文档章节

Zookeeper ACL

China_OS
 China_OS
发布于 2017/07/12 17:46
字数 1143
阅读 193
收藏 0
点赞 1
评论 0

背景

        开源的大数据组件中很多都使用到了zookeeper,我们目前在生产环境中就部署了多套zookeeper,如何服务共用,节省资源不得不考虑起来了,怎样把多套zookeeper合并成一套?怎么做不同项目之间的权限划分?

ACL介绍

        zookeeper本身支持一套简单的ACL机制,为什么说简单呢?因为:

            1    ACL在znode上无继承性,也就是说子znode不会继承父znode的ACL权限

            2    zookeeper client即使访问不了父znode,也不代表就访问不了子znode,因为子znode并不继承父znode的ACL

            3    为znode设置ACL后,不能修改ACL的权限

        zookeeper的ACL机制,表现模式为scheme:id:permissions

            1    第一个scheme表示采用哪一种授权机制,zookeeper总共提供了四种机制

                    world:下面只有一个id,叫anyone,world:anyone代表任何人,zookeeper中对所有人有权限的结点就是属于world:anyone类型的。创建节点的默认权限。有唯一的id是anyone授权的时候的模式为 world:anyone:rwadc 表示所有人都对这个节点有rwadc的权限。

                    auth:不需要id,只要是通过authentication的user都有权限(zookeeper支持通过kerberos来进行authencation, 也支持username/password形式的authentication)。

                    digest:它对应的id为username:BASE64(SHA1(password)),它需要先通过加密过的username:password形式的authentication。

                    ip:它对应的id为客户机的IP地址,设置的时候可以设置一个ip段,比如ip:192.168.1.0/16。

                    super:在这种scheme情况下,对应的id拥有超级权限,可以做任何事情(cdrwa)。

            2    第二个id表示用户

                    通过zkCli.sh设置acl时,scheme是digest的时候,id需要密文,通过Zookeeper的客户端编码方式添加认证,digest对应的auth数据是明文。

            3    第三个permissions表示相关权限,zookeeper总共提供了五种权限

权限 说明 简写
CREATE 可以创建子节点 c
READ 可以获取节点数据以及当前节点的子节点列表 r
WRITE 可以为节点设置数据 w
DELETE 可以删除节点 d
ADMIN 可以为节点设置权限 a

Znode类型

        ZooKeeper的znode是有生命周期的,这取决于znode的类型。在 ZooKeeper 中,znode类型可以分为持久节点(PERSISTENT )、临时节点(EPHEMERAL),以及时序节点(SEQUENTIAL ),具体在节点创建过程中,一般是组合使用,可以生成以下 4 种节点类型。

  1.         持久节点(PERSISTENT):是指在节点创建后,就一直存在,直到有删除操作来主动清除这个节点——不会因为创建该节点的客户端会话失效而消失
  2.         持久顺序节点(PERSISTENT_SEQUENTIAL):这类节点的基本特性和上面的节点类型是一致的。额外的特性是,在ZK中,每个父节点会为他的第一级子节点维护一份时序,会记录每个子节点创建的先后顺序。基于这个特性,在创建子节点的时候,可以设置这个属性,那么在创建节点过程中,ZK会自动为给定节点名加上一个数字后缀,作为新的节点名。这个数字后缀的范围是整型的最大值
  3.         临时节点(EPHEMERAL):临时节点的生命周期和客户端会话绑定。也就是说,如果客户端会话失效,那么这个节点就会自动被清除掉。注意,这里提到的是会话失效,而非连接断开。另外,在临时节点下面不能创建子节点。
  4.         临时顺序节点(EPHEMERAL_SEQUENTIAL):临时节点的生命周期和客户端会话绑定。也就是说,如果客户端会话失效,那么这个节点就会自动被清除掉。注意创建的节点会自动加上编号

测试环境

    OS:CentOS release 6.7

    JDK:1.8.0_131

    Zookeeper:3.4.5

实验

    安装

yum install zookeeper-server zookeeper

   

