首页 > 代码库 > 使用Hadoop ACL 控制訪问权限
使用Hadoop ACL 控制訪问权限
使用Hadoop ACL 控制訪问权限
一、HDFS訪问控制
hdfs-site.xml设置启动acl
<property>
<name>dfs.permissions.enabled</name>
<value>true</value>
</property>
<property>
<name>dfs.namenode.acls.enabled</name>
<value>true</value>
</property>
core-site.xml设置用户组默认权限.
<property>
<name>fs.permissions.umask-mode</name>
<value>002</value>
</property>
各需求和解决的方法例如以下:
-
1.除了数据仓库负责人,普通用户不能创建数据库,也不能在默认库中创建表.
/user/hive/warehouse的默认权限改为755,全部者是hadoop(或者数据仓库负责人),那么没有人能创建数据库,也不能在默认库中创建表. -
2.数据仓库负责人创建数据库之后,能够分配给项目组,该项目组能够在此数据库建立表.
/user/hive/warehouse/数据库.db的全部者改为项目组. -
3.数据仓库负责人创建数据库之后,不把创建表的权限分给项目组,而为其创建表,仅仅同意项目组插入分区.
数据仓库负责人继续保持/user/hive/warehouse/数据库.db的权限,项目组不能建立表,数据仓库负责人为项目组创建表之后,把表所在的文件夹分给项目组. -
4.某些表仅仅能本项目组读写.
/user/hive/warehouse/数据库.db/表名所在的文件夹改为770 . -
5.某些表仅仅能本项目组的特殊用户读写.
/user/hive/warehouse/数据库.db/表名所在的文件夹的全部者改为此用户,而且权限改为700 . -
6.项目组的表,须要其他组的特别用户插入数据.
使用下面的命令能够mapngxu对dntest.db的表testp1有写权限 hdfs dfs -setfacl -R -m user:mapengxu:rwx /user/hive/warehouse/cdntest.db/testp1 -
7.项目组的表,须要其他组的特别用户有读到数据的权限.
hdfs dfs -setfacl -R -m user:mapengxu:r-x /user/hive/warehouse/cdntest.db/testp1 -
8.项目组的表,须要其他组的全部用户有读到数据的权限.
hdfs dfs -setfacl -R -m group:data_sum:r-x /user/hive/warehouse/cdntest.db/testp1 -
9.创建默认数据库,此数据库全部用户都有创建 表的权限。但仅仅保存30天.
/user/hive/warehouse/数据库.db的权限改为777。而且设置定时任务扫描该文件夹及hive数据库。假设有创建时间超过30天的表。删除表及所在文件夹。 -
10.该措施和基础SQL的訪问控制结合。
任务调度
按用户组管理队列,在入口机和jenkins权限统一,按所在组分配资源,方便按项目组统计各项目组每天,每周占用多少集群资源. mapred-site.xml配置例如以下:
<property>
<name>mapred.acls.enabled</name>
<value>true</value>
</property>
<property>
<name>mapred.fairscheduler.poolnameproperty</name>
<value>group.name</value>
</property>
fair-scheduler.xml配置例如以下:
<?xml
version="1.0"?>
<allocations>
<pool
name="cdn">
<maxResources>1000
vcores</maxResources>
<maxRunningJobs>10</maxRunningJobs>
<weight>1.0</weight>
<schedulingPolicy>fair</schedulingPolicy>
</pool>
<pool
name="data_sum">
<maxResources>
1000 vcores</maxResources>
<maxRunningJobs>10</maxRunningJobs>
<weight>1.0</weight>
<schedulingPolicy>fair</schedulingPolicy>
</pool>
<userMaxAppsDefault>2</userMaxAppsDefault>
<queuePlacementPolicy>
<rule
name="primaryGroup" create="false" />
<rule
name="secondaryGroupExistingQueue" create="false" />
<rule
name="user" create="false"/>
<rule
name="reject"/>
`
`
使用Hadoop ACL 控制訪问权限