这是CDH/HDP/Apache Hadoop迁移到CDP系列的博客,如对迁移感兴趣,请关注该系列之前博客《使用 Replication Manager 迁移到CDP 私有云基础》、《将数据迁移到CDP...如何将安全和治理数据从 CDH 和 HDP 迁移到 CDP。 将安全和治理数据从 CDH 迁移到 CDP 如何将安全和治理数据从 CDH 迁移到 CDP。...NavEncrypt 将数据从加密卷迁移到另一个 NavEncrypt 加密卷(在 CDP PvC Base)。 数据重新加密将在迁移过程中发生。...要保留旧的审计信息,您可以维护一个只读的 Navigator 实例,直到不再需要它。...支持的格式:JSON、Excel、CSV Ranger KMS 使用 DistCp 将数据复制到另一个 HDFS 加密区域(在CDP 私有云基础中)。 数据重新加密将在复制期间进行。
如果私有云基础版部署通过单个Ranger支持多个逻辑HMS,则Ranger ACL同步仅适用于其中一个逻辑HMS。在其他逻辑HMS实例中对数据库/表授予的权限将不被视为授权HDFS访问。...在Cloudera Manager中,选择“ Ranger RMS”,然后选择“操作”>“添加角色实例”。 在“添加角色实例”页面上,单击“选择主机”。...在“所选主机”页面上,选择备份Ranger RMS主机。所选主机的“添加的角色”列中将显示“ Ranger RM(RR)”图标。单击确定继续。 新的备份主机将重新显示“添加角色实例”页面。...新角色实例将显示在“ Ranger RMS”页面上。 在Cloudera Manager中,选择Ranger RMS,然后单击Configuration。...= org.apache.ranger.chainedplugin.hdfs.hive.RangerHdfsHiveChainedPlugin 注意 如果启动Ranger RMS并与Hive Metastore
RBAC 将要维护的安全配置文件数量从每个员工一个减少到每个角色一个。 这反过来又减少了 IT 的管理负担,并最大限度地提高了组织的运营效率。...如何设置基于角色的授权? 连接到企业的 LDAP 以同步用户、组和角色,然后通过Ranger进行基于角色的授权。 为什么我需要基于属性的授权?...任何可用的属性都可以单独使用或与另一个属性结合使用,以定义正确的过滤器来控制对资源的访问,从而赋予该方法极大的灵活性。...https://cwiki.apache.org/confluence/display/RANGER/Tag+Based+Policies 如果您在 Ranger 中没有看到标签,则您可能存在权限问题...什么样的 solr 被用作 Ranger 审计后端? On Prem:默认情况下,CM 为范围审计后端部署一个单节点 solr 实例。 这可以配置为在集群中使用多节点分布式 solr。
• 该版本支持使用单个SQL命令原地从Hive表迁移到Iceberg,无需应用程序重构,从而使客户能够最大限度地发挥Data Lakehouse功能。...• Livy和Spark History Server的高可用性允许在集群中运行多个服务实例,以在生产部署中维持不间断的服务。...• Ranger User Sync现在为客户提供了一个选项,可以像更新组成员身份一样对待来自多个同步源的用户/组。...• Ranger导入/导出为角色提供了 API,无需手动创建角色并将其与导入/导出策略相关联。...此外,FIPS组件支持已扩展到Apache Phoenix、NavEncrypt和Ranger KMS。
Apache Ranger Apache Ranger 是一个跨平台启用、监控和管理综合数据安全性的框架。...在 CDP 中,Ranger 还添加了以前存在于 Apache Sentry 中的“角色”功能。角色是用于访问给定对象的规则集合。Ranger 为您提供了将这些角色分配给特定组的选项。...然后可以为角色或直接在组或个人用户上设置 Ranger 策略,然后在所有 CDP 服务中一致地实施。...HDP 客户将受益于新的Apache Ranger RMS将 Hive 表级授权与以前在 Apache Sentry 中可用的 HDFS 文件系统同步的功能。...更广泛地说,Apache Ranger 提供: 集中管理界面和 API 跨所有组件的标准化身份验证方法 支持基于角色的访问控制和基于属性的访问控制等多种授权方式 集中审核管理和审核操作 Apache
Apache Sentry 是 Hadoop 中特定组件的基于角色的授权模块。它在为 Hadoop 集群上的用户定义和实施不同级别的数据权限时很有用。...另一方面,Apache Ranger 提供了一个全面的安全框架来启用、管理和监控整个 Hadoop 平台的数据安全。...另一个重要因素是 Ranger 中的访问策略可以使用不同的属性(如地理区域、一天中的时间等)在动态上下文中进行自定义。下表给出了 Sentry 和 Ranger 之间功能的详细比较。...下面列出了当您从 CDH 的 Sentry 迁移到 CDP 中的 Ranger 时的一些显着行为变化。...迁移到Ranger 在直接升级的情况下,整个过程是自动化的 在 side-car 迁移的情况下,为authzmigrator工具定义了一个手动程序 Cloudera 提供了一个自动化工具authzmigrator
