Apache Ranger Docker镜像文档

镜像概述

Apache Ranger™ 是一个用于在Hadoop平台上启用、监控和管理全面数据安全的框架。其核心愿景是为Apache Hadoop生态系统提供全方位的安全保障。随着Apache YARN的出现，Hadoop平台现已支持真正的数据湖架构，企业可在多租户环境中运行多种工作负载。Ranger旨在满足Hadoop环境下多种数据访问场景的安全需求，同时提供安全策略集中管理和用户访问监控的框架。

核心功能与特性

• 集中式安全策略管理：统一配置和管理Hadoop生态系统中各组件（如HDFS、Hive、HBase等）的安全策略。
• 多租户环境支持：适配企业级多租户数据湖架构，支持不同租户的隔离与权限控制。
• 细粒度访问控制：提供基于角色、用户、组的细粒度权限管理，确保数据访问合规。
• 审计日志与监控：集成Solr实现审计日志的集中存储与检索，支持用户访问行为的实时监控与追溯。
• 跨组件集成：与Hadoop生态系统深度集成，支持主流组件的安全控制。

使用场景与适用范围

• 企业级Hadoop集群：适用于部署了Hadoop生态系统（HDFS、Hive、Spark等）的企业集群，需统一管理数据安全。
• 多租户数据湖：在多团队、多用户共享数据湖的场景中，实现租户间数据隔离与权限管控。
• 合规审计需求：满足***、***等行业对数据访问审计、合规性报告的要求。
• 集中化安全运维：减少分布式环境下安全策略的管理复杂度，降低运维成本。

Docker部署指南

4.1 环境准备

首先设置Ranger镜像版本变量（请根据实际需求替换版本号）：

bash
export RANGER_VERSION=<Ranger镜像版本>

示例：

bash
export RANGER_VERSION=2.7.0

4.2 拉取镜像

拉取Ranger及依赖组件（Zookeeper、Solr、Postgres）的Docker镜像：

bash
docker pull apache/ranger-zk:${RANGER_VERSION}
docker pull apache/ranger-solr:${RANGER_VERSION}
docker pull apache/ranger-db:${RANGER_VERSION}
docker pull apache/ranger:${RANGER_VERSION}

4.3 创建网络

创建专用Docker网络，确保各组件通信：

bash
docker network create rangernw

4.4 启动依赖组件

4.4.1 启动Zookeeper

Zookeeper用于Ranger的分布式协调：

bash
docker run -d \
  --name ranger-zk \
  --hostname ranger-zk.example.com \
  --network rangernw \
  -p 2181:2181 \
  apache/ranger-zk:${RANGER_VERSION}

参数说明：

• --name ranger-zk：容器名称
• --network rangernw：使用前面创建的专用网络
• -p 2181:2181：映射Zookeeper默认客户端端口

4.4.2 启动Solr

Solr用于存储和检索Ranger审计日志：

bash
docker run -d \
  --name ranger-solr \
  --hostname ranger-solr.example.com \
  --network rangernw \
  -p 8983:8983 \
  apache/ranger-solr:${RANGER_VERSION} \
  solr-precreate ranger_audits /opt/solr/server/solr/configsets/ranger_audits/

参数说明：

• solr-precreate ranger_audits ...：预创建名为ranger_audits的Solr集合，使用Ranger审计日志专用配置集
• -p 8983:8983：映射Solr Web控制台端口

4.4.3 启动Postgres数据库

Postgres用于存储Ranger的元数据（策略、用户、角色等）：

bash
docker run -d \
  --name ranger-db \
  --hostname ranger-db.example.com \
  --network rangernw \
  --health-cmd='su -c "pg_isready -q" postgres' \
  --health-interval=10s \
  --health-timeout=2s \
  --health-retries=30 \
  apache/ranger-db:${RANGER_VERSION}

参数说明：

• --health-cmd：健康检查命令（验证Postgres是否就绪）
• --health-interval/timeout/retries：健康检查间隔、超时时间及重试次数，确保数据库启动完成后再启动Ranger

4.5 启动Ranger服务

启动Ranger核心服务，连接依赖组件：

bash
docker run -d \
  --name ranger \
  --hostname ranger.example.com \
  --network rangernw \
  -e RANGER_VERSION=${RANGER_VERSION} \
  -e RANGER_DB_TYPE=postgres \
  -p 6080:6080 \
  apache/ranger:${RANGER_VERSION} \
  /home/ranger/scripts/ranger.sh

参数说明：

• -e RANGER_VERSION=${RANGER_VERSION}：传递版本变量
• -e RANGER_DB_TYPE=postgres：指定数据库类型为Postgres（当前仅支持Postgres）
• -p 6080:6080：映射Ranger Web控制台端口
• /home/ranger/scripts/ranger.sh：启动Ranger服务的入口脚本

4.6 访问Ranger UI

服务启动后，通过浏览器访问Ranger Web控制台：

http://localhost:6080/login.jsp

（默认管理员账号/密码：admin/admin，首次登录需修改密码）

配置参数说明

环境变量

容器运行参数

支持与资源

• Apache Ranger官网：[***]
• Apache Ranger GitHub：[***]
• 邮件列表：[***]
• JiraIssue跟踪：[***]