我们的
kafka
服务在更新(添加) ranger 权限时,会有极低的概率导致 MM2 同步服务报错,报错内容
Not Authorized
。但是查看 ranger 权限是赋予的,并且很早配置的权限策略也会报错。
相关组件版本:
当高频更新
Ranger
策略时,
Ranger plugin
处理
delta update
的时候有一定几率触发丢失
Kafka
权限策略的问题,导致个别权限没有被正确加载。
即:我们在
ranger WEB UI
中看到我们的策略确实是已经配置,但是实际上落实到各个服务的策略缓存时发生了丢失。
默认的缓存策略存放位置是在
/var/lib/ranger/
目录下,这里我以
kafka
为例,
kafka
的
ranger
缓存策略在:
ls /var/lib/ranger/kafka/policy-cache/
kafka_cm_kafka.json kafka_cm_kafka_roles.json kafka_cm_kafka_tag.json
其中的
kafka_cm_kafka.json
就是存放我们实际的缓存策略的文件。
关闭 Ranger 组件的增量更新,确认可以规避由此 bug 导致的权限丢失问题
1.集群 -> Ranger -> 配置 -> 搜索
conf/ranger-admin-site.xml_role safety_valve
-> 点击 “以 XML 格式查看”,插入如下内容:
<property><name>ranger.admin.supports,policy.deltas</name><value>false</value></property>
<property><name>ranger.admin.supports.tag.deltas</name><value>false</value></property>
2.修改 ranger admin JVM 内存
CM -> 集群 -> Ranger-> 配置 -> 搜索
ranger admin max heap_size
-> 修改配置 8G
3. 重启 ranger admin 和 mm2 服务。
CM ->ranger-> 配置 -> 日志 -> INFO改为 DEBUG
查看日志:
http 请求如下:
http://mn.test.com:6080/service/plugins/secure/policies/download/cm kafka?supportsPolicyDeltas=true&pluginld=kafka@kafka-03.test.com-cm_kafka&clusterName=Bigdata
查看返回结果:
curl -o rangerdata -u "admin:P@sswOrd2021" "1.5.4.5:6080/service/plugins/secure/policies/download/cm_kafka?supportsPolicyDeltas=true&pluginld=kafka@kafka-03.test.com/cm kafka&clusterName=Bigdata"
## 查看大小
du -sh rangerdata
查看修改配置后,ranger 的性能。如:堆内存使用率,非堆内存提交等等。
问题解决!