工作負載¶
本主題介紹如何配置 Airflow 以保護您的工作負載。
模擬¶
Airflow 能夠根據任務的 run_as_user 引數(該引數接受使用者名稱)在執行任務例項時模擬 Unix 使用者。
注意:為了使模擬正常工作,Airflow 需要 sudo,因為子任務會使用 sudo -u 執行,並且會更改檔案的許可權。此外,該 Unix 使用者需要存在於 worker 上。以下是一個簡單的 sudoers 檔案條目,可以實現此目的,假設 airflow 使用者正在執行 Airflow。這意味著 airflow 使用者必須是受信任的,並與 root 使用者享有同等待遇。
airflow ALL=(ALL) NOPASSWD: ALL
進行模擬的子任務仍將日誌記錄到同一資料夾中,不同之處在於,日誌檔案的許可權會更改,以便只有該 Unix 使用者才能寫入。
預設模擬¶
為了防止不使用模擬的任務以 sudo 許可權執行,您可以設定 core:default_impersonation 配置,該配置會在未設定 run_as_user 時設定一個預設的使用者進行模擬。
[core]
default_impersonation = airflow