Zookeeper ACL

原创
2017/07/12 17:46
阅读数 4.6K

背景

        开源的大数据组件中很多都使用到了zookeeper,我们目前在生产环境中就部署了多套zookeeper,如何服务共用,节省资源不得不考虑起来了,怎样把多套zookeeper合并成一套?怎么做不同项目之间的权限划分?

ACL介绍

        zookeeper本身支持一套简单的ACL机制,为什么说简单呢?因为:

            1    ACL在znode上无继承性,也就是说子znode不会继承父znode的ACL权限

            2    zookeeper client即使访问不了父znode,也不代表就访问不了子znode,因为子znode并不继承父znode的ACL

            3    为znode设置ACL后,不能修改ACL的权限

        zookeeper的ACL机制,表现模式为scheme:id:permissions

            1    第一个scheme表示采用哪一种授权机制,zookeeper总共提供了四种机制

                    world:下面只有一个id,叫anyone,world:anyone代表任何人,zookeeper中对所有人有权限的结点就是属于world:anyone类型的。创建节点的默认权限。有唯一的id是anyone授权的时候的模式为 world:anyone:rwadc 表示所有人都对这个节点有rwadc的权限。

                    auth:不需要id,只要是通过authentication的user都有权限(zookeeper支持通过kerberos来进行authencation, 也支持username/password形式的authentication)。

                    digest:它对应的id为username:BASE64(SHA1(password)),它需要先通过加密过的username:password形式的authentication。

                    ip:它对应的id为客户机的IP地址,设置的时候可以设置一个ip段,比如ip:192.168.1.0/16。

                    super:在这种scheme情况下,对应的id拥有超级权限,可以做任何事情(cdrwa)。

            2    第二个id表示用户

                    通过zkCli.sh设置acl时,scheme是digest的时候,id需要密文,通过Zookeeper的客户端编码方式添加认证,digest对应的auth数据是明文。

            3    第三个permissions表示相关权限,zookeeper总共提供了五种权限

权限 说明 简写
CREATE 可以创建子节点 c
READ 可以获取节点数据以及当前节点的子节点列表 r
WRITE 可以为节点设置数据 w
DELETE 可以删除节点 d
ADMIN 可以为节点设置权限 a

Znode类型

        ZooKeeper的znode是有生命周期的,这取决于znode的类型。在 ZooKeeper 中,znode类型可以分为持久节点(PERSISTENT )、临时节点(EPHEMERAL),以及时序节点(SEQUENTIAL ),具体在节点创建过程中,一般是组合使用,可以生成以下 4 种节点类型。

  1.         持久节点(PERSISTENT):是指在节点创建后,就一直存在,直到有删除操作来主动清除这个节点——不会因为创建该节点的客户端会话失效而消失
  2.         持久顺序节点(PERSISTENT_SEQUENTIAL):这类节点的基本特性和上面的节点类型是一致的。额外的特性是,在ZK中,每个父节点会为他的第一级子节点维护一份时序,会记录每个子节点创建的先后顺序。基于这个特性,在创建子节点的时候,可以设置这个属性,那么在创建节点过程中,ZK会自动为给定节点名加上一个数字后缀,作为新的节点名。这个数字后缀的范围是整型的最大值
  3.         临时节点(EPHEMERAL):临时节点的生命周期和客户端会话绑定。也就是说,如果客户端会话失效,那么这个节点就会自动被清除掉。注意,这里提到的是会话失效,而非连接断开。另外,在临时节点下面不能创建子节点。
  4.         临时顺序节点(EPHEMERAL_SEQUENTIAL):临时节点的生命周期和客户端会话绑定。也就是说,如果客户端会话失效,那么这个节点就会自动被清除掉。注意创建的节点会自动加上编号

测试环境

    OS:CentOS release 6.7

    JDK:1.8.0_131

    Zookeeper:3.4.5

实验

    安装

yum install zookeeper-server zookeeper

   

    初始化

/etc/init.d/zookeeper-server init
/etc/init.d/zookeeper-server start

    auth类型授权

        操作

create /test1 test1
addauth digest guol:guol
setAcl /test1 auth:guol:guol:rwadc
getAcl /test1

        验证

    digest类型授权

        生产加密密码

java -cp "/usr/lib/zookeeper/zookeeper.jar:/usr/lib/zookeeper/lib/slf4j-api-1.7.5.jar" org.apache.zookeeper.server.auth.DigestAuthenticationProvider root:dalu

        操作

create /test2 test2
setAcl /test2 digest:root:jalRr+knv/6L2uXdenC93dEDNuE=:rwdca

        验证

    超级用户设置

        修改/etc/default/zookeeper文件

export SERVER_JVMFLAGS="-Dzookeeper.DigestAuthenticationProvider.superDigest=super:yrD9j2KaTub9u/v4fqRUhV9aNLg="

        创建super用户

java -cp "/usr/lib/zookeeper/zookeeper.jar:/usr/lib/zookeeper/lib/slf4j-api-1.7.5.jar" org.apache.zookeeper.server.auth.DigestAuthenticationProvider super:guodalu

       

        重启zookeeper

/etc/init.d/zookeeper-server restart

        验证

ls /test2
addauth digest super:guodalu
getAcl /test2

 

 

展开阅读全文
打赏
2
0 收藏
分享
加载中
更多评论
打赏
0 评论
0 收藏
2
分享
返回顶部
顶部