tencent cloud

使用准备

仅支持在购买集群时选择了可选组件 Ranger 的集群，若是在已创建的集群上新增 Ranger 组件，可能会出现 Web UI 无法访问的情况。默认 Ranger 安装时，Ranger Admin、Ranger UserSync 都是部署在 Master 节点上，Ranger Plugin 是部署嵌入组件主守护进程节点上。

创建集群时，在选择集群类型为 Hadoop 时可以在可选组件中选择 Ranger，Ranger 的版本根据您选择的 EMR 版本不同而存在差异。

说明：

集群类型为 Hadoop 且选择了可选组件 Ranger 时，EMR-Ranger 默认会为 HDFS、YARN 创建服务并设置默认策略。

Ranger Web UI

在访问 Ranger Web UI 之前，请务必确认当前所购买的集群是否配置了公网 IP，然后在集群服务中单击 Ranger 组件的 Web UI 地址链接。

Web UI 地址链接跳转后，会提示输入用户名及密码，即在购买集群时设置的用户名及密码。

YARN 集成 Ranger

注意：

请确保 YARN 相关服务运行正常并且当前集群已安装 Ranger。

EMR Ranger YARN 目前仅支持 Capacity Scheduler 队列的 ACL，不支持 Fair Scheduler 队列的 ACL。Ranger YARN 队列 ACL 与 YARN 自带的 Capacity Scheduler 配置共同生效，且优先级低于 Capacity Scheduler 配置，只有在 YARN 自带的 Capacity Scheduler 配置拒绝校验时才会校验 Ranger YARN 权限。建议不要在配置文件设置 ACL，而是使用 Ranger 设置 ACL。

1. 使用 EMR Ranger Web UI 页面添加 EMR Ranger YARN 服务。
   
2. 配置 EMR Ranger YARN Service 相关参数。
   

   参数名	是否必填项	解释
   Service Name	是	服务名称，Ranger Web UI 主 YARN 组件显示服务名称
   Description	否	服务描述信息
   Active Status	默认	服务启用状态，默认启用
   UserName	是	资源使用的用户名
   Password	是	用户密码
   NameNode URL	是	YARN 地址
   Authorization Enable	默认	标准集群选择 No；高安全集群选择 Yes
   Authorization Type	是	Simple：标准集群；Kerberos：高安全集群

3. EMR Ranger YARN 资源权限配置。

• 单击配置好的 EMR Ranger HDFS Service
  
• 配置 Policy
  
  

4. 添加完 Policy 后，稍等约半分钟等待 Policy 生效。生效后使用 user1 就可以向 YARN 的 root.default 队列中提交、删除、查询作业等操作。

注意：

在配置 Ranger YARN Service 以及 Policy 时请务必确保期间没有 YARN 作业，否则会出现某些用户作业提交权限问题。