Saltar para o conteúdo principal
Versão 3.0

Configuração do Ranger

ChartVersion3.0.1TypeapplicationAppVersion2.7.0
CompatibilidadeKubernetes1.32+OpenShift4.19+Rancher2.10.x+

O que é o Apache Ranger no TDP?

O Apache Ranger é uma framework de segurança centralizada para plataformas de dados.
Em vez de cada serviço gerir as suas próprias regras de acesso, o Ranger fornece um ponto único onde se define quem pode fazer o quê em qual recurso.
Os serviços integrados consultam essas políticas para permitir ou negar ações em tempo de execução.

No TDP Kubernetes, o Ranger atua como ponto central de administração de políticas de acesso para os serviços que possuem integração habilitada.

Cada integração usa o mecanismo de autorização compatível com o respetivo serviço para consultar o Ranger Admin e aplicar as decisões de acesso conforme as políticas configuradas.

Para saber mais

Consulte Apache Ranger - Conceitos para uma visão completa da ferramenta, o seu modelo de plugins e funcionamento.

Estrutura de valores (Helm)

O chart tdp-ranger utiliza três blocos principais de valores:

  • tdp-ranger: — configuração do Ranger Admin: recursos, credenciais, base de dados, Solr, OpenShift.
  • rangerIntegrations: — automatização do registo de serviços no Ranger Admin e políticas declarativas.
  • TDP-Settings: — helpers TDP para base de dados externa e exposição HTTP/HTTPS.
tdp-ranger:
ranger:
adminUser: admin
database:
host: "<POSTGRESQL_SERVICE>.<NAMESPACE>.svc.cluster.local"
port: 5432

Arquitetura e componentes

ComponenteFunção
Ranger AdminInterface e API central para cadastro de serviços, políticas e auditoria
PostgreSQLArmazena metadados do Ranger, como políticas, usuários e configuração
SolrArmazena logs de auditoria quando habilitado pelo subchart
Plugins e integraçõesPermitem que serviços configurados consultem o Ranger para autorização
Job de integraçõesAutomatiza o registo no Ranger Admin dos serviços habilitados em rangerIntegrations e das políticas declaradas em defaultPolicies, quando configuradas

O Ranger Admin é o ponto central de administração.
Os serviços integrados continuam a executar as suas cargas normalmente, mas consultam as políticas cadastradas no Ranger para decidir se uma ação deve ser permitida.

Visão geral

PropriedadeValor
Charttdp-ranger
Versão do Ranger2.7.0
Versão do Chart3.0.1
AppVersion do chart2.7.0
Registryoci://registry.tecnisys.com.br/tdp/charts/tdp-ranger

Páginas relacionadas

Pré-requisitos

Antes de instalar ou personalizar o chart tdp-ranger, confirme:

  • Kubernetes 1.32+, Red Hat OpenShift 4.19+ ou Rancher Manager 2.10.x+.
  • Helm 3.2.0+.
  • StorageClass disponível para volumes persistentes.
  • Registry OCI da Tecnisys acessível pelo ambiente de instalação.
  • Palavra-passe forte definida para o usuário administrador do Ranger.
  • Definição prévia de base de dados PostgreSQL interna ou externa para metadados.
  • Quando usar integrações: serviços de destino implantados, acessíveis por rede e configurados para usar o mecanismo de autorização compatível.

Instalação

Exemplo
helm install <RELEASE_NAME> oci://registry.tecnisys.com.br/tdp/charts/tdp-ranger -n <NAMESPACE> --create-namespace --timeout 10m

Ajuste credenciais, base de dados, persistência do Solr, exposição de rede e integrações pelo seu ficheiro de valores.

OpenShift

Em OpenShift, habilite tdp-ranger.openshift.enabled=true para criar o RoleBinding que associa a ServiceAccount do Ranger à SCC anyuid.
Essa configuração é necessária porque o container do Ranger executa scripts que exigem permissões elevadas.

Exemplo OpenShift
helm install <RELEASE_NAME> oci://registry.tecnisys.com.br/tdp/charts/tdp-ranger -n <NAMESPACE> --create-namespace --timeout 10m --set tdp-ranger.openshift.enabled=true

Valide a criação do RoleBinding no namespace:

oc get rolebinding -n <NAMESPACE> | grep anyuid
oc describe rolebinding <RELEASE_NAME>-openshift-anyuid-scc -n <NAMESPACE>