    初始化

/etc/init.d/zookeeper-server init
/etc/init.d/zookeeper-server start

    auth类型授权

        操作

create /test1 test1
addauth digest guol:guol
setAcl /test1 auth:guol:guol:rwadc
getAcl /test1

        验证

    digest类型授权

        生产加密密码

java -cp "/usr/lib/zookeeper/zookeeper.jar:/usr/lib/zookeeper/lib/slf4j-api-1.7.5.jar" org.apache.zookeeper.server.auth.DigestAuthenticationProvider root:dalu

        操作

create /test2 test2
setAcl /test2 digest:root:jalRr+knv/6L2uXdenC93dEDNuE=:rwdca

        验证

    超级用户设置

        修改/etc/default/zookeeper文件

export SERVER_JVMFLAGS="-Dzookeeper.DigestAuthenticationProvider.superDigest=super:yrD9j2KaTub9u/v4fqRUhV9aNLg="

        创建super用户

java -cp "/usr/lib/zookeeper/zookeeper.jar:/usr/lib/zookeeper/lib/slf4j-api-1.7.5.jar" org.apache.zookeeper.server.auth.DigestAuthenticationProvider super:guodalu

       

        重启zookeeper

/etc/init.d/zookeeper-server restart

        验证

ls /test2
addauth digest super:guodalu
getAcl /test2

 

 

© 著作权归作者所有

共有 人打赏支持
China_OS
粉丝 400
博文 383
码字总数 483581
作品 0
徐汇
技术主管
ZooKeeper学习笔记三 ZooKeeper与Paxos

本文学习内容来自: 《从Paxos到ZooKeeper分布式一致性原理与实践》 电子工业出版社 Apache ZooKeeper是由Apache Hadoop的子项目发展而来,于2010年11月正式成为了Apache的顶级项目。ZooKeep...

xundh ⋅ 04/27 ⋅ 0

zookeeper错误:KeeperErrorCode = NoChildrenForEphemerals的原因

zookeeper错误:zookeeper.KeeperException$NoChildrenForEphemera: KeeperErrorCode = NoChildrenForEphemerals 我在构建父节点的时候zookeeper.create(ZKPATH, ZKPATH.getBytes(), Ids.O......

xiaomin0322 ⋅ 05/09 ⋅ 0

ZooKeeper教程资源收集(简介/原理/示例/解决方案)

菩提树下的杨过: ZooKeeper 笔记(1) 安装部署及hello world ZooKeeper 笔记(2) 监听数据变化 ZooKeeper 笔记(3) 实战应用之【统一配置管理】 ZooKeeper 笔记(4) 实战应用之【消除单点故障】...

easonjim ⋅ 2017/09/05 ⋅ 0

ZooKeeper学习笔记四 ZooKeeper基本使用

Windows单机版本安装 下载zookeeper windows3.3.6 把conf/zoo_sample.cfg改名为zoo.cfg 1、tickTime:这个时间是作为Zookeeper 服务器之间或客户端与服务器之间维持心跳的时间间隔,也就是每...

xundh ⋅ 04/27 ⋅ 0

Apache Curator操作zookeeper的API使用

curator简介与客户端之间的异同点 常用的zookeeper java客户端: zookeeper原生Java API zkclient Apache curator ZooKeeper原生Java API的不足之处: 在连接zk超时的时候,不支持自动重连,...

ZeroOne01 ⋅ 04/29 ⋅ 0

Apache Curator操作zookeeper的API使用

curator简介与客户端之间的异同点 常用的zookeeper java客户端: zookeeper原生Java API zkclient Apache curator ZooKeeper原生Java API的不足之处: 在连接zk超时的时候,不支持自动重连,...

ZeroOne01 ⋅ 04/29 ⋅ 0

Zookeeper在yarn框架中如何实现避免脑裂的?

在yarn框架的resourcemanager中利用zookeeper节点的ACL权限信息实现。 假设yarn集群中有两个resourcemanager:不同的resourcemanager之间是通过竞争创建锁节点实现准备状态的确定。假设当前有...

无精疯 ⋅ 05/05 ⋅ 0

zk Acl权限:只有一个账号有所有权限,匿名用户只有读权限

起因 最近在做多租户改造,租户使用的配置项都要放到zk上(如数据库配置、redis配置、阿里oss配置、每个租户的域名配置等),每个子系统去zk读取配置。当配置信息改变时,通过zk的watch机制,...

