Oktatóanyag: Apache HBase-szabályzatok konfigurálása a HDInsightban nagyvállalati biztonsági csomaggal
Megtudhatja, hogyan konfigurálhatja az Apache Ranger-szabályzatokat az Enterprise Security Package (ESP) Apache HBase-fürtökhöz. Az ESP-fürtök egy tartományhoz csatlakoznak, lehetővé téve a felhasználók számára a tartományi hitelesítő adatokkal való hitelesítést. Ebben az oktatóanyagban két Ranger-szabályzatot hoz létre a HBase-táblák különböző oszlopcsaládokhoz való hozzáférésének korlátozásához.
Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:
- Tartományi felhasználók létrehozása.
- Ranger-szabályzatok létrehozása.
- Hozzon létre táblákat egy HBase-fürtben.
- Ranger-szabályzatok tesztelése.
Mielőtt elkezdené
- Ha nem rendelkezik Azure-előfizetéssel, hozzon létre egy ingyenes fiókot.
- Jelentkezzen be az Azure Portalra.
- Hozzon létre egy HDInsight HBase-fürtöt az Enterprise Security Package használatával.
Csatlakozás az Apache Ranger felügyeleti felhasználói felületéhez
Egy böngészőből csatlakozzon a Ranger felügyeleti felhasználói felületéhez (UI) az URL-cím
https://<ClusterName>.azurehdinsight.net/Ranger/
használatával. Ne felejtse el a HBase-fürt nevére váltani<ClusterName>
.Feljegyzés
A Ranger hitelesítő adatai nem azonosak a Hadoop-fürt hitelesítő adataival. Ha meg szeretné akadályozni, hogy a böngészők gyorsítótárazott Hadoop hitelesítő adatokat használjanak, egy új InPrivate-böngészőablakból csatlakozzon a Ranger rendszergazdai felhasználói felületéhez.
Jelentkezzen be a Microsoft Entra rendszergazdai hitelesítő adataival. A Microsoft Entra rendszergazdai hitelesítő adatai nem azonosak a HDInsight-fürt hitelesítő adataival vagy a Linux HDInsight-csomópont Biztonságos rendszerhéj (SSH) hitelesítő adataival.
Tartományi felhasználók létrehozása
A sales_user1 és marketing_user1 tartományi felhasználók létrehozásáról a HDInsight-fürt létrehozása vállalati biztonsági csomaggal című témakörben olvashat. Az éles forgatókönyvekben a tartományi felhasználókat az Active Directory-bérlő adja meg.
HBase-táblák létrehozása és mintaadatok importálása
Az SSH használatával csatlakozhat HBase-fürtökhöz, majd az Apache HBase Shell használatával HBase-táblákat hozhat létre, adatokat szúrhat be és adatokat kérdezhet le. További információ: SSH használata a HDInsighttal.
A HBase-rendszerhéj használata
Az SSH-ból futtassa az alábbi HBase-parancsot:
hbase shell
Hozzon létre egy HBase-táblát
Customers
két oszlopcsaláddal:Name
ésContact
.create 'Customers', 'Name', 'Contact' list
Adatok beszúrása:
put 'Customers','1001','Name:First','Alice' put 'Customers','1001','Name:Last','Johnson' put 'Customers','1001','Contact:Phone','333-333-3333' put 'Customers','1001','Contact:Address','313 133rd Place' put 'Customers','1001','Contact:City','Redmond' put 'Customers','1001','Contact:State','WA' put 'Customers','1001','Contact:ZipCode','98052' put 'Customers','1002','Name:First','Robert' put 'Customers','1002','Name:Last','Stevens' put 'Customers','1002','Contact:Phone','777-777-7777' put 'Customers','1002','Contact:Address','717 177th Ave' put 'Customers','1002','Contact:City','Bellevue' put 'Customers','1002','Contact:State','WA' put 'Customers','1002','Contact:ZipCode','98008'
A táblázat tartalmának megtekintése:
scan 'Customers'
Ranger-házirendek létrehozása
Ranger-szabályzat létrehozása sales_user1 és marketing_user1.
Nyissa meg a Ranger rendszergazdai felhasználói felületét. A HBase területen válassza a< ClusterName>_hbase lehetőséget.
A Szabályzatok listája képernyő az ehhez a fürthöz létrehozott összes Ranger-házirendet megjeleníti. Előfordulhat, hogy egy előre konfigurált szabályzat szerepel a listában. Válassza az Új szabályzat hozzáadása lehetőséget.
Create Policy
A képernyőn adja meg a következő értékeket:Beállítás Ajánlott érték Házirend neve sales_customers_name_contact HBase-tábla Ügyfelek HBase oszlopcsalád Név, kapcsolattartó HBase-oszlop * Csoport kijelölése Felhasználó kiválasztása sales_user1 Engedélyek Olvasás A témakör nevében a következő helyettesítő karakterek használhatók:
*
a karakterek nulla vagy több előfordulását jelzi.?
egy karaktert jelöl.
