Ranger 安装1.0.2+
# 基于 Ambari 安装 Ranger 权限服务 🛡️
Apache Ranger 是大数据生态中用于集中管理权限策略的核心组件,提供 Web 控制台来控制和审计如 Hive、HDFS、YARN、Kafka、HBase
等服务的访问行为。Ranger 将权限策略从分散式管理提升为集中统一管控,是构建 数据安全治理体系 的基石。
本次我们将使用 Ambari 图形化向导 安装 Ranger,并完成与 Solr 的集成,用于审计日志记录与查询。
# 1. Ranger 组件结构简介
在安装之前,我们先快速了解 Ranger 的核心组件及其作用:
| 组件名称 | 作用说明 |
|---|---|
| Ranger Admin | 核心控制台,提供 Web UI,负责管理权限策略并将策略同步到对应组件 |
| Ranger Usersync | 用于从 Linux、本地文件、LDAP 或 AD 中同步用户/组信息至 Ranger |
| Ranger Tagsync(可选) | 用于从 Atlas 等系统同步标签,实现基于标签的访问控制 |
| Solr Audit Backend | 非 Ranger 组件,由 Solr 负责索引 Ranger 的审计日志(谁访问了什么、成功与否) |
# 2. 启动安装向导并选择 Ranger 服务
和其他组件安装一样,在 Ambari 界面点击左上角菜单 Add Service,在服务列表中勾选 Ranger,如下图所示:
# 3. 指定组件部署节点
我们建议将 Ranger Admin 和 Usersync 部署在同一个节点,便于管理与资源整合(如图所示部署在 hadoop2):
笔记
Tagsync 组件暂未启用,如需集成 Atlas 进行标签权限管理,可后续补装。
# 4. 配置 Ranger 的业务数据库信息
# 4.1 指定 Ranger 数据库连接信息
Ranger Admin 的策略数据需要持久化到外部数据库,我们使用 MySQL:
- 数据库名:
ranger - 用户名:
rangeradmin - 密码:请确保长度大于等于 8 位,且包含 大写 + 小写 + 数字,否则安装时将校验失败。
# 4.2 配置数据库管理员账号(自动建库)
下图中填写拥有建库权限的 MySQL 管理员账号(一般为 root),便于系统自动创建库与用户:
点击 TEST CONNECTION 检查连接是否正常。
# 5. 设置 Ranger 模块密码
接下来要为 Ranger 各组件设置访问认证密码,包括:
- Ranger Admin 登录密码(Web UI 登录用)
- Ranger Usersync、Tagsync、KMS 的内部通信密码
建议统一使用 Rangeradmin123(符合安全策略要求):
下图为 Admin 登录密码设置,最终访问 Web UI 会用到:
# 6. 配置审计日志 Solr 集成
Ranger 支持将所有权限访问行为记录为审计日志,并通过 Solr 提供检索能力。填写下列字段:
| 配置项 | 示例值 |
|---|---|
| Collection 名称 | ranger_audits |
| Solr 配置集 | ranger_audits |
| Shards 数 | 1 |
| 副本数 | 1 |
| Solr 地址 | 示例:http://hadoop1:8983/solr(请根据实际填写) |
# 7. 启动安装并等待组件部署
安装过程大概需要数分钟,包含:
- 创建数据库表结构
- 初始化策略配置
- 分发组件到目标主机
- 启动服务进程
# 8. 安装完成并进入控制台
部署成功后,你将看到 Ranger 服务出现在左侧导航栏中,所有核心组件 Started 状态:
# 9. 访问 Ranger Web 控制台
通过浏览器访问:
Ranger 登录入口 (opens new window)
使用前面设置的账号密码:
| 用户名 | 密码 |
|---|---|
| admin | Rangeradmin123 |
登录后即可开始配置策略、同步用户、关联插件。