Dela via


Hantera HDInsight-kluster med Enterprise Security Package

Lär dig mer om användarna och rollerna i HDInsight Enterprise Security Package (ESP) och hur du hanterar ESP-kluster.

Du kan länka ett normalt kluster med apache Ambari-hanterat användarnamn, även länka ett Apache Hadoop-säkerhetskluster med hjälp av domänanvändarnamn (till exempel: user1@contoso.com).

  1. Öppna Visual Studio Code. Kontrollera att Tillägget Spark & Hive Tools är installerat.

  2. Följ stegen från Länka ett kluster för Visual Studio Code.

Du kan länka ett normalt kluster med hjälp av Ambari-hanterat användarnamn, och även länka ett säkerhets hadoop-kluster med hjälp av domänanvändarnamn (till exempel: user1@contoso.com).

  1. Öppna IntelliJ IDEA. Se till att alla krav uppfylls .

  2. Följ stegen från Länka ett kluster för IntelliJ.

Du kan länka ett normalt kluster med hjälp av Ambari-hanterat användarnamn, och även länka ett säkerhets hadoop-kluster med hjälp av domänanvändarnamn (till exempel: user1@contoso.com).

  1. Öppna Eclipse. Se till att alla krav uppfylls .

  2. Följ stegen från Länka ett kluster för Eclipse.

Få åtkomst till klustren med Enterprise Security Package

Enterprise Security Package (tidigare kallat HDInsight Premium) ger åtkomst till klustret för flera användare, där autentisering utförs av Active Directory och auktorisering av Apache Ranger och ADLS-ACL:er (Storage ACL). Auktorisering ger säkra gränser mellan flera användare och tillåter endast privilegierade användare att ha åtkomst till data baserat på auktoriseringsprinciperna.

Säkerhets- och användarisolering är viktiga för ett HDInsight-kluster med Enterprise Security Package. För att uppfylla dessa krav stöds SSH-åtkomst till klustret med Enterprise Security Package för den lokala användare som valdes när klustret skapades samt för användare som är tillgängliga i AAD-DS (dvs. Kerberos). I följande tabell visas de rekommenderade åtkomstmetoderna för varje klustertyp:

Arbetsbelastning Scenario Åtkomstmetod
Apache Hadoop Hive – interaktiva jobb/frågor
Apache Spark Interaktiva jobb/frågor, Interaktiv PySpark
Apache Spark Batch-scenarier – Spark submit, PySpark
Interaktiv fråga (LLAP) Interaktivt
Alla Installera anpassat program

Kommentar

Jupyter är inte installerat/stöds inte i Enterprise Security Package.

Att använda standard-API:er hjälper från säkerhetsperspektiv. Du får också följande fördelar:

  • Hantering – Du kan hantera din kod och automatisera jobb med hjälp av standard-API:er – Livy, HS2 osv.
  • Granskning – Med SSH finns det inget sätt att granska, vilka användare SSH'd till klustret. Detta skulle inte vara fallet när jobb konstrueras via standardslutpunkter eftersom de skulle köras i kontexten för användaren.

Använda Beeline

Installera Beeline på datorn och anslut via offentligt Internet med hjälp av följande parametrar:

- Connection string: -u 'jdbc:hive2://<clustername>.azurehdinsight.net:443/;ssl=true;transportMode=http;httpPath=/hive2'
- Cluster login name: -n admin
- Cluster login password -p 'password'

Om du har Installerat Beeline lokalt och ansluter via ett virtuellt Azure-nätverk använder du följande parametrar:

Connection string: -u 'jdbc:hive2://<headnode-FQDN>:10001/;transportMode=http'

Om du vill hitta det fullständigt kvalificerade domännamnet för en huvudnod använder du informationen i det hanterade HDInsight-dokumentet med hjälp av Ambari REST API-dokumentet.

Användare av HDInsight-kluster med ESP

Ett ICKE-ESP HDInsight-kluster har två användarkonton som skapas när klustret skapas:

  • Ambari-administratör: Det här kontot kallas även Hadoop-användare eller HTTP-användare. Det här kontot kan användas för att logga in på Ambari på https://CLUSTERNAME.azurehdinsight.net. Det kan också användas för att köra frågor på Ambari-vyer, köra jobb via externa verktyg (till exempel PowerShell, Templeton, Visual Studio) och autentisera med Hive ODBC-drivrutinen och BI-verktygen (till exempel Excel, Power BI eller Tableau).

Ett HDInsight-kluster med ESP har tre nya användare utöver Ambari Admin.

