文不打算对这部分代码进行全面的解读,而是先对几个主要类的职能进行概述,然后再罗列一些有价值的重要细节。
- 第一部分:HBase Security 概述
HBase Security主要是基于User和User Group(Role)对表(或是更粒度的Family、Qualifer)进行安全检查(目前HBase Security暂不支持基于行的安全检查,但后续版本中会追加进来)。在authentication方面,它主要是通过Kerberos来完成的。这部分不是HBase Security实现的重点,HBase Security的大部分代码时在解决authorization的问题,也就是根据用户权限判定其是否有权访问某项资源。
HBase Security主要有这样几个重要的类:
org.apache.hadoop.hbase.security.access.AccessController
这是对所有访问进行拦截的入口,它既是MasterObserver又是RegionObserver,言下之意,它能拦截所有的操作。
org.apache.hadoop.hbase.security.access.AccessControlLists
这是专门负责对Permission进行读写(包括数据库和ZooKeeper)操作的类,你可以认为这一个DAO或是Repository
org.apache.hadoop.hbase.security.access.TableAuthManager
这是负责对用户进行权限检查的类,它主要有多个重载的authorize方法组成。同时,由于这个类的实例cache了所用的permission,因此它还有一些借助ZKPermissionWatcher进行同步本地与ZooKeeper数据的工作。
org.apache.hadoop.hbase.security.access.ZKPermissionWatcher
这是一个专门监视_acl_节点的一个ZooKeeper的Watcher. HBase Security在设计上为了考虑性能,会把所有的permission加载到内存中,但是如果permission发生变化,各节点需要同步这些变化,因此将所有的permission写入到ZooKeeper,然后再通过一个实时监控和更新permission。而ZKPermissionWatcher就是这负责这项工作的。
补充一句:从代码上看,TableAuthManager和ZKPermissionWatcher两个类耦合过于紧密,彼此互为对方的field. 此处的设计并不好,其实可以将两者合二为一,让TableAuthManager实现ZooKeeperListener。
- 第二部分:若干重要细节
以下是一些有价值的细节问题,有关于配置部署的,有关于代码实现的。
1. 打开安全检查的方式是注册一些安全相关的coprocessor, 具体做法是在所有节点的hbase-site.xml中加入以下内容重启集群, 其中指定rpc engine为SecureRpcEngine
是因为该引擎能传递remote client传递的用户凭证(如用户名..),安全检查是以用户提供的凭证为基础进行的.
2. 打开安全机制前,最好指定一个superuser, 否则在刚打开安全机制时,_acl_表为空,意味着任何用户都无法从事任何操作,所以需要使用superuser来为用户分配权限.指定superuser的方法是在hbase-site.xml中加入:
3. 表的owner,也就是建表账户将自动拥有对该表的所有操作权限:RWXCA. 参见方法:
org.apache.hadoop.hbase.security.access.RowBasedAccessController.postCreateTable(...)
4. 用户或组的权限可以指定到 <table> <column family> <column qualifier> 三种不同的层次(粒度)上. 通过试验表明, 下层权限会自动继承上层权限!,.如给一个sample表R的权限,column family:cf也是R的权限,而qualifier:q是W的权限,那么用户即能读取也能写入cf:q.
5. 紧接第4点,考虑一种更为复杂的情况:
假定sample表有100个qualifier, 100个qualifier分属多个family,假定没有指定sample表级别的读权限,但是通过对多个family和family下的qualifier设定读权限,其中80个qualifier已经具备了读权限,那么,当该用户执行scan 'sample' 操作时,结果会如何呢?通过试验表明,所有具备读权限的qualifier都列出了,所有没有读权限的qualifier都被过滤掉了。 这是一种合理的处理方式,而关于这部分的处理逻辑是通过在权限检查时通过 org.apache.hadoop.hbase.security.access.AccessControlFilter进行过滤实现的。这个Filter其实也非常简单,它是主要是通过 org.apache.hadoop.hbase.security.access.TableAuthManager.authorize(User, byte[], KeyValue, Action)进行最细度(精确的 qualifier)的检查,只有确定有权读写的qualifier才会通过检查,否则就被过滤掉。
6. Permission的Class Hierarchy:
Permission (包含了Action)
|
|--TablePermission (又包含了table,family,qualifier)
|
|--UserPermission(又包含了user)
7. 关于 cache:
AccessController在初始化的时候会load所有的permission,然后写到zookeeper里.参考:org.apache.hadoop.hbase.security.access.AccessController.initialize(RegionCoprocessorEnvironment)
同时, 一个ZooKeeper的监听器ZKPermissionWatcher会关注 ZooKeeper的任何变化,当Permission数据写入zookeeper时,方法org.apache.hadoop.hbase.security.access.ZKPermissionWatcher.nodeDataChanged(String)
会被触发,这个方法会负责把前面刚刚写入的Perssmion加载到缓存里!
