通过Apache Ranger配置Apache Hive保护连接通过zookeeper仲裁,例如:
jdbc:hive2://d01.test.local:2181,d 02.test.local:2181,d 03.test.local:2181/;service Discovery Mode=zooKeeper;zooKeeperNamespace=hiveserver2
用户可以通过指定与主机的直接连接来连接到Hive 2,例如:
jdbc:hive2://d01.test.local:10000
但在Have Service Name的策略设置中,只能有一个(文件ranger-hive-security.xml)
那么,如何保护Hive免受这种直接连接?
如果策略是通过zookeeper配置的,那么直接连接就不安全,审计也不会工作
1条答案
按热度按时间relj7zay1#
Zookeeper quorum用于服务高可用性,它协调集群中指定主机的所有HS 2示例一起工作。
据我所知,指定属性
hive.zookeeper.quorum
并不能帮助Ranger强制每个HS 2主机只有一个插件。要实现你的愿望,我认为你可以去这样的配置;
install.properties
中指定REPOSITORY_NAME
。通过这种方式,您在服务下创建/删除/修改的任何策略都将影响所有HS 2节点,因为它们共享相同的存储库。