授权:Ranger 操作系统安全性:数据加密和HDFS Apache Knox网关概述 Apache Knox网关(反向代理)的概念概述。...Knox支持的服务矩阵 一个支持矩阵,显示Apache Knox对Kerberized和Non-Kerberized集群支持的代理和SSO服务。 Table 1....HDFS,Ranger,Solr,Zookeeper 对于需要Apache Ranger进行授权的用户。带Ranger的HDFS。HDFS取决于Zookeeper,而Ranger取决于Solr。...4) 分配角色 在“分配角色”页面上,选择依赖项的角色分配,然后单击“继续”: ? Knox服务角色 描述 是否必须? Knox Gateway 如果安装了Knox,则应至少安装此角色的一个实例。...该角色代表Knox网关,该网关为与Apache Hadoop集群的所有REST和HTTP交互提供单个访问点。 必须 KnoxIDBroker * 强烈建议将此角色安装在其自己的专用主机上。
这是CDH/HDP/Apache Hadoop迁移到CDP系列的博客,如对迁移感兴趣,请关注该系列之前博客《使用 Replication Manager 迁移到CDP 私有云基础》、《将数据迁移到CDP...创建复制策略向导的复制选项部分包含以下选项: 包括元数据和数据 仅包含元数据 迁移阶段 Sentry 和 Ranger 具有不同的权限模型。Sentry权限授予角色和用户。...这些被转换为组和用户的权限,因为 Ranger 当前不支持角色。接下来是按资源分组,因为 Ranger 策略是按资源分组的。授予资源的所有权限都被视为单个 Ranger 策略。...有关如何将 Sentry 操作应用于 Ranger 中相应操作的更多信息,请参阅 Sentry 到 Ranger 权限。...要保留遗留审计信息,您可以保留一个“只读”的 Navigator 实例,直到不再需要它为止。您可能需要将旧集群上的 CM/Navigator 升级到更新版本以避免 EOL。
腾讯云存储团队技术大牛林楠,主要跟大家讨论构建数据湖过程中需要注意的数据安全事项,比如通过Apache Ranger 控制 GooseFS 的资源访问权限,通过 COS 用户策略、存储桶策略等管控存储在对象存储上的数据安全等...整个内容分两个部分: 一、对象存储 COS 的安全能力介绍; 二、GooseFS Ranger 的权限体系方案; 一、对象存储 COS 的安全能力介绍 对象存储 COS 的安全能力介绍,从以下三个维度讲解...: 1.COS 权限设计 2.实例 3.常见问题 首先,我们先来了解下COS 权限设计: 注意:权限设计大体需要考虑几点: •委托人(principal):授权的目标•合法的CAM用户(子账号、...协作者、服务角色等)•匿名用户; •效力(effect):授权类型,区分为允许或者显式拒绝两种; •操作(action):授权允许或拒绝的操作。...接着,我们看下权限设计的一些实例: 最后,我们了解下权限设计会遇到的一些常见问题: 二、GooseFS Ranger 的权限体系方案 GooseFS Ranger 的权限体系方案,整体是从以下三点来介绍的
Hive Metastore (HMS) 是一种服务,用于在后端 RDBMS(例如 MySQL 或 PostgreSQL)中存储与 Apache Hive 和其他服务相关的元数据。...HiveServer 实例向 HMS 读/写数据。默认情况下,冗余的 HMS 以主动/主动模式运行。物理数据驻留在后端 RDBMS 中,一个用于 HMS的RDBMS。...所有的 HMS 实例使用相同的后端数据库。一个单独的 RDBMS 支持安全服务,例如 Ranger。在任何给定时间,所有连接都路由到单一的 RDBMS 服务。...后端的一个或多个 HMS 实例可以与其他服务(例如 Ranger)通信。...ACID 托管表 位置属性 注释 行动 非ACID 是的 是的 迁移到 CDP,例如从 HDP 或 CDH 集群。
时常会考虑对集群的角色进行优化调整,这就会涉及到服务角色的迁移。本篇文章主要介绍如何将Zookeeper服务的单个实例从一个节点迁移到其他节点。...测试环境: 1.Redhat7.6 2.采用root用户操作 3.CM和CDH版本为5.16.2 Zookeeper角色迁移计划 1.集群Zookeeper服务角色实例分配情况 ?...2.由于角色规划不合理,需要将cdp1.hadoop.com节点的Zookeeper实例实例迁移到cdp4.hadoop.com节点上 服务 源地址 目标地址 Zookeeper cdp1.hadoop.com...3.在cdp4节点创建一个新的目录,并把cdp1节点的目录的数据迁移到cdp4节点新目录 [root@cdp4 ~]# mkdir /data/ZK [root@cdp4 ~]# ?...注意:重启cdh02和cdh03节点的ZK服务时一个个重启,确保ZK服务正常后,再操作下一个。 ? 实例运行正常,leader选举正常 ? 最后部署客户端配置并重启相关服务 ? ?
