.hive.authorizer .RangerHiveAuthorizerFactory </value> </property>

加載過程：

Yarn實現原理

yarn-site.xml

<property> <name>yarn.acl.enable</name> <value>true</value> </property> <property> <name>yarn.authorization-provider</name> <value> org.apache.ranger.authorization.yarn.authorizer .RangerYarnAuthorizer </value> </property>

加載過程：

四、Ranger實踐

1、組權限實現

由于在調用各服務過程中使用hdfs shell、hbase-shell、hive-jdbc隻能獲取到用戶信息，在隻有組策略時會匹配不成功，認為沒有權限，實現辦法是加入ldap組件同步用戶組信息，這樣增加了系統的複雜性，我們通過改寫ranger-admin代碼，在客戶端plugin獲取策略時，将組權限賦予用戶，這樣就實現了組策略功能。