非Master服務(wù)器用戶也能通過客戶端遠(yuǎn)程訪問Hadoop

現(xiàn)象：在Hadoop集群多用戶管理實(shí)踐中發(fā)現(xiàn)，客戶端用非Master服務(wù)器配置的用戶連接Master，也通用具備對(duì)指定目錄的操作權(quán)限。比如Master服務(wù)器提供的用戶的是A，理論上客戶端應(yīng)用在A用戶下部署安裝hadoop后遠(yuǎn)程連接，但現(xiàn)在客戶端用B用戶安裝Hadoop客戶端并連接Master服務(wù)器，且可在指定目錄下rwx，只是在涉及datanode任務(wù)時(shí)會(huì)提示權(quán)限不足。

原理：默認(rèn)ACL必須包含所有最小要求的ACL項(xiàng)，包括文件擁有者項(xiàng)，文件所屬的組項(xiàng)和其它用戶項(xiàng)。如果用戶沒有在默認(rèn)ACL中配置上述三項(xiàng)中的任何一個(gè)，那么該項(xiàng)將通過從訪問ACL拷貝對(duì)應(yīng)的權(quán)限來自動(dòng)插入，或者如果沒有訪問ACL則自動(dòng)插入權(quán)限位。默認(rèn)ACL也必須擁有mask，如果mask沒有被指定，通過計(jì)算所有被mask過濾項(xiàng)的權(quán)限與（&運(yùn)算）自動(dòng)插入mask。當(dāng)一個(gè)文件使用ACL時(shí)，權(quán)限檢查的算法則變?yōu)?#xff1a;

1）當(dāng)用戶名為文件的屬主時(shí)，會(huì)檢查屬主的權(quán)限。

2）否則如果用戶名匹配命名用戶條目中的一個(gè)時(shí)，權(quán)限會(huì)被檢查并通過mask權(quán)限來進(jìn)行過濾。

3）否則如果文件的組匹配到當(dāng)前用戶的組列表中的一個(gè)時(shí)，而這些權(quán)限經(jīng)過mask過濾后仍然會(huì)授權(quán)，會(huì)被允許使用。

4）否則如果其中一個(gè)命名組條目匹配到組列表中的一個(gè)成員，而這些權(quán)限經(jīng)過mask過濾后仍然會(huì)授權(quán)，會(huì)被允許使用。

5）否則如果文件組和任何命名組條目匹配到組列表中的一個(gè)成員時(shí)，但是訪問不會(huì)被任何一個(gè)權(quán)限所授權(quán)時(shí)，訪問會(huì)被拒絕。

6）除此之外，other權(quán)限位會(huì)被檢查。

最佳實(shí)踐時(shí)基于傳統(tǒng)的權(quán)限位設(shè)置大部分權(quán)限要求，然后定義少量帶有特殊規(guī)則的ACL增加權(quán)限位。相比較只是用權(quán)限位的文件，使用ACL的文件會(huì)在NameNode中產(chǎn)生額外的內(nèi)存消耗。

分析：ACL機(jī)制分user、group、other三組權(quán)限，對(duì)于非master服務(wù)器創(chuàng)建的用戶連接過來的客戶端的用戶，放在other組管理，如果other組權(quán)限ACL設(shè)置為rwx權(quán)限則具備操作權(quán)限。

1）unnameduser (file owner)文件的擁有者

2）unnamedgroup (file group)文件的所屬組

3）nameduser除了文件的擁有者和擁有組之外，的其它用戶

4）namedgroup除了文件的擁有者和擁有組之外，的其它用戶

mask 權(quán)限掩碼，用于過濾named user和named group的權(quán)限

HDFS通過ACL控制文件目錄權(quán)限，在服務(wù)器上新增的用戶目錄/user/A，然后把該配置同hadoop包給到客戶端配置，這樣通過客戶端連接上來的就默認(rèn)文件目錄/user/A屬于A用戶，如果客戶端是通過B部署客戶端并遠(yuǎn)程連接，則目錄/user/A用other組權(quán)限來授予B用戶。顯然A用戶是文件擁有者，而B用戶是其他用戶。

這里面需要關(guān)注集群多用戶管理上的兩個(gè)細(xì)節(jié)：

1）Master新建用戶所配置的目錄體現(xiàn)在Hadoop客戶端那個(gè)配置文件下，這樣通過客戶端連接上來的不管是哪個(gè)用戶，都是檢查該目錄的權(quán)限。

2）要重點(diǎn)掌握ACL機(jī)制，并理解mask作用。

實(shí)際上，對(duì)于Hadoop多用戶集群管理，如果只是通過hdfs集成ACL機(jī)制來支撐，那也只是實(shí)現(xiàn)了文件目錄的權(quán)限控制，對(duì)于資源調(diào)度和作業(yè)管理，如存儲(chǔ)空間和計(jì)算能力，還需依賴其他機(jī)制。

總結(jié)

以上是生活随笔為你收集整理的HDFS多用户管理ACL机制other权限访问控制的理解的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。