19. Sentry. Установка и настройка
В этой части описывается настройка Sentry.
Добавление сервиса Sentry
- В консоли Cloudera Manager в меню выбираем ‘Add Service’:
- Выбираем Sentry.
- Распределяем роли:
- Настройка базы данных. Так как сейчас используется встроенная база данных, то никаких дополнительных действий не производим, а нажимаем кнопку ‘Test Connection’.
- Наблюдаем запуск ролей.
- Визард успешно закончен.
Перенастройка размещения log’ов
- В настройках Sentry, используя категорию ‘Logs’, изменяем следующие параметры, добавляя ‘/data’ вместо ‘/var’:
| Property | Value | Description |
|---|---|---|
| Sentry Server Log Directory | /data/log/sentry |
Directory where Sentry Server will place its log files. |
- Нажимаем Save Changes.
Создание группы администраторов Sentry
-
Добавление группы во FreeIPA. Так как установка кластера производится с машины, домен которой отличен от домена настраиваемых машин, то вновь используем ansible:
$ ADM_USER='dmr' \ ADM_PASS='JL9d]qtw$p=2=M2K=~z?|EU,1' \ CL_NAME="TEST1" # UPPERCASE \ CL_NAME_L=${CL_NAME,,} # lowercase $ ansible mgm -i cluster.inv -m shell -a "echo '${ADM_PASS}' | kinit ${ADM_USER} && \ ipa group-add --desc='Sentry admins for cluster ${CL_NAME}' ${CL_NAME_L}_sentry_admins" 10.15.120.140 | CHANGED | rc=0 >> Password for admin@TEST.LAN: --------------------------------- Added group "test1_sentry_admins" --------------------------------- Group name: test1_sentry_admins Description: Sentry admins for cluster TEST1 GID: 1262100013 -
В настройках службы Sentry изменяем следующие параметры:
| Property | Value | Description |
|---|---|---|
| Admin Groups sentry.service.admin.group |
Добавляем созданную ранее группу: test1_sentry_admins |
If an end user is in one of these admin groups, that user has administrative privileges on the Sentry Server. |
| Allowed Connecting Users sentry.service.allow.connect |
ken user_da Сюда добавляем УЗ (обязательно являющиеся участниками группы 'test1_sentry_admins'), из-под которых будет производиться администрирование Sentry с помощью CLI. |
List of users allowed to connect to the Sentry Server. These are usually service users such as hive and impala, and the list does not usually need to include end users. |
- Нажимаем Save Changes.
Настройка других сервисов для работы с Sentry
Hive
| Property | Value | Description |
|---|---|---|
| Enable Stored Notifications in Database | ☑ | Enable stored notifications of metadata changes. When enabled, each metadata change will be stored in NOTIFICATION_LOG. |
| HiveServer2 Enable Impersonation hive.server2.enable.doAs |
☐ | HiveServer2 will impersonate the beeline client user when talking to other services such as MapReduce and HDFS. |
| Sentry Service | ◉ Sentry ○ None | Name of the Sentry service that this Hive service instance depends on. If selected, Hive uses this Sentry service to look up authorization privileges. Before enabling Sentry, read the requirements and configuration steps in Setting Up The Sentry Service. |
- Нажимаем Save Changes.
HDFS
⚠
Включение синхронизации доступно только после добавления сервиса Hive.- В настройках HDFS изменяем следующие параметры:
| Property | Value | Description |
|---|---|---|
| Sentry Service | ◉ Sentry ○ None |
Name of the Sentry service that this Hue service instance depends on |
- Нажимаем Save Changes.
Перезапускаем все зависимые сервисы по приглашению Cloudera Manager Console.
“Отключение доступа внешних приложений к Hive Metastore” описал на странице “18. Hive. Установка и настройка”.