إدارة مجموعات HDInsight باستخدام حزمة أمان المؤسسة

تعرف على المستخدمين والأدوار في حزمة أمان المؤسسات HDInsight (ESP) وكيفية إدارة أنظمة المجموعات ESP.

استخدام VSCode للربط بنظام المجموعة المتصلة بالمجال

يمكنك ربط نظام مجموعة عادية باستخدام اسم مستخدم مُدار بواسطة Apache Ambari، وأيضاً ربط نظام مجموعة Apache Hadoop الآمنة باستخدام اسم مستخدم مجال (مثل: user1@contoso.com).

1. فتح Visual Studio Code. تأكد من تثبيت ملحق أدوات Spark وApache Hive.

2. اتبع الخطوات من ربط نظام مجموعة لتعليمات Visual Studio البرمجية.

استخدام IntelliJ للربط بنظام المجموعة المتصلة بالمجال

يمكنك الربط بنظام مجموعة عادية باستخدام اسم مستخدم مُدار بواسطة Ambari، وأيضاً ربط نظام مجموعة hadoop آمنة باستخدام اسم مستخدم مجال (مثل: user1@contoso.com).

1. افتح IntelliJ IDEA. تأكد من استيفاء جميع المتطلبات الأساسية.

2. اتبع الخطوات من ربط نظام مجموعة لـ IntelliJ.

استخدام Eclipse للارتباط إلى الكتلة المتصلة بالمجال

يمكنك الربط بنظام مجموعة عادية باستخدام اسم مستخدم مُدار بواسطة Ambari، وأيضاً ربط نظام مجموعة hadoop آمنة باستخدام اسم مستخدم مجال (مثل: user1@contoso.com).

1. افتح Eclipse. تأكد من استيفاء جميع المتطلبات الأساسية.

2. اتبع الخطوات من ربط نظام مجموعة لـ Eclipse.

الوصول إلى أنظمة المجموعات باستخدام حزمة أمان المؤسسات

توفر حزمة أمان المؤسسات (المعروفة سابقاً باسم HDInsight Premium) الوصول متعدد المستخدمين إلى نظام المجموعة، حيث تتم المصادقة بواسطة خدمات مجال Active Directory وتخويل من Apache Ranger وقوائم التحكم بالوصول للتخزين (ADLS ACLs). يوفر التخويل حدوداً آمنة بين العديد من المستخدمين ويسمح للمستخدمين المميزين فقط بالوصول إلى البيانات استنادا إلى نُهج التخويل.

يُعد كل من الأمان وعزل المستخدم أمران مهمان لنظام مجموعة HDInsight مع حزمة أمان المؤسسات. لتلبية هذه المتطلبات، يتم دعم وصول SSH إلى نظام المجموعة باستخدام حزمة أمان المؤسسات للمستخدم المحلي المحدد في وقت إنشاء نظام المجموعة وكذلك المستخدمين المتوفرين في Microsoft Azure AD-DS (أيّ Kerberos). يعرض الجدول التالي أساليب الوصول المستحسنة لكل نوع من أنواع نظام المجموعة:

حمل العمل	السيناريو	أسلوب الوصول
Apache Hadoop	Apache Hive – المهام التفاعلية/الاستعلامات	Beeline عرض Apache Hive ODBC/JDBC – Power BI أدوات Visual Studio
Apache Spark	الوظائف التفاعلية/الاستفسارات، PySpark التفاعلي	Beeline Zeppelin مع Livy عرض Apache Hive ODBC/JDBC – Power BI أدوات Visual Studio
Apache Spark	سيناريوهات الدُفعة – إرسال Spark، PySpark	ليفي
استعلام تفاعلي (LLAP)	تفاعلي	Beeline عرض Apache Hive ODBC/JDBC – Power BI أدوات Visual Studio
أي	تثبيت التطبيقات المخصصة	إجراءات البرنامج النصي

إشعار

لا يتم تثبيت/دعم Jupyter في حزمة أمان المؤسسات.

