简介：

ranger 是一个用于启用、监控和管理跨hadoop平台的全面的数据安全框架。

ranger的愿景是在hadoop系统中提供全面的安全管理。随着yarn的出现，hadoop 平台能够支持真正的数据糊架构。企业能够在多租户环境中运行多个任务负载。hadoop 数据安全需要进化去支持多个数据访问的用户场景，同时提供一个数据访问中心管理策略和监控用户访问的集群。

目标：

ranger主要有以下目标：

1、集中的安全管理，管理所有中心ui或者使用rest api任务的安全

2、细粒度授权，使用Hadoop组件/工具执行特定的操作和/或操作，并通过中央管理工具进行管理

3、标准化的授权方案跨hadoop 组件

4、增强不同授权模型的支持，Role based access control, attribute based access control etc

5、集中审计，为所有hadoop组件的一切用户访问和管理操作

General instructions on how to use the Apache Ranger can be found on the Wiki Page.

目前Ranger-admin可以将权限策略存储在Mysql，Oracle,postgres等

5.1权限控制方式及粒度的差异

Apache Sentry 主要是基于角色来控制访问权限的，可以达到行列级别（但通过测试来看，好像只支

持列级别）；

Apache Ranger是基于策略来控制访问权限，可以达到行列级别，同时可以将策略赋权给用户，用户

组和角色。

5.2 支持的组件数量差异

Apache Sentry 目前能够支持5-7种系统，但 Apache Ranger能够支持十几种系统。

5.3 可视化页面差异

Apache Sentry 的可视化权限管理界面需要基于Hue协调框架，Apache Ranger提供自身携带的权

限管理WEB UI界面。

5.4 审计差异

Apache Sentry 不支持审计操作，Apache Ranger 支持审计，可以将审计日志存放至Solr中。

5.5 二次开发差异

Apache Ranger提供了二次开发接口，集成额外的系统，只需要为其实现相应的plugin即可。