Apache Ranger 升级为顶级项目

Apache Hadoop 生态系统中的安全管理框架 Apache Ranger 晋升为顶级项目。Range 是一种定义和管理安全策略的集中式组件，这些安全策略在受支持的 Hadoop 组件间强制执行，包括 Apache HBase 、Hadoop（ HDFS 和 YARN ）、 Apache Hive 、 Apache Kafka 、 Apache Solr 等。

对于受支持的 Hadoop 组件，Ranger 通过访问控制策略提供了一种标准的授权方法。作为标准，Ranger 提供了一种集中式的组件，用于审计用户的访问行为和管理组件间的安全交互行为。

Ranger 使用了一种基于属性的方法定义和强制实施安全策略。当与 Apache Hadoop 的数据治理解决方案和元数据仓储组件 Apache Atlas 一起使用时，它可以定义一种基于标签的安全服务，通过使用标签对文件和数据资产进行分类，并控制用户和用户组对一系列标签的访问。

Ranger 的功能还包括动态策略（Dynamic Policies），当访问依赖于时间等动态因素时。它可以基于每天的不同时刻、IP 地址或是地理位置对访问资源进行限制。

Apache Ranger 架构在组成上还包括一个 Ranger 策略管理服务器（Policy Admin Server），该服务器将策略存储在关系数据库中（通常使用 MySQL ）。每个受支持的组件（例如 Hive、HDFS 等）通过运行 Ranger 插件对所有被访问的资源（例如文件、数据库、数据库表、数据列等）执行授权检查。授权通常基于已定义的策略，并从集中式管理服务器处获取，默认的轮询周期是 30 秒。插件在管理服务器宕机时仍然能够工作，不过根据最佳实践，最好把它们配置成高可用的。

Ranger 另一个对企业有用的特性是与外部系统集成做授权证。它支持的授权机制包括 LDAP /AD 和 Unix 系统认证。Ranger 可以将审计记录写入 Apache Solr 。

查看英文原文： Apache Ranger Graduates to Top-Level Project

感谢薛命灯对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作，请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博（ @InfoQ ， @丁晓昀），微信（微信号： InfoQChina ）关注我们。