Ranger 页面功能简介

2.1Access Manager 功能简介

首先从Cloudera Manager 页面点击Ranger Admin UI 或者直接访问 Ranger Admin Server 所在节点的6080端口，输入admin的账号和密码进入Ranger主页

在Ranger 的首页中展示的其实是Access Manager 中的Resouce Based Policy页面的信息。我们可以看到当前的版本为2.0，支持的组件包括HDFS、HBase、YARN等，其中Hive、Impala 在Ranger 中统称为Hadoop SQL。对于如何对每个组件进行设置权限策略，Fayson在后面的文章中会逐一详细介绍。

Access Manager 中的Tag Based Policy页面的信息如下，只有一个cm_tag 的权限策略，在《什么是Apache Ranger - 4 - Resource vs Tag Based Policies》有介绍，本文中不深入探讨

然后Fayson介绍下Access Manager 中的Reports ,该页面主要统一展示在Ranger 设置哪些权限策略，并且在页提上了条件筛选，默认展示所有策略。如果我们只想知道某个用户或者组的权限策略，以通过Search By 这里进行条件筛选

2.2Audit功能简介

在Audit 中主要功能是用于审计，该功能依赖于Solr 中生成的索引，用于快速查询审计信息。包括功能点如下：

Access 用于对所有策略请求记录查看，包括拒绝的策略和允许的策略。默认展示的为当天的权限策略请求记录，也可以根据上面的条件对用户、组、服务类型、安全域等条件进行筛选查看。

Admin 用户的 操作记录，就是指登录Ranger WebUI时候或者是使用Rest API所用的用户的操作记录，包括用户创建或者修改策略信息等，支持用户、时间等条件筛选。

Login Session指登录Ranger WebUI时候所用的用户的登录信息，包括登录类型、时间、用户、登录IP等信息，也可以通过你想要的条件进行筛选。

Plugins 主要指的是Ranger 的Plugins 同步到指定服务的信息，包括状态以及同步的服务以及IP 和时间的信息，从这里我们也可以看出Hive和Impala 在CDP7.1.3中统一为Hadoop SQL。并且可以看到Plugin 需要同步每个服务的哪些节点，比如Hive 同步了HiveServer2和 Hive Metastore ，Impala 同步了Impala Deamon、HBase 中则是包括HBase Master 和HBase Region Server。

Plugin Status 用于展示Ranger 在每个组件中的Plugin 同步的IP、Host Name以及时间等信息，如果同步状态有问题，在时间栏中会有告警提示

User Sync 用于展示用户同步信息，默认只展示当天的用户同步信息。

2.3 Security Zone 功能简介

安全区域(Security Zone)在Ranger中提供了将资源策略分成不同区域的功能。这有助于简化安全策略的管理，并允许在针对某些资源进行授权时检查数量有限的策略，因为仅加载和检查包含请求资源的特定区域下的策略。在《什么是Apache Ranger – 3》文章中有详细的介绍

2.4 Setting功能简介Users/Gourps/Roles 主要用于对Ranger 中所有的用户和组以及角色的信息查看，包括Unix或者LDAP用户。当某个用户无法登录时，可以使用admin 用户登录该页面查询用户是否已经同步。

Permissions 用于统一管理Ranger WebUI 的上述大较大功能项的管理。如你登录用户后发下没有Audit 或者Resource Based Policies ，那么可能是该出没有设置权限

总结

通过对Ranger 页面功能简介可以看出，Ranger 基于策略(Policy-based)的访问权限模型,并且有者通用的策略同步与决策逻辑，便控制插件的扩展接入。置常见系统(如HDFS、YARN、HBase等14个)的控制插件，且可扩展。基于LDAP、File、Unix的用户同步机制，提供了统一的中心化的管理界面，包括策略管理、审计查看、插件管理等功能，相对于Sentry 而言，权限管理明确又易用。