يساعد استخدام واجهات برمجة التطبيقات القياسية من منظور الأمان. يمكنك أيضاً الحصول على الميزات التالية:

• الإدارة – يمكنك إدارة التعليمة البرمجية وإجراء المهام تلقائياً باستخدام واجهات برمجة التطبيقات القياسية – Livy، HS2 وغيرها.
• التدقيق – باستخدام SSH، لا يمكن التدقيق، إذ يقوم المستخدمون بإجراء SSH'd إلى نظام المجموعة. لن يكون هذا هو الحال عندما يتم إنشاء المهام عبر نقاط النهاية القياسية حيث سيتم تنفيذها في سياق المستخدم.

استخدام Beeline

تّبّت Beeline على جهازك، واتصل بشبكة الإنترنت العامة، واستخدم المعلمات التالية:

- Connection string: -u 'jdbc:hive2://<clustername>.azurehdinsight.net:443/;ssl=true;transportMode=http;httpPath=/hive2'
- Cluster login name: -n admin
- Cluster login password -p 'password'

إذا كان لديك Beeline مثبت محلياً، ويتم الاتصال عبر شبكة Azure الظاهرية، استخدم المعلمات التالية:

Connection string: -u 'jdbc:hive2://<headnode-FQDN>:10001/;transportMode=http'

للعثور على اسم المجال المؤهل بالكامل لعقدة الرأس، استخدم المعلومات الموجودة في إدارة HDInsight باستخدام مستند واجهة برمجة تطبيقات Ambari REST.

مستخدمو أنظمة مجموعات HDInsight مع ESP

يحتوي نظام مجموعة HDInsight غير ESP على اثنين من حسابات المستخدمين التي تم إنشاؤها أثناء إنشاء نظام المجموعة:

• مسؤول Ambari: يُعرف هذا الحساب أيضاً باسم مستخدم Hadoop أو مستخدم HTTP. يمكن استخدام هذا الحساب لتسجيل الدخول إلى Ambari في https://CLUSTERNAME.azurehdinsight.net. كما يمكن استخدامه لتشغيل الاستعلامات على طرق عرض Ambari وتنفيذ المهام عبر أدوات خارجية (على سبيل المثال، PowerShell وTempleton وVisual Studio) والمصادقة باستخدام برنامج تشغيل ODBC لـ Apache Hive وأدوات المعلومات المهنية (على سبيل المثال، Excel أو Power BI أو Tableau).

يحتوي نظام مجموعة HDInsight مع ESP على ثلاثة مستخدمين جدد بالإضافة إلى مسؤول Ambari.

• مسؤول Ranger: هذا الحساب هو حساب مسؤول Apache Ranger المحلي. لا يُعد مستخدم مجال للدليل النشط. يمكن استخدام هذا الحساب لإعداد النُهج وجعل المستخدمين الآخرين مسؤولين أو مسؤولين مفوضين (بحيث يتمكن هؤلاء المستخدمون من إدارة النُهج). بشكل افتراضي، يكون اسم المستخدم هو المسؤول وكلمة المرور هي نفس كلمة مرور المسؤول Ambari. يمكن تحديث كلمة المرور من صفحة "الإعدادات" في Ranger.

• اسم مجال المسؤول لنظام المجموعة: يُعد هذا الحساب هو مستخدم مجال الدليل النشط المعين كمسؤول نظام المجموعة Hadoop بما في ذلك Ambari وRanger. يجب توفير بيانات اعتماد هذا المستخدم أثناء إنشاء نظام المجموعة. يملك هذا المستخدم الامتيازات التالية:

  • ربط الأجهزة بالمجال ووضعها داخل الوحدة التنظيمية التي تحددها أثناء إنشاء نظام المجموعة.
  • إنشاء كيانات الخدمة داخل الوحدة التنظيمية التي تحددها أثناء إنشاء نظام المجموعة.
  • إنشاء إدخالات أنظمة أسماء المجالات العكسية.

  لاحظ أن مستخدمي AD الآخرين لديهم هذه الامتيازات أيضاً.

  هناك بعض نقاط النهاية داخل نظام المجموعة (على سبيل المثال، Templeton) التي لا يديرها Ranger، وبالتالي فهي ليست آمنة. يتم تأمين نقاط نهائية هذه لجميع المستخدمين باستثناء مستخدم المجال المسؤول لنظام المجموعة.

