本發明公開了一種運行在k8s平臺的大數據組件訪問控制方法、服務器及介質，在k8s平臺上部署ranger?admin，在下載好或編譯出與自己環境中大數據組件版本兼容的ranger插件，并將ranger插件壓縮包解壓，通過編寫dockerfile，把ranger插件解壓后的目錄拷貝到大數據組件的鏡像中，build出新的大數據組件鏡像，然后配置大數據組件charts包文件,實現大數據組件跟ranger插件的集成并啟動ranger插件及大數據組件，在大數據組件運行起來后，進入到ranger?admin?web界面，首先創建外聯用戶，然后分別配置hdfs、yarn、hive、hbase等大數據組件的訪問控制策略。本發明能讓使用者輕松且快速將自己k8s平臺上運行的hadoop、hive、hbase等大數據組件跟ranger整合起來，使大數據組件實現訪問控制，提升大數據組件的安全性，具有很好的推廣應用價值。

技術領域

本發明屬于容器技術以及大數據技術領域，具體涉及將運行于kubernetes（簡稱k8s）容器管理平臺之上的hadoop（hdfs、yarn)、hbase、hive等大數據組件通過ranger權限管理框架實現訪問控制策略。

背景技術

隨著容器技術的蓬勃發展，k8s技術脫穎而出，越來越多的應用被部署在k8s之上，hadoop、hbase、hive等技術作為大數據常用組件，也逐步運行在k8s平臺之上，傳統模式下：即大數據組件直接運行在物理機或者虛擬機環境，想要把大數據組件跟ranger權限管理框架集成，實現訪問控制相對容易，但是，對于運行在k8s平臺上的大數據組件，想要集成ranger實現訪問控制較為困難，因此，發明一種簡單易用的集成模式，快速讓運行在k8s平臺上的大數據組件得到訪問控制的實現。

發明內容

針對現有技術存在的問題，本發明提供了一種運行在k8s平臺的大數據組件訪問控制方法的方法，可以讓使用者輕松且快速將自己k8s平臺上運行的hadoop、hive、hbase等大數據組件跟ranger整合起來，使大數據組件實現訪問控制，從而提升大數據組件的安全性。

為了實現上述發明目的，設計了一種運行在k8s平臺的大數據組件訪問控制方法，包括如下步驟。

步驟1：k8s中安裝ranger-admin；ranger-admin屬于ranger的服務端，用戶通過它提供的Web?UI對大數據組件進行權限策略配置，大數據組件中的Plugins插件通過RESTAPI?與ranger-admin進行交互，大數據組件的插件定時拉取ranger-admin上的策略，在客戶端有對大數據組件的請求時，ranger插件會對請求中的用戶進行策略匹配，判斷接受或拒絕該請求。

步驟2：下載好或編譯出跟大數據組件版本兼容的ranger插件；可以直接在互聯網下載相應版本的ranger插件，也可以通過編譯ranger生成對應版本的ranger插件。

步驟3：將ranger插件直接放進大數據組件的容器鏡像中；將ranger插件直接build進大數據組件容器鏡像中的方式會省去很多麻煩。

步驟4：配置大數據組件charts包文件，實現大數據組件跟ranger插件的集成并啟動ranger插件及大數據組件。

S1、把ranger插件的配置文件內容作為k8s的configmap；這種方式比直接將ranger插件的配置文件修改好放進大數據組件容器中有明顯優勢，比如ranger插件配置文件內容需要更新時，使用者將不需要重新build大數據組件鏡像，只需要單獨修改k8s上的configmap即可。

S2、在大數據組件charts包values.yaml中加入需要集成ranger的標識；分別在hadoop、hbase、hive等大數據組件的charts包中values.yaml文件中加入啟用ranger的標識，例如enabled:?true，這個配置會給用戶帶來一定的靈活性，當用戶不需讓自己k8s平臺上的大數據組件集成ranger時，只需要在這里配置enabled:false即可。