数据处理

数据处理服务控制器将负责创建、维护和销毁为其集群创建的任何实例。控制器将使用网络服务在自身与集群实例之间建立网络路径。它还将管理要在集群上运行的用户应用程序的部署和生命周期。集群内的实例包含框架处理引擎的核心，数据处理服务提供了几种创建和管理与这些实例的连接的选项。

数据处理资源（集群、作业和数据源）由身份服务中定义的项目隔离。这些资源在项目内共享，了解使用该服务的人员的访问需求非常重要。通过使用基于角色的访问控制，可以进一步限制项目内的活动（例如启动集群、上传作业等）。

在本章中，我们将讨论如何评估数据处理用户在应用程序、他们使用的数据以及他们在项目内的预期功能方面的需求。我们还将演示服务控制器及其集群的几种加固技术，并提供各种控制器配置和用户管理方法的示例，以确保足够的安全性和隐私级别。

架构

下图展示了数据处理服务如何融入更大的 OpenStack 生态系统的一个概念视图。

数据处理服务在集群配置期间大量使用计算、编排、镜像和块存储服务。它还将使用网络服务在集群创建期间为实例提供管理访问所需的网络。在用户运行框架应用程序时，控制器和集群将访问对象存储服务。鉴于这些服务的使用情况，我们建议遵循 系统文档 中概述的说明，以编目安装的所有组件。

涉及的技术

数据处理服务负责部署和管理多个应用程序。为了充分了解提供的安全选项，我们建议操作员对这些应用程序有一定的熟悉度。重点技术列表分为两个部分：首先是具有更大安全影响的高优先级应用程序，其次是影响较小的支持应用程序。

高影响

• Hadoop

• Hadoop 安全模式文档

• HDFS

• Spark

• Spark 安全

• Storm

• Zookeeper

低影响

• Oozie

• Hive

• Pig

这些技术构成了使用数据处理服务部署的框架的核心。除了这些技术之外，该服务还包括第三方供应商提供的捆绑框架。这些捆绑框架是使用上述相同核心组件构建的，以及供应商包含的配置和应用程序。有关第三方框架捆绑包的更多信息，请参见以下链接

• Cloudera CDH

• Hortonworks 数据平台

• MapR

用户对资源的访问

数据处理服务的资源（集群、作业和数据源）在项目范围内共享。虽然单个控制器安装可能管理多个资源集，但这些资源将分别限定为单个项目。鉴于此限制，我们建议密切监控用户在项目中的成员资格，以保持资源的适当隔离。

由于部署此服务的组织的安全性要求将根据其特定需求而异，我们建议操作员将重点放在数据隐私、集群管理和最终用户应用程序上，作为评估用户需求的起点。这些决策将有助于指导配置用户对服务的访问权限的过程。有关数据隐私的更多讨论，请参见 租户数据隐私。

数据处理安装的默认假设是用户将能够访问其项目内的所有功能。如果需要更精细的控制，数据处理服务提供了一个策略文件（如 策略 中所述）。这些配置将高度依赖于安装组织的需要，因此对其使用没有一般建议：有关详细信息，请参见 基于角色的访问控制策略。