安小乐 ⋅ 05/17 ⋅ 0

ZooKeeper学习笔记十三 分布式系统中基于ZooKeeper的服务注册中心设计

本文学习资源来自《分布式服务框架原理与实践》中国工信出版信息、电子工业出版社 一、服务注册中心 对于服务提供者,它需要发布服务;由于应用系统的复杂性,服务的数量、类型不断膨胀;对于...

xundh ⋅ 05/04 ⋅ 0

Zookeeper系列一:Zookeeper基础命令操作

有些事不是努力就可以改变的,五十块的人民币设计的再好看,也没有一百块的招人喜欢。 ![https://raw.githubusercontent.com/longfeizheng/longfeizheng.github.io/master/images/spring-sec...

郑龙飞 ⋅ 06/03 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

005. 深入JVM学习—Java堆内存参数调整

1. JVM整体内存调整图解(调优关键) 实际上每一块子内存区域都会存在一部分可变伸缩区域,其基本流程:如果内存空间不足,则在可变的范围之内扩大内存空间,当一段时间之后,内存空间不紧张...

影狼 ⋅ 14分钟前 ⋅ 0

内存障碍: 软件黑客的硬件视图

此文为笔者近日有幸看到的一则关于计算机底层内存障碍的学术论文,并翻译(机译)而来[自认为翻译的还行],若读者想要英文原版的论文话,给我留言,我发给你。 内存障碍: 软件黑客的硬件视图...

Romane ⋅ 48分钟前 ⋅ 0

SpringCloud 微服务 (七) 服务通信 Feign

壹 继续第(六)篇RestTemplate篇 做到现在,本机上已经有注册中心: eureka, 服务:client、order、product 继续在order中实现通信向product服务,使用Feign方式 下面记录学习和遇到的问题 贰 or...

___大侠 ⋅ 今天 ⋅ 0

gitee、github上issue标签方案

目录 [TOC] issue生命周期 st=>start: 开始e=>end: 结束op0=>operation: 新建issueop1=>operation: 评审issueop2=>operation: 任务负责人执行任务cond1=>condition: 是否通过?op3=>o......

lovewinner ⋅ 今天 ⋅ 0

浅谈mysql的索引设计原则以及常见索引的区别

索引定义:是一个单独的,存储在磁盘上的数据库结构,其包含着对数据表里所有记录的引用指针. 数据库索引的设计原则: 为了使索引的使用效率更高,在创建索引时,必须考虑在哪些字段上创建索...

屌丝男神 ⋅ 今天 ⋅ 0

String,StringBuilder,StringBuffer三者的区别

这三个类之间的区别主要是在两个方面,即运行速度和线程安全这两方面。 首先说运行速度,或者说是, 1.执行速度 在这方面运行速度快慢为:StringBuilder(线程不安全,可变) > StringBuffer...

时刻在奔跑 ⋅ 今天 ⋅ 0

java以太坊开发 - web3j使用钱包进行转账

首先载入钱包,然后利用账户凭证操作受控交易Transfer进行转账: Web3j web3 = Web3j.build(new HttpService()); // defaults to http://localhost:8545/Credentials credentials = Wallet......

以太坊教程 ⋅ 今天 ⋅ 0

Oracle全文检索配置与实践

Oracle全文检索配置与实践

微小宝 ⋅ 今天 ⋅ 0

mysql的分区和分表

1,什么是mysql分表,分区 什么是分表,从表面意思上看呢,就是把一张表分成N多个小表,具体请看mysql分表的3种方法 什么是分区,分区呢就是把一张表的数据分成N多个区块,这些区块可以在同一...

梦梦阁 ⋅ 今天 ⋅ 0

exception.ZuulException: Forwarding error

错误日志 com.netflix.zuul.exception.ZuulException: Forwarding error Caused by: com.netflix.hystrix.exception.HystrixRuntimeException: xxx timed-out and no fallback available. Ca......

jack_peng ⋅ 今天 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部