共计 6026 个字符,预计需要花费 16 分钟才能阅读完成。
Zookeeper 的 ACL 机制和 Quota 机制网上资料较少,这里做一个总结,以供大家参考。
1 Zookeeper ACL
ZooKeeper 的权限管理亦即 ACL 控制功能通过 Server、Client 两端协调完成:
Server 端:
一个 ZooKeeper 的节点(znode)存储两部分内容:数据和状态,状态中包含 ACL 信息。创建一个 znode 会产生一个 ACL 列表,列表中每个 ACL 包括:
- 验证模式 (scheme)
- 具体内容 (Id)(当 scheme=“digest”时,Id 为用户名密码,例如“root:J0sTy9BCUKubtK1y8pkbL7qoxSw=”)
- 权限 (perms)
1.1 scheme
ZooKeeper 提供了如下几种验证模式(scheme):
- digest:Client 端由用户名和密码验证,譬如 user:password,digest 的密码生成方式是 Sha1 摘要的 base64 形式
- auth:不使用任何 id,代表任何已确认用户。
- ip:Client 端由 IP 地址验证,譬如 172.2.0.0/24
- world:固定用户为 anyone,为所有 Client 端开放权限
- super:在这种 scheme 情况下,对应的 id 拥有超级权限,可以做任何事情 (cdrwa)
注意的是,exists 操作和 getAcl 操作并不受 ACL 许可控制,因此任何客户端可以查询节点的状态和节点的 ACL。
节点的权限(perms)主要有以下几种:
- Create 允许对子节点 Create 操作
- Read 允许对本节点 GetChildren 和 GetData 操作
- Write 允许对本节点 SetData 操作
- Delete 允许对子节点 Delete 操作
- Admin 允许对本节点 setAcl 操作
Znode ACL 权限用一个 int 型数字 perms 表示,perms 的 5 个二进制位分别表示 setacl、delete、create、write、read。比如 0x1f=adcwr,0x1=—-r,0x15=a-c-r。
1.1.1 world scheme 固定 id 为 anyone,表示对所有 Client 端开放权限:
[zk: localhost:2181(CONNECTED) 13] create /123 “123”
Created /123
[zk: localhost:2181(CONNECTED) 14] getAcl /123
‘world,’anyone
: cdrwa
1.1.2 ip scheme 设置可以访问的 ip 地址(比如 127.0.0.1)或 ip 地址段(比如 192.168.1.0/16)
10.194.157.58 这台机器上创建 /test 并设置 ip 访问权限
[zk: 10.194.157.58:2181(CONNECTED) 0] create /test “123”
Created /test
[zk: 10.194.157.58:2181(CONNECTED) 1] setAcl /test ip:10.194.157.58:crwda
cZxid = 0x740021e467
ctime = Wed Dec 02 18:09:09 CST 2015
mZxid = 0x740021e467
mtime = Wed Dec 02 18:09:09 CST 2015
pZxid = 0x740021e467
cversion = 0
dataVersion = 0
aclVersion = 1
ephemeralOwner = 0x0
dataLength = 5
numChildren = 0
[zk: 10.194.157.58:2181(CONNECTED) 2] ls /test
[]
可以看到,本机是可以访问的。
在 10.205.148.152 上登陆
[zk: 10.194.157.58:2181(CONNECTED) 1] ls /test
Authentication is not valid : /test
可以看到,连接的 ip 不在授权中,提示访问错误。
1.1.3 digest scheme 的 id 表示为 username:BASE64(SHA1(password))
[root@rocket zookeeper-server1]# cd /usr/local/zookeeper-server1/
[root@rocket zookeeper-server1]# pwd
/usr/local/zookeeper-server1
# 生成密文
[root@rocket zookeeper-server1]# Java -cp ./zookeeper-3.4.6.jar:./lib/log4j-1.2.16.jar:./lib/slf4j-log4j12-1.6.1.jar:./lib/slf4j-api-1.6.1.jar org.apache.zookeeper.server.auth.DigestAuthenticationProvider test:test
test:test->test:V28q/NynI4JI3Rk54h0r8O5kMug=
创建 acl
通过认证后,可以访问数据:
[zk: localhost:2181(CONNECTED) 0]
[zk: localhost:2181(CONNECTED) 0] ls /test_acl
Authentication is not valid : /test_acl
[zk: localhost:2181(CONNECTED) 1] getAcl /test_acl
‘digest,’test:V28q/NynI4JI3Rk54h0r8O5kMug=
: cdrwa
[zk: localhost:2181(CONNECTED) 2] addauth digest test:test
[zk: localhost:2181(CONNECTED) 3] ls /test_acl
[]
[zk: localhost:2181(CONNECTED) 4] get /test_acl
“test”
cZxid = 0x33
ctime = Wed Dec 02 00:10:47 PST 2015
mZxid = 0x33
mtime = Wed Dec 02 00:10:47 PST 2015
pZxid = 0x33
cversion = 0
dataVersion = 0
aclVersion = 1
ephemeralOwner = 0x0
dataLength = 6
numChildren = 0
1.2 SuperDigest 超级管理员
当设置了 znode 权限,但是密码忘记了怎么办?还好 Zookeeper 提供了超级管理员机制。
一次 Client 对 znode 进行操作的验证 ACL 的方式为:
a) 遍历 znode 的所有 ACL:
i. 对于每一个 ACL,首先操作类型与权限(perms)匹配
ii. 只有匹配权限成功才进行 session 的 auth 信息与 ACL 的用户名、密码匹配
b) 如果两次匹配都成功,则允许操作;否则,返回权限不够 error(rc=-102)
备注:如果 znode ACL List 中任何一个 ACL 都没有 setAcl 权限,那么就算 superDigest 也修改不了它的权限;再假如这个 znode 还不开放 delete 权限,那么它的所有子节点都将不会被删除。唯一的办法是通过手动删除 snapshot 和 log 的方法,将 ZK 回滚到一个以前的状态,然后重启,当然这会影响到该 znode 以外其它节点的正常应用。
