Ranger权限控制机制以及使用样例

Ranger为各组件提供了基于PBAC（Policy-Based Access Control）的权限管理插件，用于替换组件自身原本的鉴权插件。Ranger插件都是由组件侧自身的鉴权接口扩展而来，用户在Ranger WebUI上对指定service设置权限策略，Ranger插件会定期从RangerAdmin处更新策略并缓存在组件本地文件，当有客户端请求需要进行鉴权时，Ranger插件会对请求中携带的用户在策略中进行匹配，随后返回接受或拒绝。

     Ranger的权限模型一条条的权限策略组成的，权限策略主要由3个方面组成，即用户、资源、权限。

用户：ranger可以对用户进行分组，一个用户可以属于多个分组。Ranger支持对用户或者用户组配置某资源的相关权限。

资源：对于各个不同的组件，资源的表述都不相同。比如在HDFS中，文件路径就是资源，而在Hive中，资源可以指Database、Table甚至Column。

权限：ranger可以对各个资源的读、写、访问进行限制，具体可以配置白名单、白名单排除、黑名单、黑名单排除等条目。

ranger管理员配置好组件的相关策略后，并且将ranger插件安装到具体的大数据组件中，ranger就可以开始生效了

ranger hiveserver2，kyubbi，trino，hdfs 的插件在初始化时会启动一个PolicyRefresher线程定时的从Ranger-admin拉取所有的策略（这个策略是用户在web上配置的），然后缓存到本地，PolicyRefresher默认是每隔30s拉取一次，也就是说用户在web端配置了策略，30秒内会生效。

1）ranger hdfs 插件是嵌入在namenode，启用插件后namenode的权限跟自身acl的权限并行，如果ranger上配置了hdfs的路径管控则ranger的权限会生效。如果ranger上hdfs路径没有配置，那么还是以hdfs自身的权限acl生效。

2）ranger hive的插件是嵌入到hiveserver2，所以只能控制通过hiveserver2的查询sql，启用插件后，所有的库，表，行，列的权限控制均由ranger 接管。

3）ranger on trino，因为当前只有新版本的ranger（2.3.0）后才能对trino管控，2.3.0的权限控制是coordinator 节点读取插件的policy文件控制trino的权限。