Cache分为两类: 表级Cache和全局Cache. 表级Cache是一个以表名为Key,以这个表对应的<用户,权限>对为Value的Map, 而全局Cache 是指那些不针对某个具体表的全局Permission, 所以它的结构是一个<用户,权限>对组成的map. 关于全局Cache一个重要的细节是: 很显然, 所有的superuser是应该放在全局cache里,而且应被赋予所有权限.(参考:org.apache.hadoop.hbase.security.access.TableAuthManager.initGlobal(Configuration))
表级Cache:
TABLE_USER_CACHE: Map<TableName,Map<UserName,Permission>>
TABLE_GROUP_CACHE: Map<TableName,Map<UserName,Permission>>
全局Cache:
USER_CACHE:Map<USerName,Permission>
GROUP_CACHE: Map<TableName,Map<UserName,Permission>>
cache隶属于一个TableAuthManager实例, 而TableAuthManager是一个管理多个自身实例的单态, 它维护一个全局的map,这个map里一个ZooKeeperWatcher实例对应一个它的实例. 参考:org.apache.hadoop.hbase.security.access.TableAuthManager.get(ZooKeeperWatcher, Configuration)
8. ZooKeeperListener的典型应用案例:ZKPermissionWatcher
security的一个设计需求是:,所有region和master对应的coprocessor所依赖的authManager都需要加载所有的permission到cache里,通过内存中permission实例进行权限检查. security的实现方式是:当_acl_表对应的region open的时候,加载所有的permission(参考AcessController(L720-L723),当所有的permission加载之后,就把它们再写到zookeeper节点上,参考 org.apache.hadoop.hbase.security.access.AccessController.initialize(RegionCoprocessorEnvironment).
而由于所有的 authManager 实例都含有一个ZKPermissionWatcher,这是一个ZooKeeperListener, 当zookeeper节点上的数据发生变化时,这个watcher的nodeCreated方法会被触发,进而重新加载permission数据!
9. 关于AccessController和TableAuthManager与ZooKeeperWatcher的实例数量
对于AccessController来说,做为MasterObserver时, 会创建一个实例.作为BaseRegionObserver来说, 一个region(不是region server)会创建一个是实例!而TableAuthManager与ZooKeeperWatcher的实例是一一对应的,参考:
org.apache.hadoop.hbase.security.access.TableAuthManager.get(ZooKeeperWatcher, Configuration)
而ZooKeeperWatcher的实例自来于Master或Region启动( MasterObserver 的start方法和BaseRegionObserver的postOpen)时从MasterServices或RegionServerServices中取得的ZooKeeper的实例!而这个ZooKeeper实例是一个server(node)对应一个. 所以对于同一个regionserver上的所有region,引用的是同一个zookeeper实例.
<property>
<name>hbase.rpc.engine</name>
<value>org.apache.hadoop.hbase.ipc.SecureRpcEngine</value>
</property>
<property>
<name>hbase.coprocessor.master.classes</name>
<value>org.apache.hadoop.hbase.security.access.AccessController</value>
</property>
<property>
<name>hbase.coprocessor.region.classes</name>
<value>org.apache.hadoop.hbase.security.token.TokenProvider,org.apache.hadoop.hbase.security.access.AccessController</value>
</property>
2. 打开安全机制前,最好指定一个superuser, 否则在刚打开安全机制时,_acl_表为空,意味着任何用户都无法从事任何操作,所以需要使用superuser来为用户分配权限.指定superuser的方法是在hbase-site.xml中加入:
<property>
<name>hbase.superuser</name>
<value>superuser-accout: such as root</value>
</property>
3. 表的owner,也就是建表账户将自动拥有对该表的所有操作权限:RWXCA. 参见方法:
org.apache.hadoop.hbase.security.access.RowBasedAccessController.postCreateTable(...)
4. 用户或组的权限可以指定到 <table> <column family> <column qualifier> 三种不同的层次(粒度)上. 通过试验表明, 下层权限会自动继承上层权限!,.如给一个sample表R的权限,column family:cf也是R的权限,而qualifier:q是W的权限,那么用户即能读取也能写入cf:q.
