前面简介中介绍了E-MapReduce中创建启动Ranger服务的集群,以及一些准备工作,本文介绍HBase集成Ranger的一些步骤流程。

HBase集成Ranger

  1. Ranger启用HBase。
    1. 登录阿里云E-MapReduce控制台
    2. 在顶部菜单栏处,选择地域(Region)。根据实际情况选择资源组,默认显示账号全部资源。
    3. 单击上方的集群管理页签。
    4. 集群管理页面,单击相应集群所在行的详情
    5. 左侧导航栏单击集群服务 > RANGER
    6. 单击右侧的操作下拉菜单,选择启用HBase
      Enable HBase PLUGIN
    7. 执行集群操作对话框设置相关参数,然后单击确定
      单击右上角查看操作历史查看任务进度,等待任务完成。
  2. Ranger UI添加HBase Service。
    1. 进入Ranger UI页面,详情请参见Ranger简介
    2. 在Ranger的UI页面添加HBase Service。
      add_hbase
    3. 配置相关参数。
      add_hbase
      参数 说明
      Service Name 固定值emr-hbase
      Username 固定填写hbase
      Password 自定义。
      hadoop.security.authentication
      包含:
      • 标准集群(非高安全集群):选择Simple
      • 高安全集群:选择Kerberos
      hbase.master.kerberos.principal 标准集群时不填写;高安全集群时填写hbase/_HOST@EMR.${id}.COM。 host
      说明 ${id}可登录机器执行hostname命令,hostname中的数字即为${id}的值。
      hbase.security.authentication
      hbase.zookeeper.property.clientPort 固定值2181
      hbase.zookeeper.quorum 固定值emr-header-1,emr-worker-1
      zookeeper.znode.parent 固定值/hbase
      Add New Configurations
      • Name:固定值policy.download.auth.users
      • Value:固定值hbase
      说明 测试连接失败时,可忽略。
    4. 单击Add
  3. 重启HBase。
    1. 左侧导航栏单击集群服务 > HBase
    2. 单击右上角操作下拉菜单,选择重启 All Components
    3. 执行集群操作对话框设置相关参数,然后单击确定
      单击右上角查看操作历史查看任务进度,等待任务完成。

设置管理员账号

您需要设置管理员账号的权限(admin权限),用于执行一些管理命令,如balance/compaction/flush/split等。

设置管理员账号

上图中已经存在权限策略,您只需要单击右侧的edit,在User中添加您想要设置的账号即可,另外也可以修改其中的权限(如只保留Admin权限)。HBase账号必须要默认设置为管理员账号。

若使用Phoenix,则还需在Ranger的HBase中新增如下策略:

参数 说明
Column Family *
Column *
Groups public
Permissions ReadWrite, Create, Admin

权限配置示例

上面一节中已经将Ranger集成到HBase,可以进行相关的权限设置。例如给test用户授予表foo_ns:test的Create/Write/Read权限。

  1. 单击配置好的emr-hbase
    权限配置示例
  2. 单击右上角的Add New Policy
  3. 配置相关权限。
    参数 说明
    Policy Name 可自定义。
    HBase Table 表对象,格式为${namespace}:${tablename}。可输入多个,填写一个需按一次Enter键。

    如果是default的namespace,不需要加default,如左边的t2可支持通配符*;如foo_ns:*表示foo_ns下的所有表。

    目前对default:*目前还不支持。

    HBase Column-family 列簇。
    HBase Column 列名。
    Select Group User或Group会自动从集群中同步过来,大约需要一分钟,您可以事先将它们添加到集群。
    Select User
    Permissions 选择授予的权限。
  4. 单击add
    添加一个Policy后,就实现了对test用户的授权,然后test用户就可以对foo_ns:test表进行访问了。