工作负载¶
本主题介绍如何配置 Airflow 以保护您的工作负载。
模拟¶
Airflow 能够在运行任务实例时模拟 Unix 用户,基于任务的 run_as_user 参数,该参数接受用户名。
**注意:** 要使模拟正常工作,Airflow 需要 sudo,因为子任务使用 sudo -u 运行,并且文件的权限会发生变化。此外,Unix 用户需要存在于工作节点上。假设 airflow 以 airflow 用户身份运行,则以下是实现此目的的简单 sudoers 文件条目示例。这意味着必须信任 airflow 用户,并像对待 root 用户一样对待它。
airflow ALL=(ALL) NOPASSWD: ALL
具有模拟功能的子任务仍将记录到同一文件夹,但它们记录到的文件的权限将发生变化,以便只有 Unix 用户才能写入该文件。
默认模拟¶
为了防止不使用模拟的任务以 sudo 权限运行,您可以设置 core:default_impersonation 配置,如果未设置 run_as_user,则该配置将设置默认用户模拟。
[core]
default_impersonation = airflow