Feljegyzés
Várjon néhány percet, amíg a Ranger szinkronizálódik a Microsoft Entra-azonosítóval, ha egy tartományfelhasználó nem töltődik fel automatikusan a Felhasználó kiválasztása beállításhoz.
A szabályzat mentéséhez válassza a Hozzáadás lehetőséget.
Válassza az Új házirend hozzáadása lehetőséget, majd adja meg a következő értékeket:
Beállítás Ajánlott érték Házirend neve marketing_customers_contact HBase-tábla Ügyfelek HBase oszlopcsalád Kapcsolat HBase-oszlop * Csoport kijelölése Felhasználó kiválasztása marketing_user1 Engedélyek Olvasás A szabályzat mentéséhez válassza a Hozzáadás lehetőséget.
Ranger-házirendek tesztelése
A konfigurált Ranger-szabályzatok alapján sales_user1 megtekintheti az oszlopok összes adatát mind az oszlopcsaládokban, mind pedig az Name
Contact
oszlopcsaládokban. A marketing_user1 csak az oszlopcsaládban tekintheti meg az Contact
adatokat.
Adatok elérése sales_user1
Nyisson meg egy új SSH-kapcsolatot a fürthöz. A következő paranccsal jelentkezzen be a fürtbe:
ssh sshuser@CLUSTERNAME-ssh.azurehdinsight.net
kinit
A parancs használatával váltson a kívánt felhasználó környezetére:kinit sales_user1
Nyissa meg a HBase-rendszerhéjat, és vizsgálja meg a táblázatot
Customers
:hbase shell scan `Customers`
Figyelje meg, hogy az értékesítési felhasználó megtekintheti a tábla összes oszlopát
Customers
. A felhasználó láthatja az oszlopcsalád két oszlopátName
és az oszlopcsalád öt oszlopátContact
.ROW COLUMN+CELL 1001 column=Contact:Address, timestamp=1548894873820, value=313 133rd Place 1001 column=Contact:City, timestamp=1548895061523, value=Redmond 1001 column=Contact:Phone, timestamp=1548894871759, value=333-333-3333 1001 column=Contact:State, timestamp=1548895061613, value=WA 1001 column=Contact:ZipCode, timestamp=1548895063111, value=98052 1001 column=Name:First, timestamp=1548894871561, value=Alice 1001 column=Name:Last, timestamp=1548894871707, value=Johnson 1002 column=Contact:Address, timestamp=1548894899174, value=717 177th Ave 1002 column=Contact:City, timestamp=1548895103129, value=Bellevue 1002 column=Contact:Phone, timestamp=1548894897524, value=777-777-7777 1002 column=Contact:State, timestamp=1548895103231, value=WA 1002 column=Contact:ZipCode, timestamp=1548895104804, value=98008 1002 column=Name:First, timestamp=1548894897419, value=Robert 1002 column=Name:Last, timestamp=1548894897487, value=Stevens 2 row(s) in 0.1000 seconds
Adatok elérése marketing_user1
Nyisson meg egy új SSH-kapcsolatot a fürthöz. A következő paranccsal jelentkezzen be marketing_user1:
ssh sshuser@CLUSTERNAME-ssh.azurehdinsight.net
kinit
A parancs használatával váltson a kívánt felhasználó környezetére:kinit marketing_user1
Nyissa meg a HBase-rendszerhéjat, és vizsgálja meg a táblázatot
Customers
:hbase shell scan `Customers`
Figyelje meg, hogy a marketingfelhasználó csak az oszlopcsalád öt oszlopát
Contact
tekintheti meg.ROW COLUMN+CELL 1001 column=Contact:Address, timestamp=1548894873820, value=313 133rd Place 1001 column=Contact:City, timestamp=1548895061523, value=Redmond 1001 column=Contact:Phone, timestamp=1548894871759, value=333-333-3333 1001 column=Contact:State, timestamp=1548895061613, value=WA 1001 column=Contact:ZipCode, timestamp=1548895063111, value=98052 1002 column=Contact:Address, timestamp=1548894899174, value=717 177th Ave 1002 column=Contact:City, timestamp=1548895103129, value=Bellevue 1002 column=Contact:Phone, timestamp=1548894897524, value=777-777-7777 1002 column=Contact:State, timestamp=1548895103231, value=WA 1002 column=Contact:ZipCode, timestamp=1548895104804, value=98008 2 row(s) in 0.0730 seconds
A hozzáférési események naplózása a Ranger felhasználói felületről tekinthető meg.
Az erőforrások eltávolítása
Ha nem folytatja az alkalmazás használatát, törölje a létrehozott HBase-fürtöt:
- Jelentkezzen be az Azure Portalra.
- A felső keresőmezőbe írja be a HDInsight kifejezést.
- A Szolgáltatások területen válassza ki a HDInsight-fürtöket.
- A megjelenő HDInsight-fürtök listájában válassza ki az oktatóanyaghoz létrehozott fürt melletti ... elemet.
- Válassza az Törlés>Igen lehetőséget.
Következő lépések
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: