Zarządzanie klastrami usługi HDInsight przy użyciu pakietu Enterprise Security
Poznaj użytkowników i role w pakiecie HDInsight Enterprise Security Package (ESP) i dowiedz się, jak zarządzać klastrami ESP.
Łączenie z klastrem przyłączonym do domeny za pomocą programu VS Code
Klaster normalny można połączyć przy użyciu nazwy użytkownika zarządzanego systemu Apache Ambari, a także połączyć klaster apache Hadoop z zabezpieczeniami przy użyciu nazwy użytkownika domeny (na przykład: user1@contoso.com
).
Otwórz program Visual Studio Code. Upewnij się, że zainstalowano rozszerzenie Spark & Hive Tools .
Wykonaj kroki opisane w temacie Łączenie klastra dla programu Visual Studio Code.
Łączenie z klastrem przyłączonym do domeny za pomocą środowiska IntelliJ
Klaster normalny można połączyć przy użyciu nazwy użytkownika zarządzanego systemu Ambari, a także połączyć klaster hadoop zabezpieczeń przy użyciu nazwy użytkownika domeny (na przykład: user1@contoso.com
).
Otwórz środowisko IntelliJ IDEA. Upewnij się, że zostały spełnione wszystkie wymagania wstępne .
Wykonaj kroki opisane w temacie Łączenie klastra dla środowiska IntelliJ.
Łączenie z klastrem przyłączonym do domeny za pomocą programu Eclipse
Klaster normalny można połączyć przy użyciu nazwy użytkownika zarządzanego systemu Ambari, a także połączyć klaster hadoop zabezpieczeń przy użyciu nazwy użytkownika domeny (na przykład: user1@contoso.com
).
Otwórz program Eclipse. Upewnij się, że zostały spełnione wszystkie wymagania wstępne .
Wykonaj kroki opisane w sekcji Łączenie klastra dla środowiska Eclipse.
Uzyskiwanie dostępu do klastrów przy użyciu pakietu Enterprise Security
Pakiet Enterprise Security (wcześniej znany jako HDInsight Premium) zapewnia dostęp wielu użytkowników do klastra, w którym uwierzytelnianie odbywa się przez usługę Active Directory i autoryzację przez listy ACL platform Apache Ranger i Storage (ADLS ACL). Autoryzacja zapewnia bezpieczne granice między wieloma użytkownikami i umożliwia dostęp do danych tylko uprzywilejowanym użytkownikom na podstawie zasad autoryzacji.
Zabezpieczenia i izolacja użytkowników są ważne dla klastra usługi HDInsight z pakietem Enterprise Security. Aby spełnić te wymagania, dostęp SSH do klastra z pakietem Enterprise Security jest obsługiwany dla użytkownika lokalnego wybranego w czasie tworzenia klastra, a także użytkowników dostępnych w usłudze AAD-DS (tj. Kerberos). W poniższej tabeli przedstawiono zalecane metody dostępu dla każdego typu klastra:
Obciążenie | Scenariusz | Metoda dostępu |
---|---|---|
Apache Hadoop | Hive — interaktywne zadania/zapytania | |
Apache Spark | Interaktywne zadania/zapytania, interakcyjne PySpark | |
Apache Spark | Scenariusze wsadowe — przesyłanie platformy Spark, PySpark | |
Zapytanie interakcyjne (LLAP) | Interakcyjny | |
Dowolne | Instalowanie aplikacji niestandardowej |
Uwaga
Program Jupyter nie jest zainstalowany/obsługiwany w pakiecie Enterprise Security.
Korzystanie ze standardowych interfejsów API pomaga z punktu widzenia zabezpieczeń. Uzyskasz również następujące korzyści:
- Zarządzanie — możesz zarządzać kodem i automatyzować zadania przy użyciu standardowych interfejsów API — Livy, HS2 itp.
- Inspekcja — przy użyciu protokołu SSH nie ma możliwości przeprowadzania inspekcji, które użytkownicy SSH mają do klastra. Nie byłoby tak, gdy zadania są tworzone za pośrednictwem standardowych punktów końcowych, ponieważ będą wykonywane w kontekście użytkownika.
Korzystanie z usługi Beeline
Zainstaluj platformę Beeline na maszynie i połącz się za pośrednictwem publicznego Internetu, użyj następujących parametrów:
- Connection string: -u 'jdbc:hive2://<clustername>.azurehdinsight.net:443/;ssl=true;transportMode=http;httpPath=/hive2'
- Cluster login name: -n admin
- Cluster login password -p 'password'
Jeśli masz zainstalowaną lokalnie usługę Beeline i połącz się za pośrednictwem usługi Azure Virtual Network, użyj następujących parametrów:
Connection string: -u 'jdbc:hive2://<headnode-FQDN>:10001/;transportMode=http'
Aby znaleźć w pełni kwalifikowaną nazwę domeny węzła głównego, skorzystaj z informacji w dokumencie Managed HDInsight using the Ambari REST API (Zarządzanie usługą HDInsight przy użyciu interfejsu API REST ambari).
Użytkownicy klastrów usługi HDInsight z esp
Klaster usługi HDInsight spoza esp ma dwa konta użytkowników utworzone podczas tworzenia klastra:
- Administrator systemu Ambari: to konto jest również nazywane użytkownikiem usługi Hadoop lub użytkownikiem HTTP. To konto może służyć do logowania się do systemu Ambari pod adresem
https://CLUSTERNAME.azurehdinsight.net
. Może być również używany do uruchamiania zapytań w widokach Ambari, wykonywania zadań za pośrednictwem narzędzi zewnętrznych (na przykład programu PowerShell, Templeton, Visual Studio) i uwierzytelniania za pomocą sterownika HIVe ODBC i narzędzi analizy biznesowej (na przykład programu Excel, usługi Power BI lub tableau).
