HBase經常使用操做之namespace

一、介紹

在HBase中，namespace命名空間指對一組表的邏輯分組，相似RDBMS中的database，方便對錶在業務上劃分。Apache HBase從0.98.0, 0.95.2兩個版本開始支持namespace級別的受權操做，HBase全局管理員能夠建立、修改和回收namespace的受權。

二、namespace

HBase系統默認定義了兩個缺省的namespace
hbase：系統內建表，包括namespace和meta表
default：用戶建表時未指定namespace的表都建立在此

建立namespace
hbase>create_namespace 'ai_ns'
刪除namespace
hbase>drop_namespace 'ai_ns'
查看namespace
hbase>describe_namespace 'ai_ns'
列出全部namespace
hbase>list_namespace
在namespace下建立表
hbase>create 'ai_ns:testtable', 'fm1'
查看namespace下的表
hbase>list_namespace_tables 'ai_ns'

三、受權

具有Create權限的namespace Admin能夠對錶建立和刪除、生成和恢復快照
具有Admin權限的namespace Admin能夠對錶splits或major compactions

受權tenant-A用戶對ai_ns下的寫權限
hbase>grant 'tenant-A' 'W' '@ai_ns'
回收tenant-A用戶對ai_ns的全部權限
hbase>revoke 'tenant-A''@ai_ns'
當前用戶：hbase
hbase>namespace_create 'hbase_perf'
hbase>grant 'mike', 'W', '@hbase_perf'
當前用戶：mike
hbase>create 'hbase_perf.table20', 'family1'
hbase>create 'hbase_perf.table50', 'family1'
mike建立了兩張表table20和table50，同時成爲這兩張表的owner，意味着有'RWXCA'權限
此時，mike團隊的另外一名成員alice也須要得到hbase_perf下的權限，hbase管理員操做以下
當前用戶：hbase
hbase>grant 'alice', 'W', '@hbase_perf'
此時alice能夠在hbase_perf下建立表，可是沒法讀、寫、修改和刪除hbase_perf下已存在的表
當前用戶：alice
hbase>scan 'hbase_perf:table20'
報錯AccessDeniedException
若是但願alice能夠訪問已經存在的表，則hbase管理員操做以下
當前用戶：hbase
hbase>grant 'alice', 'RW', 'hbase_perf.table20'
hbase>grant 'alice', 'RW', 'hbase_perf.table50'

在HBase中啓用受權機制
hbase-site.xml
<property>
     <name>hbase.security.authorization</name>
     <value>true</value>
</property>
<property>
     <name>hbase.coprocessor.master.classes</name>
     <value>org.apache.hadoop.hbase.security.access.AccessController</value>
</property>
<property>
     <name>hbase.coprocessor.region.classes</name>
     <value>org.apache.hadoop.hbase.security.token.TokenProvider,org.apache.hadoop.hbase.security.access.AccessController</value>
</property>
配置完成後須要重啓HBase集羣

受權相關JIRA
HBASE-8409
HBASE-9206

四、總結