工作负载¶
本主题介绍如何配置Airflow以保护您的工作负载。
身份模拟¶
Airflow 能够在运行任务实例时根据任务的 run_as_user 参数模拟 Unix 用户,该参数接受用户名作为输入。
注意: 要使模拟用户功能正常工作,Airflow需要sudo权限,因为子任务是通过sudo -u运行的,并且会更改文件权限。此外,该Unix用户必须存在于工作节点上。假设Airflow以airflow用户身份运行,以下是一个简单的sudoers文件配置示例。这意味着airflow用户必须被信任,并享有与root用户相同的权限。
airflow ALL=(ALL) NOPASSWD: ALL
使用模拟身份的子任务仍会记录到同一文件夹,不同之处在于它们所记录的文件权限将被修改,仅允许对应的Unix用户写入。
默认模拟¶
为了防止不使用模拟身份的任务以sudo权限运行,您可以设置core:default_impersonation配置项,当未设置run_as_user时,该配置会指定默认的用户模拟身份。
[core]
default_impersonation = airflow