CN113591143A

CN113591143A - 一种限制客户端IP读写HBase表的控制方法

Info

Publication number: CN113591143A
Application number: CN202110765975.3A
Authority: CN
Inventors: 王守明
Original assignee: Sichuan XW Bank Co Ltd
Current assignee: Sichuan XW Bank Co Ltd
Priority date: 2021-07-07
Filing date: 2021-07-07
Publication date: 2021-11-02

Abstract

本发明公开了一种限制客户端IP读写HBase表的控制方法，属于大数据信息技术领域，解决了传统技术中维护成本高，过程复杂的问题，其包括：步骤A：保证HBase集群服务正常，同时HBaes依赖Zookeeper处于正常运行状态；步骤B：在HBase集群的配置文件hbase‑site.xml中找到标签为Zookeeper.znode.parent的HBase的根节点名称；步骤C：在Hbase集群中的根节点通过IP限制指令，使除目标IP以外的IP无权访问Hbase，实现了简化操作与维护过程、增强权限认证服务的实用性的技术效果。

Description

一种限制客户端IP读写HBase表的控制方法

技术领域

本发明属于大数据信息技术领域，具体涉及一种限制客户端IP读写HBase表的控制方法。

背景技术

HBase是一种构建在HDFS之上的分布式、面向列的开源存储系统，是Apache的Hadoop项目的子项目。HBase不同于一般的关系数据库，它是一个适合于非结构化数据存储的数据库。

随着大数据时代的到来，数据量日益剧增，传统的业务数据库已经不能满足人们的需求，HBase具有着极易的扩展性，能在PB级别的数据以及采用廉价PC存储的情况下，能在几十到百毫秒内返回数据，为处理海量数据提过了便利，然而也面临着众多的挑战，特别是在大数据时代，保证数据的安全性显得尤为重要，因此对Hbase数据的访问控制成为了一个很重要的需求。

HBase的权限管理大多数都是通过HBase自带的权限管理模块来进行权限约束，且权限控制实体是用户和用户组，类似关系型数据库，都提供了一种限制IP访问的方法，如通过使用命令GRANT ALL PRIVILEGES ON *.* TO 'root'@'IP地址' IDENTIFIED BY 'youpassword' WITH GRANT OPTION来实现;但HBase没有实现对客户端IP的限制。现有的技术方案也只有通过添加额外的Kerberos认证服务来实现，但Kerberos安装和维护成本极高，同时开发人员在连接HBase的代码中，需要先开发Kerberos认证程序，过程过于复杂。

发明内容

针对现有技术中维护成本高，过程复杂的问题，本发明提供一种限制客户端IP读写HBase表的控制方法，其目的在于：简化操作与维护过程、增强权限认证服务的实用性。

本发明采用的技术方案如下：

一种限制客户端IP读写HBase表的控制方法，包括以下步骤：

步骤A：保证HBase集群服务正常，同时HBaes以来Zookeeper处于正常运行状态；

步骤B：在HBase集群的配置文件hbase-site.xml中找到标签为zookeeper；

步骤C：在Hbase集群中的根节点通过IP限制指令，使除目标IP以外的IP无权访问Hbase

采用上述方案，无需添加额外的权限认证服务，操作和维护及其方便，实用性强，更易于推广。

所述步骤B的具体步骤为：

步骤B1：Client访问zookeeper中的meta-region-server节点，获取元数据存储所在的regionserver；

步骤B2：通过刚刚获取的地址访问对应的regionserver，拿到对应的表存储的regionserver；

步骤B3：在表所在的regionserver进行数据的读取

步骤B4：找到数据之后会先缓存到blockcache中，再将结果返回。

所述步骤C4的具体步骤为：

步骤C1：在Hbase集群的配置文件hbase-site.xml中找到标签为zookeeper.znode.parent的HBase的根节点名称。

步骤:C2：使用命令setAcl /hbase/meta-region-server ip:192.168.0.110:cdrwa，如果有多个IP可以使用英文逗号拼接，完成对IP的锁定。

