在花了一整天的时间来安装和学习hortonworks的ranger之后,我现在勉强能够使用它了,但是我仍然对它的结构感到非常困惑。我列出以下问题:
ranger和knox之间的关系是什么?hortonworks为什么为同一位置提供两种解决方案?如果我想将它们应用到hadoop集群中,最佳实践是什么?
为什么我必须使用usersync?或者换言之,ranger admin能够与ldap/ad对话以获取用户,为什么它仍然需要usersync?如果usersync也要与ldap/ad(或另一个ldap服务器)通信,会发生什么?它会影响ranger admin self的ldap/ad连接吗?
对于插件的审计连接类似的问题,因为ranger admin有审计连接,为什么插件需要自己到审计数据库的连接?为什么他们不把审计信息推给管理员,让管理员决定在哪里存储信息?如果他们(管理员和插件)和不同的数据库交谈,会发生什么?
1条答案
按热度按时间vngu2lb81#
我想我可以简单地回答问题1
ranger和knox之间的关系是什么?hortonworks为什么为同一位置提供两种解决方案?如果我想将它们应用到hadoop集群中,最佳实践是什么?
它们有不同的用途。ranger为您提供细粒度的ACL控制,knox是一个代理服务器(网关),它提供了一个集中的web服务安全层。也就是说,使用ranger,您有一个中心位置(ui)来管理hadoop堆栈服务的ACL,例如谁可以访问hive上的表;使用knox,您可以使用不安全的http协议将所有hadoop服务置于专用网络下,并且运行在启用https的网关节点(外部可以访问)上的knox服务器为用户提供一个中心http/https条目,以访问支持用户登录的web服务(一些hadoop堆栈服务,例如hadoop,还不支持此功能)。