使用Hadoop ACL 控制訪问权限

Posted liguangsunls

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了使用Hadoop ACL 控制訪问权限相关的知识,希望对你有一定的参考价值。

使用Hadoop ACL 控制訪问权限

一、HDFS訪问控制

hdfs-site.xml设置启动acl

<property> 
<name>dfs.permissions.enabled</name> 
<value>true</value> 
</property> 

<property> 
<name>dfs.namenode.acls.enabled</name> 
<value>true</value> 
</property> 

core-site.xml设置用户组默认权限.

<property>
<name>fs.permissions.umask-mode</name>
<value>002</value>
</property>

各需求和解决的方法例如以下:

  • 1.除了数据仓库负责人,普通用户不能创建数据库,也不能在默认库中创建表.
    /user/hive/warehouse的默认权限改为755,全部者是hadoop(或者数据仓库负责人),那么没有人能创建数据库,也不能在默认库中创建表.

  • 2.数据仓库负责人创建数据库之后,能够分配给项目组,该项目组能够在此数据库建立表.
    /user/hive/warehouse/数据库.db的全部者改为项目组.

  • 3.数据仓库负责人创建数据库之后,不把创建表的权限分给项目组,而为其创建表,仅仅同意项目组插入分区.
    数据仓库负责人继续保持/user/hive/warehouse/数据库.db的权限,项目组不能建立表,数据仓库负责人为项目组创建表之后,把表所在的文件夹分给项目组.

  • 4.某些表仅仅能本项目组读写.
    /user/hive/warehouse/数据库.db/表名所在的文件夹改为770 .

  • 5.某些表仅仅能本项目组的特殊用户读写.
    /user/hive/warehouse/数据库.db/表名所在的文件夹的全部者改为此用户,而且权限改为700 .

  • 6.项目组的表,须要其他组的特别用户插入数据.
    使用下面的命令能够mapngxu对dntest.db的表testp1有写权限 hdfs dfs -setfacl -R -m user:mapengxu:rwx /user/hive/warehouse/cdntest.db/testp1

  • 7.项目组的表,须要其他组的特别用户有读到数据的权限.
    hdfs dfs -setfacl -R -m user:mapengxu:r-x /user/hive/warehouse/cdntest.db/testp1

  • 8.项目组的表,须要其他组的全部用户有读到数据的权限.
    hdfs dfs -setfacl -R -m group:data_sum:r-x /user/hive/warehouse/cdntest.db/testp1

  • 9.创建默认数据库,此数据库全部用户都有创建 表的权限。但仅仅保存30天.
    /user/hive/warehouse/数据库.db的权限改为777。而且设置定时任务扫描该文件夹及hive数据库。假设有创建时间超过30天的表。删除表及所在文件夹。

  • 10.该措施和基础SQL的訪问控制结合。

任务调度

按用户组管理队列,在入口机和jenkins权限统一,按所在组分配资源,方便按项目组统计各项目组每天,每周占用多少集群资源. mapred-site.xml配置例如以下:
<property> 
<name>mapred.acls.enabled</name> 
<value>true</value> 
</property> 
<property> 
<name>mapred.fairscheduler.poolnameproperty</name> 
<value>group.name</value> 
</property> 
fair-scheduler.xml配置例如以下:

<?xml version="1.0"?> 
<allocations> 

<pool name="cdn"> 
<maxResources>1000 vcores</maxResources> 
<maxRunningJobs>10</maxRunningJobs> 
<weight>1.0</weight> 
<schedulingPolicy>fair</schedulingPolicy> 
</pool> 
<pool name="data_sum"> 
<maxResources> 1000 vcores</maxResources> 
<maxRunningJobs>10</maxRunningJobs> 
<weight>1.0</weight> 
<schedulingPolicy>fair</schedulingPolicy> 
</pool> 

<userMaxAppsDefault>2</userMaxAppsDefault> 

<queuePlacementPolicy> 
<rule name="primaryGroup" create="false" /> 
<rule name="secondaryGroupExistingQueue" create="false" /> 
<rule name="user" create="false"/> 
<rule name="reject"/> 






















































以上是关于使用Hadoop ACL 控制訪问权限的主要内容,如果未能解决你的问题,请参考以下文章

CCNP路由实验之十四 路由器的訪问控制ACL

IIS中遇到无法预览的问题(HTTP 错误 401.3 - Unauthorized 因为 Web server上此资源的訪问控制列表(ACL)配置或加密设置,您无权查看此文件夹或页面。)

ACL 权限控制机制 ?

ACL 权限控制机制 ?

ZooKeeper系列—— ACL 权限控制

Zookeeper 节点权限控制ACL详解