0

架构:大数据集群在 Microsoft Azure 上使用 Hortonworks Cloudbreak 部署,存储为 Azure Data Lake Storage (ADLS)。用户将从客户端 Active Directory 同步到 Azure Active Directory。

Apache Ranger 将用于为位于 ADLS 中的数据实体提供基于标签和基于角色的访问,但是当从 Hadoop 环境外部(例如 Azure 存储资源管理器)访问 ADLS 时,Ranger 将失去其控制权。

问题:那么我们如何确保Ranger 和 Azure Active Directory 同步,以便在用户从 Azure 存储资源管理器或 Azure Portal 访问 ADLS 时可以实施 Ranger 策略?

仅在互联网上找到相关参考:

http://mail-archives.apache.org/mod_mbox/ranger-user/201803.mbox/%3C0269973F-08C2-4C86-B582-3DD96341B59A@hortonworks.com%3E

4

1 回答 1

0

目前没有针对此问题的全面解决方案,因为 Apache Ranger(基于策略,在运行时评估)和 ADLS(每个文件分配的 ACL)完全不同,因此权限/策略不能简单地从 Apache Ranger 映射和同步,

唯一的“安全解决方案”是完全锁定对数据的直接访问,并使所有数据访问都通过集群访问通道。当唯一的数据访问模型是通过集群时,这实际上与本地 HDFS 使用的模型相同。

尽管使用这种“安全解决方案”会降低使用 ADLS 的价值主张。

如果您对正在实施的此功能感兴趣,请将您的反馈提交到 azure feedback,如果社区有足够的兴趣,产品团队将计划将其纳入路线图。 https://feedback.azure.com/forums/34192--general-feedback

于 2019-06-27T01:23:24.027 回答