Смущает архитектура Ranger

Question

Смущает архитектура Ranger

Потратив целый день на настройку и изучение Ranger от Hortonworks, я неохотно могу использовать его сейчас, но я все еще очень смущен его структурой. Я перечисляю вопросы ниже:

Каковы отношения между Ranger и Knox, почему Hortonworks предлагает два решения для одной и той же должности? Если я хочу применить их для моего кластера Hadoop, какова лучшая практика?
Почему я должен использовать UserSync? или, другими словами, Ranger-Admin имеет возможность общаться с LDAP/AD, чтобы получить пользователей, почему ему все еще требуется UserSync? и как, если UserSync собирается также общаться с LDAP/AD (или другим сервером ldap), что произойдет? Повлияет ли это на соединение LDAP/AD Ranger-Admin self?
Аналогичный вопрос для подключения к аудиту плагина, так как Ranger-Admin имеет подключение для аудита, зачем подключаться к базе данных аудита самому плагину? Почему они не просто передают информацию аудита для администратора, и позволяют администратору принимать решение, где хранить информацию? Как, если они (Admin и плагин) общаются с другой базой данных, что произойдет?

1

hadoop hortonworks-data-platform knox-gateway

Источник

user3593261 01 мар '17 в 21:17

1 ответ

Решение

Другие вопросы по тегам hadoop hortonworks-data-platform knox-gateway

user716439 02 мар '17 в 14:38 2017-03-02 14:38 · Accepted Answer · 2017-03-02 14:38

Я думаю, что могу кратко ответить на вопрос 1

Каковы отношения между Ranger и Knox, почему Hortonworks предлагает два решения для одной и той же должности? Если я хочу применить их для моего кластера Hadoop, какова лучшая практика?

Они для разных целей. Ranger предоставляет вам детальный контроль ACL, Knox - прокси-сервер (шлюз), который обеспечивает централизованный уровень безопасности веб-сервисов. Это говорит о том, что с помощью Ranger у вас есть центральное место (UI) для управления ACL для сервисов стека hadoop, например, кто может получить доступ к таблице в улье; Используя knox, вы можете поместить все свои службы hadoop в частную сеть, используя незащищенный протокол http, а сервер knox, работающий на узле шлюза (доступ вне доступа), у которого включен https, дает пользователю центральную запись http/https для доступа к сети. сервисы, которые поддерживают вход пользователя (некоторые из стековых сервисов hadoop, например hadoop, пока не поддерживают это).