Universe大数据平台特性简介-多租户管理(权限隔离)

[复制链接]
liufc
liufc   中级会员    发表于 2016-10-17 13:54:48   最新回复:2016-10-17 13:54:48

应用场景

当一套大数据分析平台被不同部门(没有业务交互的两个或以上团体)共用时,可通过为每个部门配置不同的租户来实现不同部门之间的资源隔离。

可根据租户隔离的大数据平台资源包括:

l   Hadoop计算资源和Hadoop存储资源

l   数据源信息

l   数据资产信息

功能描述

隔离Hadoop计算资源和Hadoop存储资源

业务流程

20161017135438862001.png

 

超级管理员创建租户时给租户分配该租户允许使用的Hadoop存储容量和Hadoop计算资源(百分比)。

租户创建成功后,在Hadoop集群上创建相应的租户目录以及租户拥有的计算队列信息,该目录将作为租户在大数据计算中默认的数据资产的存储路径。该路径将用于存储“数据管控”中创建的数据模型,并将作为“数据集成”使用管控抽取和加载时默认访问的Hadoop存储资源。

1-3所示,使用超级管理员创建租户“a1”时,选择“资源信息”页签,为租户分配Hadoop资源。选择在“Hadoop集群管理”中已配置的“as523Hadoop集群和集群用户,为租户配置能够使用的Hadoop集群上的存储路径和存储容量,并为租户配置能够使用的Hadoop集群的计算资源。

为租户分配Hadoop存储资源

20161017135439909002.png

 

为租户分配Hadoop计算资源

20161017135440162003.png

 

大数据平台中Hadoop资源的隔离原理为:

l   Hadoop基于kerberos做认证,每个Universe的租户对应Hadoop 侧的一个用户,Universe通过多租户对该用户进行存储目录访问授权,以及对计算资源的队列分配。

l   大数据平台的模块访问Hadoop数据和提交Hadoop任务都需要使用kerberos用户来创建链接,通过该用户在Hadoop上进行权限控制,从而实现计算资源隔离和数据权限控制。

隔离数据源信息

业务流程

20161017135441355004.png

 

数据源由超级管理员创建,同时分配给不同租户,以方便租户在开发应用中使用这些数据源。

1-6所示,使用超级管理员创建租户时,选择“FTP资源权限”和“数据库权限”页签可配置该租户可使用的FTP主机和数据库。界面左侧显示系统当前已配置的数据源资源,右侧显示该租户可使用的数据源资源。该租户下的用户登录系统后,在“系统管理 > 数据源配置”界面以及需要选择数据源的界面只能够看到该租户权限内的数据源。

管理租户数据源权限

20161017135441955005.png

 

隔离数据资产信息

数据资产信息指租户私有资产,该资源由设计者来负责设计开发。各模块的租户隔离原则如1-8所示。

模块隔离原则

模块

描述

数据集成模块

l  不同租户下的操作员登录后,只能看到本租户开发的流程,只能监控本租户开发的流程,其他租户的流程不可见。

l  只能选择本租户有权限的数据资产来作为抽取和加载的目标。

l  租户下的操作员在配置抽取加载节点时,只能选择本租户有权限的Hadoop资源信息,包括存储和计算资源。 也就是说只能使用该租户的用户去提交任务到租户对应的队列中,以防止和其他租户资源相互冲突。

说明

选择非默认的Hadoop集群(即安装时配套的Hadoop集群)进行计算前,需要为默认和非默认Hadoop集群之间建立互信,详情可参见Fusion Insight Hadoop产品文档。

数据治理模块

l  不同租户下的操作员登录后,对于其他租户的资产只能做浏览,可以创建本租户私有资产。

l  如果需要访问其他租户的资产对象,则需要找管理员分配,管理员分配后,才能允许访问资产数据。

l  资产管理建模时,只能允许创建在本租户对应的存储资源上,并且只允许使用该租户能访问的数据源。

统一调度模块

不同租户下的操作员登录后,只能看到本租户开发的任务,只能监控本租户开发的任务,其他租户的任务不可见。

 

 


跳转到指定楼层
快速回复 返回顶部