5. 紧接第4点,考虑一种更为复杂的情况:
假定sample表有100个qualifier, 100个qualifier分属多个family,假定没有指定sample表级别的读权限,但是通过对多个family和family下的qualifier设定读权限,其中80个qualifier已经具备了读权限,那么,当该用户执行scan 'sample' 操作时,结果会如何呢?通过试验表明,所有具备读权限的qualifier都列出了,所有没有读权限的qualifier都被过滤掉了。 这是一种合理的处理方式,而关于这部分的处理逻辑是通过在权限检查时通过 org.apache.hadoop.hbase.security.access.AccessControlFilter进行过滤实现的。这个Filter其实也非常简单,它是主要是通过 org.apache.hadoop.hbase.security.access.TableAuthManager.authorize(User, byte[], KeyValue, Action)进行最细度(精确的 qualifier)的检查,只有确定有权读写的qualifier才会通过检查,否则就被过滤掉。
6. Permission的Class Hierarchy:
Permission (包含了Action)
|
|--TablePermission (又包含了table,family,qualifier)
|
|--UserPermission(又包含了user)
7. 关于 cache:
AccessController在初始化的时候会load所有的permission,然后写到zookeeper里.参考:org.apache.hadoop.hbase.security.access.AccessController.initialize(RegionCoprocessorEnvironment)
同时, 一个ZooKeeper的监听器ZKPermissionWatcher会关注 ZooKeeper的任何变化,当Permission数据写入zookeeper时,方法org.apache.hadoop.hbase.security.access.ZKPermissionWatcher.nodeDataChanged(String)
会被触发,这个方法会负责把前面刚刚写入的Perssmion加载到缓存里!
Cache分为两类: 表级Cache和全局Cache. 表级Cache是一个以表名为Key,以这个表对应的<用户,权限>对为Value的Map, 而全局Cache 是指那些不针对某个具体表的全局Permission, 所以它的结构是一个<用户,权限>对组成的map. 关于全局Cache一个重要的细节是: 很显然, 所有的superuser是应该放在全局cache里,而且应被赋予所有权限.(参考:org.apache.hadoop.hbase.security.access.TableAuthManager.initGlobal(Configuration))
表级Cache:
TABLE_USER_CACHE: Map<TableName,Map<UserName,Permission>>
TABLE_GROUP_CACHE: Map<TableName,Map<UserName,Permission>>
全局Cache:
USER_CACHE:Map<USerName,Permission>
GROUP_CACHE: Map<TableName,Map<UserName,Permission>>
cache隶属于一个TableAuthManager实例, 而TableAuthManager是一个管理多个自身实例的单态, 它维护一个全局的map,这个map里一个ZooKeeperWatcher实例对应一个它的实例. 参考:org.apache.hadoop.hbase.security.access.TableAuthManager.get(ZooKeeperWatcher, Configuration)
8. ZooKeeperListener的典型应用案例:ZKPermissionWatcher
security的一个设计需求是:,所有region和master对应的coprocessor所依赖的authManager都需要加载所有的permission到cache里,通过内存中permission实例进行权限检查. security的实现方式是:当_acl_表对应的region open的时候,加载所有的permission(参考AcessController(L720-L723),当所有的permission加载之后,就把它们再写到zookeeper节点上,参考 org.apache.hadoop.hbase.security.access.AccessController.initialize(RegionCoprocessorEnvironment).
而由于所有的 authManager 实例都含有一个ZKPermissionWatcher,这是一个ZooKeeperListener, 当zookeeper节点上的数据发生变化时,这个watcher的nodeCreated方法会被触发,进而重新加载permission数据!
9. 关于AccessController和TableAuthManager与ZooKeeperWatcher的实例数量
对于AccessController来说,做为MasterObserver时, 会创建一个实例.作为BaseRegionObserver来说, 一个region(不是region server)会创建一个是实例!而TableAuthManager与ZooKeeperWatcher的实例是一一对应的,参考:
org.apache.hadoop.hbase.security.access.TableAuthManager.get(ZooKeeperWatcher, Configuration)
而ZooKeeperWatcher的实例自来于Master或Region启动( MasterObserver 的start方法和BaseRegionObserver的postOpen)时从MasterServices或RegionServerServices中取得的ZooKeeper的实例!而这个ZooKeeper实例是一个server(node)对应一个. 所以对于同一个regionserver上的所有region,引用的是同一个zookeeper实例.