6) 指定凭据并启动代理安装: a) 选择帐户,root 用户,或选择另一个用户,然后输入具有无密码sudo权限的帐户的用户名 。...在Cloudera Runtime 7.1中,Sentry服务已被Apache Ranger取代。...如果要将授权权限从Sentry转移到Ranger,则在将集群升级到CDP数据中心之前,需要执行几个过渡步骤。...如果要升级的集群将包括Atlas、Ranger或同时包括Atlas和Ranger,则升级向导将部署一个基础架构Solr服务,以通过Ranger Admin UI提供审核日志的搜索功能和/或存储和提供Atlas...如果要升级的集群将包括Atlas,Ranger或同时包括Atlas和Ranger,则升级向导将部署一个基础架构Solr服务,以通过Ranger Admin UI提供审核日志的搜索功能和/或存储和提供Atlas
一、介绍 redis-port是一款redis数据迁移工具,用来将数据从一个redis迁移到另一个redis实例/redis集群中 ,以下是官方地址: https://github.com/CodisLabs...redis-port 使用也是非常的简单: /redis-port sync -f 127.0.0.1:6379 -t 127.0.0.1:6380 -n 8 上述命令将127.0.0.1:6379这个redis实例的数据迁移到...最近有这么一个场景:只迁移指定前缀的key,因为一个redis集群有好几个应用在用,如果全部都迁,时间太长,占的内存也比较大。...二、改造过程 我们先整理下redis-port的工作流程: 1、伪装一个从,向主redis 发起同步请求; 2、主redis将当前数据以rdb发送给redis-port; 3、redis-port解析...再make编译下,可以试下效果: 开两个redis实例,实例A为6379端口,实例B为6380端口,实例A数据如下: ? 执行redis-sync: ? 看下实例B中的数据: ?
这是CDH/HDP/Apache Hadoop迁移到CDP系列的第二篇博客,如对迁移感兴趣,请关注该系列之前博客《使用 Replication Manager 迁移到CDP 私有云基础》、《将数据迁移到...在 Ranger 中设置 Hive HDFS 策略(推荐)以包含外部表数据的路径。 放置一个 HDFS ACL。...配置 HMS 以实现高可用性 要在主实例出现故障时提供到辅助 Hive Metastore 的故障转移,您需要知道如何在 Cloudera Manager 中添加 Metastore 角色并配置属性。...多个 HMS 实例以主动/主动模式运行。不发生负载平衡。HMS 客户端总是到达第一个实例,除非它关闭。...单击实例>操作>添加角色实例 在分配角色中,在 Metastore 服务器中,单击选择主机。
(一)Ranger的架构 Ranger主要由以下三个组件构成: (1)Ranger Admin:Ranger Admin是Ranger的核心模块,它内置了一个Web管理页面,用户可以通过这个Web管理界面或者...其中,HiveAuthorizerFactory用来生成HiveAuthorizer的相关实例。...具体流程如下图所示: (三)Ranger运维实战 人员,角色和权限一直是系统设计和运维重点关注的领域。...如果不建立一套完善的人员、角色和权限关系,那么一个“非法用户”就有可能轻易地访问甚至篡改系统的资源和数据。...相比于Unix/Linux系统简单的用“用户/用户组”来设定权限,Apache Ranger提供了界面更友好的、操作更方便的Web页面来建立一套完善的人员、角色和权限关系,让经过授权的用户可以合法地访问已授权的资源和数据
