Saltar para o conteúdo principal
Versão 3.0

Configuração do Ranger

ChartVersion3.0.1TypeapplicationAppVersion2.7.0
CompatibilidadeKubernetes1.32+OpenShift4.19+Rancher2.10.x+

O que é o Apache Ranger no TDP?

O Apache Ranger é um framework de segurança centralizado para plataformas de dados.
Em vez de cada serviço gerenciar suas próprias regras de acesso, o Ranger fornece um ponto único onde você define quem pode fazer o quê em qual recurso.
Os serviços integrados consultam essas políticas para permitir ou negar ações em tempo de execução.

No TDP Kubernetes, o Ranger atua como ponto central de administração de políticas de acesso para os serviços que possuem integração habilitada.

Cada integração usa o mecanismo de autorização compatível com o respectivo serviço para consultar o Ranger Admin e aplicar as decisões de acesso conforme as políticas configuradas.

Para saber mais

Consulte Apache Ranger - Conceitos para uma visão completa da ferramenta, seu modelo de plugins e funcionamento.

Estrutura de valores (Helm)

O chart tdp-ranger usa três blocos principais de valores:

  • tdp-ranger: — configuração do Ranger Admin: recursos, credenciais, banco de dados, Solr, OpenShift.
  • rangerIntegrations: — automação de cadastro de serviços no Ranger Admin e políticas declarativas.
  • TDP-Settings: — helpers TDP para banco externo e exposição HTTP/HTTPS.
tdp-ranger:
ranger:
adminUser: admin
database:
host: "<POSTGRESQL_SERVICE>.<NAMESPACE>.svc.cluster.local"
port: 5432

Arquitetura e componentes

ComponenteFunção
Ranger AdminInterface e API central para cadastro de serviços, políticas e auditoria
PostgreSQLArmazena metadados do Ranger, como políticas, usuários e configuração
SolrArmazena logs de auditoria quando habilitado pelo subchart
Plugins e integraçõesPermitem que serviços configurados consultem o Ranger para autorização
Job de integraçõesAutomatiza o cadastro no Ranger Admin dos serviços habilitados em rangerIntegrations e das políticas declaradas em defaultPolicies, quando configuradas

O Ranger Admin é o ponto central de administração.
Os serviços integrados continuam executando suas cargas normalmente, mas consultam as políticas cadastradas no Ranger para decidir se uma ação deve ser permitida.

Visão geral

PropriedadeValor
Charttdp-ranger
Versão do Ranger2.7.0
Versão do Chart3.0.1
AppVersion do chart2.7.0
Registryoci://registry.tecnisys.com.br/tdp/charts/tdp-ranger

Páginas relacionadas

Pré-requisitos

Antes de instalar ou customizar o chart tdp-ranger, confirme:

  • Kubernetes 1.32+, Red Hat OpenShift 4.19+ ou Rancher Manager 2.10.x+.
  • Helm 3.2.0+.
  • StorageClass disponível para volumes persistentes.
  • Registry OCI da Tecnisys acessível pelo ambiente de instalação.
  • Senha forte definida para o usuário administrador do Ranger.
  • Definição prévia de banco PostgreSQL interno ou externo para metadados.
  • Quando usar integrações: serviços de destino implantados, acessíveis por rede e configurados para usar o mecanismo de autorização compatível.

Instalação

Exemplo
helm install <RELEASE_NAME> oci://registry.tecnisys.com.br/tdp/charts/tdp-ranger -n <NAMESPACE> --create-namespace --timeout 10m

Ajuste credenciais, banco de dados, persistência do Solr, exposição de rede e integrações pelo seu arquivo de valores.

OpenShift

Em OpenShift, habilite tdp-ranger.openshift.enabled=true para criar o RoleBinding que associa a ServiceAccount do Ranger à SCC anyuid.
Essa configuração é necessária porque o container do Ranger executa scripts que exigem permissões elevadas.

Exemplo OpenShift
helm install <RELEASE_NAME> oci://registry.tecnisys.com.br/tdp/charts/tdp-ranger -n <NAMESPACE> --create-namespace --timeout 10m --set tdp-ranger.openshift.enabled=true

Valide a criação do RoleBinding no namespace:

oc get rolebinding -n <NAMESPACE> | grep anyuid
oc describe rolebinding <RELEASE_NAME>-openshift-anyuid-scc -n <NAMESPACE>