superDigest 设置的步骤
修改 zkServer.sh,加入 super 权限设置
-Dzookeeper.DigestAuthenticationProvider.superDigest=super:gG7s8t3oDEtIqF6DM9LlI/R+9Ss=
重新启动 Zookeeper
# ./zkServer.sh restart
这时候
不使用 test:test 进行认证,而是使用 super:super 进行认证:
[zk: localhost:2181(CONNECTED) 0] ls /test_acl
Authentication is not valid : /test_acl
[zk: localhost:2181(CONNECTED) 1] addauth digest super:super
[zk: localhost:2181(CONNECTED) 2] ls /test_acl
[]
[zk: localhost:2181(CONNECTED) 3] get /test_acl
“test”
cZxid = 0x33
ctime = Wed Dec 02 00:10:47 PST 2015
mZxid = 0x33
mtime = Wed Dec 02 00:10:47 PST 2015
pZxid = 0x33
cversion = 0
dataVersion = 0
aclVersion = 1
ephemeralOwner = 0x0
dataLength = 6
numChildren = 0
1.3 ACL 机制的缺陷
然而,ACL 毕竟仅仅是访问控制,并非完善的权限管理,通过这种方式做多集群隔离,还有很多局限性:
ACL 并无递归机制,任何一个 znode 创建后,都需要单独设置 ACL,无法继承父节点的 ACL 设置。
除了 ip 这种 scheme,digest 和 auth 的使用对用户都不是透明的,这也给使用带来了很大的成本,很多依赖 zookeeper 的开源框架也没有加入对 ACL 的支持,例如 hbase,storm。
2 Zookeeper quota
ZooKeeper quota 机制支持节点个数(znode)和空间大小(字节数)。
[zk: localhost:2181(CONNECTED) 2] create /test_quota “12345”
Created /test_quota
[zk: localhost:2181(CONNECTED) 3] listquota /test_quota
absolute path is /zookeeper/quota/test_quota/zookeeper_limits
quota for /test_quota does not exist.
# 这里看到 quota 还没有设置
[zk: localhost:2181(CONNECTED) 4] setquota -n 5 /test_quota
Comment: the parts are option -n val 5 path /test_quota
# - n 表示设置 znode count 限制,这里表示 /test_quota 这个 path 下的 znode count 个数限制为 5(包括 /test_quota 本身)
# -b 表示设置 znode 数据的字节大小限制,这里不做演示了,有兴趣的同学下去自己实验
[zk: localhost:2181(CONNECTED) 5] listquota /test_quota
absolute path is /zookeeper/quota/test_quota/zookeeper_limits
Output quota for /test_quota count=5,bytes=-1 # 限制 znode count 为 5
Output stat for /test_quota count=1,bytes=7 # 目前 znode count 为 1
[zk: localhost:2181(CONNECTED) 3] create /test_quota/0 “0”
Created /test_quota/0
[zk: localhost:2181(CONNECTED) 6] create /test_quota/1 “1”
Created /test_quota/1
[zk: localhost:2181(CONNECTED) 7] create /test_quota/2 “2”
Created /test_quota/2
[zk: localhost:2181(CONNECTED) 8] create /test_quota/3 “3”
Created /test_quota/3
[zk: localhost:2181(CONNECTED) 9] create /test_quota/4 “4”
Created /test_quota/4
# 上面新建了多个 znode
看 zookeeper 的日志,发现有 Quota exceeded 的日志,这里要说明一下 zookeeper 的 Quota 机制是比较温和的,即使超限了,只是在日志中报告一下,并不会限制 Client 的行为,Client 可以继续操作 znode。
在实际项目中,Client 可以查看 /zookeeper/quota 目录下的数据来确定是否超出 quota 限制,由此来做一些告警。
[zk: localhost:2181(CONNECTED) 4] get /zookeeper/quota/test_quota/zookeeper_limits
count=5,bytes=-1
[zk: localhost:2181(CONNECTED) 5] get /zookeeper/quota/test_quota/zookeeper_stats
count=7,bytes=25
————————————– 分割线 ————————————–
Ubuntu 14.04 安装分布式存储 Sheepdog+ZooKeeper http://www.linuxidc.com/Linux/2014-12/110352.htm
CentOS 6 安装 sheepdog 虚拟机分布式储存 http://www.linuxidc.com/Linux/2013-08/89109.htm
ZooKeeper 集群配置 http://www.linuxidc.com/Linux/2013-06/86348.htm
使用 ZooKeeper 实现分布式共享锁 http://www.linuxidc.com/Linux/2013-06/85550.htm
分布式服务框架 ZooKeeper — 管理分布式环境中的数据 http://www.linuxidc.com/Linux/2013-06/85549.htm
ZooKeeper 集群环境搭建实践 http://www.linuxidc.com/Linux/2013-04/83562.htm
ZooKeeper 服务器集群环境配置实测 http://www.linuxidc.com/Linux/2013-04/83559.htm
ZooKeeper 集群安装 http://www.linuxidc.com/Linux/2012-10/72906.htm
Zookeeper3.4.6 的安装 http://www.linuxidc.com/Linux/2015-05/117697.htm
————————————– 分割线 ————————————–
本文永久更新链接地址 :http://www.linuxidc.com/Linux/2016-01/127432.htm