Klaster usługi HDInsight z esp ma trzech nowych użytkowników oprócz administratora systemu Ambari.
Administrator platformy Ranger: to konto jest lokalnym kontem administratora platformy Apache Ranger. Nie jest to użytkownik domeny usługi Active Directory. To konto może służyć do konfigurowania zasad i tworzenia administratorów innych użytkowników lub administratorów delegowanych (tak aby ci użytkownicy mogli zarządzać zasadami). Domyślnie nazwa użytkownika jest administratorem , a hasło jest takie samo jak hasło administratora systemu Ambari. Hasło można zaktualizować na stronie Ustawienia w usłudze Ranger.
Użytkownik domeny administratora klastra: to konto jest użytkownikiem domeny usługi Active Directory wyznaczonym jako administrator klastra Usługi Hadoop, w tym Ambari i Ranger. Podczas tworzenia klastra należy podać poświadczenia tego użytkownika. Ten użytkownik ma następujące uprawnienia:
- Przyłącz maszyny do domeny i umieść je w jednostki organizacyjnej określonej podczas tworzenia klastra.
- Utwórz jednostki usługi w jednostce organizacyjnej określonej podczas tworzenia klastra.
- Utwórz odwrotne wpisy DNS.
Należy pamiętać, że inni użytkownicy usługi AD mają również te uprawnienia.
Istnieje kilka punktów końcowych w klastrze (na przykład Templeton), które nie są zarządzane przez ranger, a tym samym bezpieczne. Te punkty końcowe są blokowane dla wszystkich użytkowników z wyjątkiem użytkownika domeny administratora klastra.
Regularne: podczas tworzenia klastra można podać wiele grup usługi Active Directory. Użytkownicy w tych grupach są synchronizowani z platformami Ranger i Ambari. Ci użytkownicy są użytkownikami domeny i mają dostęp tylko do punktów końcowych zarządzanych przez platformę Ranger (na przykład
Hiveserver2
). Wszystkie zasady kontroli dostępu opartej na rolach i inspekcja będą stosowane dla tych użytkowników.
Role klastrów usługi HDInsight z esp
Pakiet HDInsight Enterprise Security ma następujące role:
- Administrator klastrów
- Operator klastra
- Administrator usługi
- Operator usługi
- Użytkownik klastra
Aby wyświetlić uprawnienia tych ról
Otwórz interfejs użytkownika zarządzania systemem Ambari. Zobacz Otwieranie interfejsu użytkownika zarządzania systemem Ambari.
W menu po lewej stronie wybierz pozycję Role.
Wybierz niebieski znacznik zapytania, aby wyświetlić uprawnienia:
Otwieranie interfejsu użytkownika zarządzania systemem Ambari
Przejdź do
https://CLUSTERNAME.azurehdinsight.net/
lokalizacji CLUSTERNAME to nazwa klastra.Zaloguj się do systemu Ambari przy użyciu nazwy użytkownika domeny i hasła administratora klastra.
Wybierz menu rozwijane administratora w prawym górnym rogu, a następnie wybierz pozycję Zarządzaj ambari.
Interfejs użytkownika wygląda następująco:
Wyświetlanie listy użytkowników domeny synchronizowanych z usługi Active Directory
Otwórz interfejs użytkownika zarządzania systemem Ambari. Zobacz Otwieranie interfejsu użytkownika zarządzania systemem Ambari.
W menu po lewej stronie wybierz pozycję Użytkownicy. Zobaczysz, że wszyscy użytkownicy zsynchronizowani z usługi Active Directory z klastrem usługi HDInsight.
Wyświetlanie listy grup domen zsynchronizowanych z usługą Active Directory
Otwórz interfejs użytkownika zarządzania systemem Ambari. Zobacz Otwieranie interfejsu użytkownika zarządzania systemem Ambari.
W menu po lewej stronie wybierz pozycję Grupy. Wszystkie grupy są synchronizowane z usługi Active Directory do klastra usługi HDInsight.
Konfigurowanie uprawnień widoków programu Hive
Otwórz interfejs użytkownika zarządzania systemem Ambari. Zobacz Otwieranie interfejsu użytkownika zarządzania systemem Ambari.
W menu po lewej stronie wybierz pozycję Widoki.
Wybierz pozycję HIVE , aby wyświetlić szczegóły.
Wybierz link Widok programu Hive, aby skonfigurować widoki hive.
Przewiń w dół do sekcji Uprawnienia .
Wybierz pozycję Dodaj użytkownika lub Dodaj grupę, a następnie określ użytkowników lub grupy, które mogą używać widoków programu Hive.
Konfigurowanie użytkowników dla ról
Aby wyświetlić listę ról i ich uprawnień, zobacz Role klastrów usługi HDInsight z esp.
- Otwórz interfejs użytkownika zarządzania systemem Ambari. Zobacz Otwieranie interfejsu użytkownika zarządzania systemem Ambari.
- W menu po lewej stronie wybierz pozycję Role.
- Wybierz pozycję Dodaj użytkownika lub Dodaj grupę , aby przypisać użytkowników i grupy do różnych ról.
Następne kroki
- Aby skonfigurować klaster usługi HDInsight z pakietem Enterprise Security, zobacz Konfigurowanie klastrów usługi HDInsight przy użyciu esp.
- Aby skonfigurować zasady hive i uruchamiać zapytania hive, zobacz Konfigurowanie zasad apache Hive dla klastrów usługi HDInsight przy użyciu esp.