• عادي: أثناء إنشاء نظام المجموعة، يمكنك توفير مجموعات دليل نشط متعددة. تتم مزامنة المستخدمين في هذه المجموعات إلى Ranger وAmbari. يُعد هؤلاء المستخدمين هم مستخدمي المجال ولديهم إمكانية الوصول إلى نقاط النهاية المُدارة بواسطة Ranger فقط (على سبيل المثال، Hiveserver2). ستكون جميع نُهج التحكم في الوصول استناداً إلى الدور والتدقيق قابلة للتطبيق على هؤلاء المستخدمين.

أدوار أنظمة مجموعات HDInsight مع ESP

تقوم حزمة أمان المؤسسات لـ HDInsight بالأدوار التالية:

• مسؤول نظام المجموعة
• عامل تشغيل نظام المجموعة
• مسؤول الخدمة
• عامل تشغيل الخدمة
• مستخدم نظام المجموعة

لمشاهدة أذونات هذه الأدوار

1. افتح واجهة المستخدم إدارة Ambari. راجع فتح واجهة مستخدم إدارة Ambari.

2. من القائمة اليسرى، حددالأدوار.

3. حدد علامة الاستفهام الزرقاء لرؤية الأذونات:

   

فتح واجهة المستخدم إدارة Ambari

1. انتقل إلى https://CLUSTERNAME.azurehdinsight.net/ حيث CLUSTERNAME هو اسم نظام المجموعة لديك.

2. .قم بتسجيل الدخول باستخدام اسم مستخدم مجال مسؤول نظام المجموعة وكلمة المرور.

3. حدد القائمة المنسدلة المسؤول من الزاوية اليمنى العليا، ثم حدد إدارة Ambari.

   

   ستبدو واجهة المستخدم كالتالي:

   

سرد مستخدمي المجال المتزامنين من خدمات مجال Active Directory

1. افتح واجهة المستخدم إدارة Ambari. راجع فتح واجهة مستخدم إدارة Ambari.

2. في القائمة اليسرى، حدد المستخدمين. سترى جميع المستخدمين المتزامنين من خدمات مجال Active Directory إلى نظام مجموعة HDInsight.

   

سرد مجموعات المجال المتزامنة من خدمات مجال Active Directory

1. افتح واجهة المستخدم إدارة Ambari. راجع فتح واجهة مستخدم إدارة Ambari.

2. من القائمة اليسرى، حدد المجموعات. سترى جميع المجموعات المتزامنة من خدمات مجال Active Directory إلى نظام مجموعة HDInsight.

   

تكوين أذونات طرق عرض Apache Hive

1. افتح واجهة المستخدم إدارة Ambari. راجع فتح واجهة مستخدم إدارة Ambari.

2. من القائمة اليسرى، حدد طرق العرض.

3. حدد HIVE لإظهار التفاصيل.

   

4. حدد الارتباط عرض Apache Hive لتكوين طرق عرض Apache Hive.

5. مرر لأسفل إلى قسم الأذونات.

   

6. حدد إضافة مستخدم أو إضافة مجموعة، ثم حدد المستخدمين أو المجموعات التي يمكنها استخدام طرق عرض Apache Hive.

تكوين المستخدمين للأدوار

لمشاهدة قائمة الأدوار وأذوناتها، راجع أدوار أنظمة مجموعات HDInsight باستخدام ESP.

1. افتح واجهة المستخدم إدارة Ambari. راجع فتح واجهة مستخدم إدارة Ambari.
2. من القائمة اليسرى، حددالأدوار.
3. حدد إضافة مستخدم أو إضافة مجموعة لتعيين مستخدمين ومجموعات لأدوار مختلفة.

الخطوات التالية

• لتكوين نظام مجموعة HDInsight مع حزمة أمان المؤسسات، راجع تكوين أنظمة مجموعات HDInsight باستخدام ESP.
• لتكوين نُهج Apache Hive وتشغيل استعلامات Apache Hive، اطلع على تكوين نُهج Apache Hive لأنظمة مجموعات HDInsight باستخدام ESP.