  • Ranger-administratör: Det här kontot är det lokala Apache Ranger-administratörskontot. Det är inte en active directory-domänanvändare. Det här kontot kan användas för att konfigurera principer och göra andra användare till administratörer eller delegerade administratörer (så att dessa användare kan hantera principer). Som standard är användarnamnet administratör och lösenordet är detsamma som Ambari-administratörslösenordet. Lösenordet kan uppdateras från sidan Inställningar i Ranger.

  • Klusteradministratörsdomänanvändare: Det här kontot är en active directory-domänanvändare som har utsetts till Hadoop-klusteradministratör, inklusive Ambari och Ranger. Du måste ange användarens autentiseringsuppgifter när klustret skapas. Den här användaren har följande behörigheter:

    • Anslut datorer till domänen och placera dem i den organisationsenhet som du anger när klustret skapas.
    • Skapa tjänstens huvudnamn inom den organisationsenhet som du anger när klustret skapas.
    • Skapa omvända DNS-poster.

    Observera att de andra AD-användarna också har dessa behörigheter.

    Det finns vissa slutpunkter i klustret (till exempel Templeton) som inte hanteras av Ranger och därmed är säkra. Dessa slutpunkter är låsta för alla användare utom klusteradministratörsdomänanvändaren.

  • Vanlig: När klustret skapas kan du ange flera active directory-grupper. Användarna i dessa grupper synkroniseras med Ranger och Ambari. Dessa användare är domänanvändare och har endast åtkomst till Ranger-hanterade slutpunkter (till exempel Hiveserver2). Alla RBAC-principer och granskningar gäller för dessa användare.

Roller för HDInsight-kluster med ESP

HDInsight Enterprise Security Package har följande roller:

  • Klusteradministratör
  • Klusteroperator
  • Tjänstadministratör
  • Tjänstoperator
  • Klusteranvändare

Så här ser du behörigheterna för dessa roller

  1. Öppna användargränssnittet för Ambari-hantering. Se Öppna användargränssnittet för Ambari-hantering.

  2. Välj Roller på den vänstra menyn.

  3. Välj det blå frågetecknet för att se behörigheterna:

    Behörigheter för ESP HDInsight-roller.

Öppna användargränssnittet för Ambari-hantering

  1. Navigera till https://CLUSTERNAME.azurehdinsight.net/ platsen där CLUSTERNAME är namnet på klustret.

  2. Logga in på Ambari med klusteradministratörens domännamn och lösenord.

  3. Välj listrutan Administratör i det övre högra hörnet och välj sedan Hantera Ambari.

    ESP HDInsight hanterar Apache Ambari.

    Användargränssnittet ser ut så här:

    ESP HDInsight Apache Ambari-hanteringsgränssnitt.

Visa en lista över domänanvändare som synkroniserats från Active Directory

  1. Öppna användargränssnittet för Ambari-hantering. Se Öppna användargränssnittet för Ambari-hantering.

  2. Välj Användare på den vänstra menyn. Du kommer att se alla användare som synkroniserats från din Active Directory till HDInsight-klustret.

    ANVÄNDARE av ESP HDInsight Ambari-hanteringsgränssnittet.

Visa en lista över de domängrupper som synkroniserats från Active Directory

  1. Öppna användargränssnittet för Ambari-hantering. Se Öppna användargränssnittet för Ambari-hantering.

  2. Välj Grupper på den vänstra menyn. Du kommer att se alla grupper som synkroniserats från Din Active Directory till HDInsight-klustret.

    ESP HDInsight Ambari-hanteringsgränssnittslistgrupper.

Konfigurera Behörigheter för Hive-vyer

  1. Öppna användargränssnittet för Ambari-hantering. Se Öppna användargränssnittet för Ambari-hantering.

  2. Välj Vyer på den vänstra menyn.

  3. Välj HIVE för att visa informationen.

    ESP HDInsight Ambari management UI Hive Views.

  4. Välj länken Hive View för att konfigurera Hive-vyer.

  5. Rulla ned till avsnittet Behörigheter .

    ESP HDInsight Ambari management UI Hive Views konfigurerar behörigheter.

  6. Välj Lägg till användare eller Lägg till grupp och ange sedan de användare eller grupper som kan använda Hive-vyer.

Konfigurera användare för rollerna

En lista över roller och deras behörigheter finns i Roller för HDInsight-kluster med ESP.

  1. Öppna användargränssnittet för Ambari-hantering. Se Öppna användargränssnittet för Ambari-hantering.
  2. Välj Roller på den vänstra menyn.
  3. Välj Lägg till användare eller Lägg till grupp för att tilldela användare och grupper till olika roller.

Nästa steg