Kurz: Konfigurace zásad Apache HBase ve službě HDInsight s balíčkem zabezpečení podniku

  • Článek

Zjistěte, jak nakonfigurovat zásady Apache Ranger pro clustery Apache HBase (Enterprise Security Package). ESP clustery jsou připojené k doméně, což uživatelům umožňuje ověření pomocí přihlašovacích údajů do domény. V tomto kurzu vytvoříte dvě zásady Rangeru, které omezí přístup k různým rodinám sloupců v tabulce HBase.

V tomto kurzu se naučíte:

  • Vytvořte uživatele domény.
  • Vytvořte zásady Rangeru.
  • Vytvořte tabulky v clusteru HBase.
  • Otestujte zásady Rangeru.

Než začnete

Připojení k uživatelskému rozhraní správce Apache Ranger

  1. V prohlížeči se připojte k Ranger Správa uživatelské rozhraní pomocí adresy URL https://<ClusterName>.azurehdinsight.net/Ranger/. Nezapomeňte změnit <ClusterName> název clusteru HBase.

    Poznámka:

    Přihlašovací údaje Rangeru nejsou stejné jako přihlašovací údaje clusteru Hadoop. Abyste zabránili prohlížeči v použití přihlašovacích údajů clusteru Hadoop uložených v mezipaměti, použijte pro připojení k uživatelskému rozhraní správce Ranger nové okno prohlížeče v režimu InPrivate.

  2. Přihlaste se pomocí svých přihlašovacích údajů správce Microsoft Entra. Přihlašovací údaje správce Microsoft Entra nejsou stejné jako přihlašovací údaje clusteru HDInsight nebo přihlašovací údaje SSH (Linux HDInsight node Secure Shell).

Vytvoření uživatelů domén

Informace o vytvoření sales_user1 a marketing_user1 uživatelů domény najdete v tématu Vytvoření clusteru HDInsight s balíčkem zabezpečení podniku. V produkční scénáři uživatelé domény pocházejí z vašeho klienta služby Active Directory.

Vytvoření tabulek HBase a import ukázkových dat

SSH můžete použít pro připojení ke clusterům HBase a následné použití Prostředí Apache HBase k vytváření tabulek HBase , vkládání dat a dotazování dat. Další informace najdete v tématu Použití SSH se službou HDInsight.

Použití prostředí HBase

  1. Ze SSH spusťte následující příkaz HBase:

    hbase shell

  2. Vytvořte tabulku Customers HBase se dvěma rodinami sloupců: Name a Contact.

    create 'Customers', 'Name', 'Contact'
list

  3. Vložte některá data:

    put 'Customers','1001','Name:First','Alice'
put 'Customers','1001','Name:Last','Johnson'
put 'Customers','1001','Contact:Phone','333-333-3333'
put 'Customers','1001','Contact:Address','313 133rd Place'
put 'Customers','1001','Contact:City','Redmond'
put 'Customers','1001','Contact:State','WA'
put 'Customers','1001','Contact:ZipCode','98052'
put 'Customers','1002','Name:First','Robert'
put 'Customers','1002','Name:Last','Stevens'
put 'Customers','1002','Contact:Phone','777-777-7777'
put 'Customers','1002','Contact:Address','717 177th Ave'
put 'Customers','1002','Contact:City','Bellevue'
put 'Customers','1002','Contact:State','WA'
put 'Customers','1002','Contact:ZipCode','98008'

  4. Zobrazení obsahu tabulky:

    scan 'Customers'

    Screenshot that shows the HDInsight Hadoop HBase shell output.

Vytvoření zásad Ranger

Vytvořte zásadu Ranger pro sales_user1 a marketing_user1.

  1. Otevřete Uživatelské rozhraní správce Ranger. V části HBase vyberte <Název clusteru>_hbase.

    Screenshot that shows the HDInsight Apache Ranger Admin UI.

  2. Na obrazovce Seznam zásad se zobrazují všechny zásady Rangeru vytvořené pro tento cluster. Může být uvedena jedna předkonfigurovaná zásada. Vyberte Přidat novou zásadu.

    Screenshot that shows the Apache Ranger HBase policies list.

  3. Na obrazovce Vytvořit zásadu zadejte následující hodnoty:

    Nastavení Navrhovaná hodnota
    Název zásady sales_customers_name_contact
    Tabulka HBase Zákazníci
    Řada sloupců HBase Jméno, kontakt
    Sloupec HBase *
    Vybrat skupinu
    Vybrat uživatele sales_user1
    Oprávnění Čteno

    Následující zástupné znaky mohou být součástí názvu tématu:

    • * označuje nula nebo více výskytů znaků.
    • ? označuje jeden znak.

    Screenshot that shows the Apache Ranger policy Create sales.

    Poznámka:

    Chvíli počkejte, než se Ranger synchronizuje s ID Microsoft Entra, pokud uživatel domény není automaticky vyplněný pro vybrat uživatele.

  4. Výběrem možnosti Přidat zásadu uložte.

  5. Vyberte Přidat novou zásadu a zadejte následující hodnoty:

    Nastavení Navrhovaná hodnota
    Název zásady marketing_customers_contact
    Tabulka HBase Zákazníci
    Řada sloupců HBase Kontakt
    Sloupec HBase *
    Vybrat skupinu
    Vybrat uživatele marketing_user1
    Oprávnění Čteno

    Screenshot that shows the Apache Ranger policy Create marketing.

  6. Výběrem možnosti Přidat zásadu uložte.

Testování zásad Ranger

Na základě nakonfigurovaných zásad Ranger může sales_user1 zobrazit všechna data pro sloupce v řadách Name sloupců i Contact sloupců. Marketing_user1 může zobrazit data pouze v rodině Contact sloupců.

Přístup k datům jako sales_user1

  1. Otevřete nové připojení SSH ke clusteru. Pomocí následujícího příkazu se přihlaste ke clusteru:

    ssh sshuser@CLUSTERNAME-ssh.azurehdinsight.net

  2. kinit Pomocí příkazu přejděte na kontext požadovaného uživatele:

    kinit sales_user1

  3. Otevřete prostředí HBase a naskenujte tabulku Customers:

    hbase shell
scan `Customers`

  4. Všimněte si, že uživatel prodeje může zobrazit všechny sloupce Customers tabulky. Uživatel může zobrazit dva sloupce v rodině Name sloupců a pět sloupců v rodině Contact sloupců.

    ROW                                COLUMN+CELL
 1001                              column=Contact:Address, timestamp=1548894873820, value=313 133rd Place
 1001                              column=Contact:City, timestamp=1548895061523, value=Redmond
 1001                              column=Contact:Phone, timestamp=1548894871759, value=333-333-3333
 1001                              column=Contact:State, timestamp=1548895061613, value=WA
 1001                              column=Contact:ZipCode, timestamp=1548895063111, value=98052
 1001                              column=Name:First, timestamp=1548894871561, value=Alice
 1001                              column=Name:Last, timestamp=1548894871707, value=Johnson
 1002                              column=Contact:Address, timestamp=1548894899174, value=717 177th Ave
 1002                              column=Contact:City, timestamp=1548895103129, value=Bellevue
 1002                              column=Contact:Phone, timestamp=1548894897524, value=777-777-7777
 1002                              column=Contact:State, timestamp=1548895103231, value=WA
 1002                              column=Contact:ZipCode, timestamp=1548895104804, value=98008
 1002                              column=Name:First, timestamp=1548894897419, value=Robert
 1002                              column=Name:Last, timestamp=1548894897487, value=Stevens
2 row(s) in 0.1000 seconds

Přístup k datům jako marketing_user1

  1. Otevřete nové připojení SSH ke clusteru. Pomocí následujícího příkazu se přihlaste jako marketing_user1:

    ssh sshuser@CLUSTERNAME-ssh.azurehdinsight.net

  2. kinit Pomocí příkazu přejděte na kontext požadovaného uživatele:

    kinit marketing_user1

  3. Otevřete prostředí HBase a naskenujte tabulku Customers:

    hbase shell
scan `Customers`

  4. Všimněte si, že marketingový uživatel může zobrazit pouze pět sloupců Contact řady sloupců.

    ROW                                COLUMN+CELL
 1001                              column=Contact:Address, timestamp=1548894873820, value=313 133rd Place
 1001                              column=Contact:City, timestamp=1548895061523, value=Redmond
 1001                              column=Contact:Phone, timestamp=1548894871759, value=333-333-3333
 1001                              column=Contact:State, timestamp=1548895061613, value=WA
 1001                              column=Contact:ZipCode, timestamp=1548895063111, value=98052
 1002                              column=Contact:Address, timestamp=1548894899174, value=717 177th Ave
 1002                              column=Contact:City, timestamp=1548895103129, value=Bellevue
 1002                              column=Contact:Phone, timestamp=1548894897524, value=777-777-7777
 1002                              column=Contact:State, timestamp=1548895103231, value=WA
 1002                              column=Contact:ZipCode, timestamp=1548895104804, value=98008
2 row(s) in 0.0730 seconds

  5. Zobrazte události přístupu k auditu v uživatelském rozhraní Ranger.

    Screenshot that shows the HDInsight Ranger UI Policy Audit.

Vyčištění prostředků

Pokud nebudete tuto aplikaci dál používat, odstraňte cluster HBase, který jste vytvořili:

  1. Přihlaste se k portálu Azure.
  2. Do vyhledávacího pole v horní části zadejte HDInsight.
  3. V části Služby vyberte clustery HDInsight.
  4. V seznamu clusterů HDInsight, které se zobrazí, vyberte ... vedle clusteru, který jste vytvořili pro účely tohoto kurzu.
  5. Vyberte Odstranit>ano.

Další kroky

Začínáme s Apache HBase