Hantera HDInsight-kluster med Enterprise Security Package
Lär dig mer om användarna och rollerna i HDInsight Enterprise Security Package (ESP) och hur du hanterar ESP-kluster.
Använd VS Code för att länka till domänanslutet kluster
Du kan länka ett normalt kluster med apache Ambari-hanterat användarnamn, även länka ett Apache Hadoop-säkerhetskluster med hjälp av domänanvändarnamn (till exempel: user1@contoso.com
).
Öppna Visual Studio Code. Kontrollera att Tillägget Spark & Hive Tools är installerat.
Följ stegen från Länka ett kluster för Visual Studio Code.
Använda IntelliJ för att länka till domänanslutna kluster
Du kan länka ett normalt kluster med hjälp av Ambari-hanterat användarnamn, och även länka ett säkerhets hadoop-kluster med hjälp av domänanvändarnamn (till exempel: user1@contoso.com
).
Öppna IntelliJ IDEA. Se till att alla krav uppfylls .
Följ stegen från Länka ett kluster för IntelliJ.
Använda Eclipse för att länka till domänanslutna kluster
Du kan länka ett normalt kluster med hjälp av Ambari-hanterat användarnamn, och även länka ett säkerhets hadoop-kluster med hjälp av domänanvändarnamn (till exempel: user1@contoso.com
).
Öppna Eclipse. Se till att alla krav uppfylls .
Följ stegen från Länka ett kluster för Eclipse.
Få åtkomst till klustren med Enterprise Security Package
Enterprise Security Package (tidigare kallat HDInsight Premium) ger åtkomst till klustret för flera användare, där autentisering utförs av Active Directory och auktorisering av Apache Ranger och ADLS-ACL:er (Storage ACL). Auktorisering ger säkra gränser mellan flera användare och tillåter endast privilegierade användare att ha åtkomst till data baserat på auktoriseringsprinciperna.
Säkerhets- och användarisolering är viktiga för ett HDInsight-kluster med Enterprise Security Package. För att uppfylla dessa krav stöds SSH-åtkomst till klustret med Enterprise Security Package för den lokala användare som valdes när klustret skapades samt för användare som är tillgängliga i AAD-DS (dvs. Kerberos). I följande tabell visas de rekommenderade åtkomstmetoderna för varje klustertyp:
Arbetsbelastning | Scenario | Åtkomstmetod |
---|---|---|
Apache Hadoop | Hive – interaktiva jobb/frågor | |
Apache Spark | Interaktiva jobb/frågor, Interaktiv PySpark | |
Apache Spark | Batch-scenarier – Spark submit, PySpark | |
Interaktiv fråga (LLAP) | Interaktivt | |
Alla | Installera anpassat program |
Kommentar
Jupyter är inte installerat/stöds inte i Enterprise Security Package.
Att använda standard-API:er hjälper från säkerhetsperspektiv. Du får också följande fördelar:
- Hantering – Du kan hantera din kod och automatisera jobb med hjälp av standard-API:er – Livy, HS2 osv.
- Granskning – Med SSH finns det inget sätt att granska, vilka användare SSH'd till klustret. Detta skulle inte vara fallet när jobb konstrueras via standardslutpunkter eftersom de skulle köras i kontexten för användaren.
Använda Beeline
Installera Beeline på datorn och anslut via offentligt Internet med hjälp av följande parametrar:
- Connection string: -u 'jdbc:hive2://<clustername>.azurehdinsight.net:443/;ssl=true;transportMode=http;httpPath=/hive2'
- Cluster login name: -n admin
- Cluster login password -p 'password'
Om du har Installerat Beeline lokalt och ansluter via ett virtuellt Azure-nätverk använder du följande parametrar:
Connection string: -u 'jdbc:hive2://<headnode-FQDN>:10001/;transportMode=http'
Om du vill hitta det fullständigt kvalificerade domännamnet för en huvudnod använder du informationen i det hanterade HDInsight-dokumentet med hjälp av Ambari REST API-dokumentet.
Användare av HDInsight-kluster med ESP
Ett ICKE-ESP HDInsight-kluster har två användarkonton som skapas när klustret skapas:
- Ambari-administratör: Det här kontot kallas även Hadoop-användare eller HTTP-användare. Det här kontot kan användas för att logga in på Ambari på
https://CLUSTERNAME.azurehdinsight.net
. Det kan också användas för att köra frågor på Ambari-vyer, köra jobb via externa verktyg (till exempel PowerShell, Templeton, Visual Studio) och autentisera med Hive ODBC-drivrutinen och BI-verktygen (till exempel Excel, Power BI eller Tableau).
