„Hadoop“ saugumo projektas, vadinamas „Ranger“, tariamai buvo pavadintas pagerbiant Chucką Norrisą atliekant „Walker, Texas Ranger“ vaidmenį. Projekto šaknys yra „XA Secure“, kurią įsigijo „Hortonworks“, o vėliau pervadinta į „Argus“ prieš apsigyvenant „Apache Software Foundation“ kaip „Ranger“.
Kai „Hadoop“ pradėjo veikti, tai buvo laisvai sujungtų dalių rinkinys, pirmiausia naudojamas didžiųjų interneto kompanijų, tokių kaip „Yahoo“, gale. Šios dalys buvo suvyniotos į platinimus ir parduodamos kaip „Hadoop“, pavyzdžiui, „MapR“, „Cloudera“ ir „Hortonworks“.
Tokia dalinė architektūra nėra neįprasta atvirojo kodo pasaulyje ar net plačiame komercinės programinės įrangos pasaulyje. Tačiau tai kelia saugumo iššūkių. Kai kurie tai skaitys kaip „nesaugu“, tačiau taip nebūtinai yra, nors gali būti. Problema yra daugiau, kaip jūs autentifikuojate vartotojus visose šios sistemos dalių dalyse - ir kai tik jūs juos patvirtinsite, kaip jūs juos įgaliosite daryti tik tai, ką norite pasakyti?
Kiekviena „Hadoop“ dalis turi savo LDAP ir „Kerberos“ autentifikavimą, taip pat savo autorizacijos priemones ir taisykles (ir daugeliu atvejų visiškai atskiria to paties diegimą). Tai reiškia, kad jūs turite sukonfigūruoti „Kerberos“ arba LDAP kiekvienai atskirai daliai, tada apibrėžkite tas taisykles kiekvienoje atskiroje konfigūracijoje. Tai, ką daro „Apache Ranger“, yra kiekvienos iš šių „Hadoop“ dalių papildinys ir bendra autentifikavimo saugykla, taip pat leidžia apibrėžti strategijas centralizuotoje vietoje.
„Ranger“ yra aiškiai „Hortonworks“ remiamas projektas (priešingai nei „Cloudera“ ar „MapR“ ar dabar „Databricks“). Iš dalies tai galite pasakyti pagal odos spalvą (žalia spalva) ir iš dalies dėl to, ką ji palaiko. Šiuo metu „Ranger“ palaiko:
- HDFS
- Avilys
- Audra
- HBase
- Knox
- Verpalai
- Kafka
- Solr
Išskyrus HDFS ir HBase, kurie yra palaikomi kaip „Hadoop“ ir „Solr“ branduolio dalis, tai yra keletas „Hortonworksy“ projektų. Modernioje diegimo vietoje greičiausiai pamatysite kitus komponentus, tokius kaip „Spark“ arba galbūt „Impala“ (iš „Cloudera“). Nepaisant to, „Ranger“ yra puikus dalykas.
Kaip veikia „Ranger“
„Ranger“ kiekvienam komponentui, kurį dirbate su saugykla. Šios saugyklos yra pagrįstos papildiniu arba agentu, kuris veikia su tuo komponentu.
Su kiekviena iš šių saugyklų susietas strategijų rinkinys, susietas su jūsų saugomu šaltiniu (lentele, aplanku ar stulpeliu) ir grupe (pvz., Administratoriais) bei tuo, ką jiems leidžiama daryti su tuo dalyku (skaityti , rašyti ir pan.). Kiekvienai politikai suteikiate pavadinimą - tarkite: „Apac_china lentelę gali skaityti tik„ grp_nixon “.
GUI su centriniu vaizdu, kam leidžiama tai daryti, suteikia „Hadoop“ ekosistemai labai reikalingą paprastumą, tačiau tai dar ne viskas, ką siūlo „Ranger“. Ji taip pat teikia audito registravimą. Nors tai negali išstumti visų programų audito registravimo žurnalų, kurių jūs kada nors norėtumėte, jei jums tiesiog reikia žinoti, kas prie ko prisijungė naudodamas HDFS arba kokia politika buvo įgyvendinta kur, tikriausiai tai yra būtent tai, ko jums reikia.
Be to, „Ranger“ gali teikti raktų valdymo paslaugas, kad galėtų dirbti su nauju HDFS TDE (skaidrus duomenų šifravimas). Taigi, jei jums reikia visiško šifravimo ir švaraus būdo valdyti su juo susijusius raktus, „Ranger“ nėra bloga vieta pradėti.
Ranger žiūri į priekį
Manau, kad didžiausia „Ranger“ viltis kyla dėl jo išplėtimo. Galite sukurti savo papildinius toms sritims, kurios nėra aprėpiamos.
Jei tikėjotės, kad tai buvo „Hadoop“ saugumo istorijos pabaiga, deja, „Cloudera“ turi savo „Apache“ projektą „Sentry“ (kurį, panašu, palaiko ir „MapR“), kuris apima tą pačią sritį. Teisybės dėlei, pirmiausia buvo „Sentry“, tada „Hortonworks“ įsigijo „XA Secure“. Be to, „Sentry“ dokumentacijos praktiškai nėra, aprėptis labiau suvaržyta, o projekto svetainė nyksta (nors veikla „GitHub“ pastaruoju metu padidėjo).
„Hadoop“ saugumas nuėjo ilgą kelią. „Ranger“ pateikia gana išsamų, jei dar šiek tiek neišsamų, būdą valdyti ekosistemą. Skylės išlieka daugiausia dėl tiekėjų konkurencijos didžiųjų duomenų pasaulyje. Tai galima užpildyti išplečiant projektą, tačiau būtų malonu pamatyti daugiau bendradarbiavimo ir bendruomenės „Apache“ pasaulyje.