我们需要为 CDP 中的任何组件更改做好准备,包括: 从 MR1 过渡到 MR2(仅限 CDH5) 为 Solr 准备新集合(仅限 CDH5) 导出为 Apache Ranger 准备的 Sentry...添加新的 Solr 服务——Ranger 需要一个专门的 Solr 来处理审计日志。 注意:这与运行以业务为中心的用例的其他 Solr 实例在单独的端口上运行。...迁移到 Capacity Scheduler,但建议您在升级前后仔细检查和调整 Capacity Scheduler 配置。...在 Tez 服务上添加 Hive – 注意:HiveServer2 角色已移至此服务,不应再在 Cloudera Manager 中的 Hive 服务下访问。...添加 Ranger 服务 - Ranger 正在取代 Sentry 和专注于审计的 Navigator 部分。
HiveServer实例将数据读取/写入HMS。后端的一个或多个HMS实例可以与其他服务(例如Ranger)对话。冗余HMS是被动的,可提供故障转移服务。...物理数据驻留在后端RDBMS中,一个用于HMS,一个用于安全服务,例如Ranger。在任何给定时间,所有连接都会路由到单个RDBMS服务。...ACID 受管 位置属性 注释 行动 非ACID 是 是 迁移到CDP,例如从HDP或CDH集群。...配置HMS属性以进行授权 作为管理员,如果您对查询授权有任何疑问,则可能需要通过Ranger设置Apache Hive Metastore(HMS)授权。...例如,如果poolSize = 100,具有3个HMS实例(一个专门用于压缩),并且每个服务器具有4个池,则可以容纳1200个连接。
CDP 使用 Apache Ranger 进行数据安全管理。如果您希望利用 Ranger 进行集中安全管理,则需要将 HBase ACL 迁移到Ranger策略。...3.2 允许/拒绝条件Apache Ranger 支持以下访问条件: 允许 从允许中排除 拒绝 从拒绝中排除 这些访问条件使您能够设置细粒度的访问控制策略。...在这种情况下,您可以添加一个 Exclude from Deny 条件,以允许用户scott访问金融数据库。 选择角色 指定此策略适用的角色。要将角色指定为管理员,请选中委派管理员复选框。...首先应用列表顶部的条件,然后是第二个,然后是第三个,依此类推。拒绝条件总是更强。以下流程图提供了有关 Ranger 策略评估流程的信息。 3.4 最后点击添加。...结论 在这篇博文中,我们研究了如何使用 Cloudera Manager将HBase ACL迁移到 Ranger 策略。不幸的是,迁移没有自动化,因为两种授权方法差别很大。
1.2.1 Apache Ranger Ranger使用基于角色的访问控制(RBAC)策略和基于属性的访问控制(ABAC)策略。也就是说,Ranger通过角色或属性将组映射到数据访问权限。...例如: QA角色有数据库中特定数据的只读权限 X部门的所有人都有QA角色 那么, X部门的所有人都可以访问数据库中的特定数据 1.2.2 Apache Atlas Apache Atlas可以用来定义属性...那么如何将目录服务中的用户和用户组映射到Linux环境呢?一般使用SSSD或者Centrify。...1.5.1Apache Ranger 即便是安全集群,也仍然需要启用审计服务。CDP使用Apache Ranger来提供审计报告,以便更深入地控制生产环境。...Ranger插件从用户日常操作中收集审计日志,并通过一个独立的线程汇聚到Ranger Audit Server。
要在ranger中支持一个新的服务模块的权限校验,可以分为两部分,一部分是在ranger中添加一个服务模块,然后添加该服务的实例并配置对应的权限策略;另一部分就是在真正的服务端开发插件,从ranger中拉取权限策略...【在ranger中添加服务模块】 ---- 在ranger中添加服务模块可以分为3个步骤: 1....例如:org.apache.ranger.services.rabbitmq.RangerServiceRabbitmq 每个服务模块都需要有一个对应的实现类。...即一旦在ranger的web界面中添加了该服务的一个实例,那么会自动添加默认的策略。 因此,可以在具体实现类中根据需要改写该方法的实现。 3....加载服务模块 完成前面两步后,在ranger中添加服务的主要工作基本完成,剩下的就是启动初始化加载该服务模块(实例化具体的类对象)使其可以在界面中展示了。
领取专属 10元无门槛券
手把手带您无忧上云
