Ranger Plugin으로 접근제어 설정하기 (on VPC)

Apache Ranger로 빅데이터 에코시스템에 대한 보안 규칙을 구현할 수 있습니다. Ranger프로젝트는 모든 하둡 어플리케이션에 통일된 방식으로 보안 가이드라인을 정의하고, 적용될 수 있게 합니다.

목차

Ranger 플러그인 활성화

  1. Ambari UI에서 Services > Ranger > Configs > Ranger Plugin을 선택합니다. 클러스터에 설치된 서비스가 어떤것이 있냐에 따라서 활성화 할 수 있는 Plugin이 정해져있습니다. 기본적으로 플러그인을 사용 할 수 있습니다. Ranger로 Security Policy를 관리하려고하는 서비스의 경우 Plugin을 ON 상태로 변경합니다. 여기서는 HDFS, HIVE, YARN 플러그인을 모두 활성화하고 구성값을 저장합니다.

  2. HDFS, HIVE, YARN 서비스는 재시작이 필요합니다. 오른쪽 사이드바에 표시된 재시작 버튼을 눌러서 바뀐 설정을 적용합니다.

  3. Dependent Configurations프롬프트가 뜨면 OK를 누르고 넘어갑니다.

Ranger Admin UI

  1. SSL VPN에 접속이 필요합니다. 관련설정은 클러스터 노드에 SSH접속하기 - 사전작업을 참조합니다.

  2. Cloud Hadoop 콘솔에서 Ranger를 클릭합니다.

    또는 아래 URL로 Ranger Admin UI에 바로 접속할 수 있습니다.

     https://<PUBLIC-DOMAIN>:6182/
    

Ranger UI의 계정(ID/Password)은 admin/admin으로 설정됩니다.

  1. Ranger Admin UI에 접속하면 어떤 서비스에 policy가 적용중인지 볼 수 있습니다. HDFS, HIVE, YARN Plugin을 활성화 해서, 미리 구성된 HDFS, HIVE, YARN policy가 존재하는것을 확인할 수 있습니다.

  2. HDFS에 기본으로 생성된 policy의 규칙을 볼 수 있습니다.

    hdfs, ambari-qa 사용자는 모든 path에 read, write, execute권한을 가지도록 설정되어있습니다.

Ranger Policy 생성하기

  1. HDFS 플러그인을 선택합니다. List of Policies 화면에서 Add New Policy 버튼을 클릭합니다

  2. 아래와 같이 새로운 규칙을 생성합니다. Resource Path에는 다른 경로를 입력해도 됩니다. 여기서는 관리자 계정의 HDFS 홈 디렉토리를 사용했습니다. 특정 디렉토리 아래 모든 파일 또는 하위 디렉토리에 권한이 적용되기 위해서는 Recursive를 선택해야 합니다. SSH 접속 계정인 ncloud가 이 경로에 접근 할 수 있도록 Select Userncloud를 선택합니다. 여기서는 Read, Write, Execute 모든 권한을 부여했습니다.

Cloud Hadoop은 설치시 설정한 관리자 계정(e.g. suewoon)에 대해 HDFS 홈 디렉토리를 생성해 줍니다.

  1. 생성한 규칙이 적용되었는지 확인합니다. 클러스터중 어떤 노드에 접속해도 상관없습니다. 노드에 SSH접속하여 아래와 같이 ncloud계정으로 /user/suewoon디렉토리에 새로운 디렉토리를 생성해봅니다.

""에 대한 건이 검색되었습니다.

    ""에 대한 검색 결과가 없습니다.

    처리중...