Ett HDInsight-kluster med ESP har tre nya användare utöver Ambari Admin.
Ranger-administratör: Det här kontot är det lokala Apache Ranger-administratörskontot. Det är inte en active directory-domänanvändare. Det här kontot kan användas för att konfigurera principer och göra andra användare till administratörer eller delegerade administratörer (så att dessa användare kan hantera principer). Som standard är användarnamnet administratör och lösenordet är detsamma som Ambari-administratörslösenordet. Lösenordet kan uppdateras från sidan Inställningar i Ranger.
Klusteradministratörsdomänanvändare: Det här kontot är en active directory-domänanvändare som har utsetts till Hadoop-klusteradministratör, inklusive Ambari och Ranger. Du måste ange användarens autentiseringsuppgifter när klustret skapas. Den här användaren har följande behörigheter:
- Anslut datorer till domänen och placera dem i den organisationsenhet som du anger när klustret skapas.
- Skapa tjänstens huvudnamn inom den organisationsenhet som du anger när klustret skapas.
- Skapa omvända DNS-poster.
Observera att de andra AD-användarna också har dessa behörigheter.
Det finns vissa slutpunkter i klustret (till exempel Templeton) som inte hanteras av Ranger och därmed är säkra. Dessa slutpunkter är låsta för alla användare utom klusteradministratörsdomänanvändaren.
Vanlig: När klustret skapas kan du ange flera active directory-grupper. Användarna i dessa grupper synkroniseras med Ranger och Ambari. Dessa användare är domänanvändare och har endast åtkomst till Ranger-hanterade slutpunkter (till exempel
Hiveserver2
). Alla RBAC-principer och granskningar gäller för dessa användare.
Roller för HDInsight-kluster med ESP
HDInsight Enterprise Security Package har följande roller:
- Klusteradministratör
- Klusteroperator
- Tjänstadministratör
- Tjänstoperator
- Klusteranvändare
Så här ser du behörigheterna för dessa roller
Öppna användargränssnittet för Ambari-hantering. Se Öppna användargränssnittet för Ambari-hantering.
Välj Roller på den vänstra menyn.
Välj det blå frågetecknet för att se behörigheterna:
Öppna användargränssnittet för Ambari-hantering
Navigera till
https://CLUSTERNAME.azurehdinsight.net/
platsen där CLUSTERNAME är namnet på klustret.Logga in på Ambari med klusteradministratörens domännamn och lösenord.
Välj listrutan Administratör i det övre högra hörnet och välj sedan Hantera Ambari.
Användargränssnittet ser ut så här:
Visa en lista över domänanvändare som synkroniserats från Active Directory
Öppna användargränssnittet för Ambari-hantering. Se Öppna användargränssnittet för Ambari-hantering.
Välj Användare på den vänstra menyn. Du kommer att se alla användare som synkroniserats från din Active Directory till HDInsight-klustret.
Visa en lista över de domängrupper som synkroniserats från Active Directory
Öppna användargränssnittet för Ambari-hantering. Se Öppna användargränssnittet för Ambari-hantering.
Välj Grupper på den vänstra menyn. Du kommer att se alla grupper som synkroniserats från Din Active Directory till HDInsight-klustret.
Konfigurera Behörigheter för Hive-vyer
Öppna användargränssnittet för Ambari-hantering. Se Öppna användargränssnittet för Ambari-hantering.
Välj Vyer på den vänstra menyn.
Välj HIVE för att visa informationen.
Välj länken Hive View för att konfigurera Hive-vyer.
Rulla ned till avsnittet Behörigheter .
Välj Lägg till användare eller Lägg till grupp och ange sedan de användare eller grupper som kan använda Hive-vyer.
Konfigurera användare för rollerna
En lista över roller och deras behörigheter finns i Roller för HDInsight-kluster med ESP.
- Öppna användargränssnittet för Ambari-hantering. Se Öppna användargränssnittet för Ambari-hantering.
- Välj Roller på den vänstra menyn.
- Välj Lägg till användare eller Lägg till grupp för att tilldela användare och grupper till olika roller.
Nästa steg
- Information om hur du konfigurerar ett HDInsight-kluster med Enterprise Security Package finns i Konfigurera HDInsight-kluster med ESP.
- Information om hur du konfigurerar Hive-principer och kör Hive-frågor finns i Konfigurera Apache Hive-principer för HDInsight-kluster med ESP.