看了一下3.2版本支持的ranger集成方案,使用ranger管理StarRocks内部表时,需要额外创建一套StarRocks Service权限。在加速场景中,有hive表查询权限,也同时会有SR内部同名表的权限,用户无需感知StarRocks的表权限问题。希望的使用方式是,查询StarRocks内部表时,也能复用外部数据源对应的 Ranger Service,集群管理等功能可以使用StarRocks 内部用户(如root)进行授权管理,这样就不需要改造当前赋权方案和Ranger server,也不需要额外创建一套StarRocks Service权限策略,测试了一下,目前是不能这样用的。这种需求可以灵活支持么?
现在外表和内表的授权逻辑是不一样的,还没办法放在一个service里面,外表一般是hive的权限和用户肯定早就存在,所以是复用的,而内部表的权限可能在SR里面,我理解下您的问题是不是很多外表都导入了一份到内表,所以这些权限要重新配置一遍。
放在一个service现在不管是架构还是实现都不太好弄,现在有两个方案:
- 用外表mv来替代导入,MV的自动改写权限是继承外表的,不需要重新定义权限,用户查外表可以自动改写
- 把StarRocks中的内表权限复制一份到ranger,我们最近正计划做一个这样的工具来简化这个手工操作
好的,感谢大佬解答