采用上述方案，通过实现的权限控制，权限设置生效后，用户之前写的应用程序，如果客户端IP是合法的将无需修改代码。

所述步骤C1的具体步骤为：

步骤C11：Client访问zookeeper中的meta-region-server节点，获取元数据存储所在的regionserver；

步骤C12：通过刚刚获取的地址访问对应的regionserver，拿到对应的表存储的regionserver；

步骤C13：在表所在的regionserver进行数据的添加；

步骤C14：查找对应的region，在region中寻找列族，先向memstore中写入数据；

步骤C15：当memstore写入的值变多，触发溢写操作（flush），进行文件的溢写，成为一个StoreFile；

步骤C16：当溢写的文件过多时，触发文件的合并操作。

综上所述，由于采用了上述技术方案，本发明的有益效果是：

1. 无需添加额外的权限认证服务，操作和维护及其方便，实用性强，更易于推广；

2.通过实现的权限控制，权限设置生效后，用户之前写的应用程序，如果客户端IP是合法的将无需修改代码。

附图说明

本发明将通过例子并参照附图的方式说明，其中：

图1是本发明的一种实施方式的整体流程图。

具体实施方式

本说明书中公开的所有特征，或公开的所有方法或过程中的步骤，除了互相排斥的特征和/或步骤以外，均可以以任何方式组合。

下面结合图1对本发明作详细说明。

实施例一：

一种限制客户端IP读写HBase表的控制方法，包括以下步骤：

所述步骤B的具体步骤为：

步骤B3：在表所在的regionserver进行数据的读取

所述步骤C4的具体步骤为：

所述步骤C1的具体步骤为：

步骤C13：在表所在的regionserver进行数据的添加；

步骤C16：当溢写的文件过多时，触发文件的合并操作。

在上述实施例一中，访问Hbase表，需要连接ZooKeeper中/hbase/meta-region-server节点，获取元数据的Region信息.本发明是通过设置/hbase/meta-region-server节点的ACL权限，来实现限制客户端IP来访问HBase表，其中ACL用于控制资源的访问权限，ZooKeeper实用ACL来控制其znode的访问；

Zookeeper的ACL分为三个维度，分别为scheme、id、permission，通常表示为scheme：id：permission，其中scheme代表授权策略，id代表用户，permission代表权限；

在实施例一种，通过步骤C2，setAcl /hbase/meta-region-server ip:192.168.0.110:cdrwa表示IP地址192.168.0.110客户端对/hbase/meta-region-serve有所有的权限；

以上所述实施例仅表达了本申请的具体实施方式，其描述较为具体和详细，但并不能因此而理解为对本申请保护范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请技术方案构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。

Claims

1.一种限制客户端IP读写HBase表的控制方法，其特征在于，包括以下步骤：

步骤A：保证HBase集群服务正常，同时HBaes依赖Zookeeper处于正常运行状态；

步骤B：在HBase集群的配置文件hbase-site.xml中找到标签为Zookeeper.znode.parent的HBase的根节点名称；

步骤C：在Hbase集群中的根节点通过IP限制指令，使除目标IP以外的IP无权访问Hbase。

2.根据权利要求1所述的一种限制客户端IP读写HBase表的控制方法，其特征在于，所述步骤B的具体步骤为：

步骤B3：在表所在的regionserver进行数据的读取

3.根据权利要求1所述的一种限制客户端IP读写HBase表的控制方法，其特征在于，所述步骤C4的具体步骤为：

步骤C1：在Hbase集群的配置文件hbase-site.xml中找到标签为zookeeper.znode.parent的HBase的根节点名称；

步骤 C2：使用命令setAcl /hbase/meta-region-server ip:192.168.0.110:cdrwa，如果有多个IP可以使用英文逗号拼接，完成对IP的锁定。

4.根据权利要求1所述的一种限制客户端IP读写HBaes表的控制方法，其特征在于，所述步骤C1的具体步骤为：

步骤C13：在表所在的regionserver进行数据的添加；

步骤C16：当溢写的文件过多时，触发文件的合并操作。