文档章节

Zookeeper ACL

China_OS
 China_OS
发布于 2017/07/12 17:46
字数 1143
阅读 396
收藏 0

背景

        开源的大数据组件中很多都使用到了zookeeper,我们目前在生产环境中就部署了多套zookeeper,如何服务共用,节省资源不得不考虑起来了,怎样把多套zookeeper合并成一套?怎么做不同项目之间的权限划分?

ACL介绍

        zookeeper本身支持一套简单的ACL机制,为什么说简单呢?因为:

            1    ACL在znode上无继承性,也就是说子znode不会继承父znode的ACL权限

            2    zookeeper client即使访问不了父znode,也不代表就访问不了子znode,因为子znode并不继承父znode的ACL

            3    为znode设置ACL后,不能修改ACL的权限

        zookeeper的ACL机制,表现模式为scheme:id:permissions

            1    第一个scheme表示采用哪一种授权机制,zookeeper总共提供了四种机制

                    world:下面只有一个id,叫anyone,world:anyone代表任何人,zookeeper中对所有人有权限的结点就是属于world:anyone类型的。创建节点的默认权限。有唯一的id是anyone授权的时候的模式为 world:anyone:rwadc 表示所有人都对这个节点有rwadc的权限。

                    auth:不需要id,只要是通过authentication的user都有权限(zookeeper支持通过kerberos来进行authencation, 也支持username/password形式的authentication)。

                    digest:它对应的id为username:BASE64(SHA1(password)),它需要先通过加密过的username:password形式的authentication。

                    ip:它对应的id为客户机的IP地址,设置的时候可以设置一个ip段,比如ip:192.168.1.0/16。

                    super:在这种scheme情况下,对应的id拥有超级权限,可以做任何事情(cdrwa)。

            2    第二个id表示用户

                    通过zkCli.sh设置acl时,scheme是digest的时候,id需要密文,通过Zookeeper的客户端编码方式添加认证,digest对应的auth数据是明文。

            3    第三个permissions表示相关权限,zookeeper总共提供了五种权限

权限 说明 简写
CREATE 可以创建子节点 c
READ 可以获取节点数据以及当前节点的子节点列表 r
WRITE 可以为节点设置数据 w
DELETE 可以删除节点 d
ADMIN 可以为节点设置权限 a

Znode类型

        ZooKeeper的znode是有生命周期的,这取决于znode的类型。在 ZooKeeper 中,znode类型可以分为持久节点(PERSISTENT )、临时节点(EPHEMERAL),以及时序节点(SEQUENTIAL ),具体在节点创建过程中,一般是组合使用,可以生成以下 4 种节点类型。

  1.         持久节点(PERSISTENT):是指在节点创建后,就一直存在,直到有删除操作来主动清除这个节点——不会因为创建该节点的客户端会话失效而消失
  2.         持久顺序节点(PERSISTENT_SEQUENTIAL):这类节点的基本特性和上面的节点类型是一致的。额外的特性是,在ZK中,每个父节点会为他的第一级子节点维护一份时序,会记录每个子节点创建的先后顺序。基于这个特性,在创建子节点的时候,可以设置这个属性,那么在创建节点过程中,ZK会自动为给定节点名加上一个数字后缀,作为新的节点名。这个数字后缀的范围是整型的最大值
  3.         临时节点(EPHEMERAL):临时节点的生命周期和客户端会话绑定。也就是说,如果客户端会话失效,那么这个节点就会自动被清除掉。注意,这里提到的是会话失效,而非连接断开。另外,在临时节点下面不能创建子节点。
  4.         临时顺序节点(EPHEMERAL_SEQUENTIAL):临时节点的生命周期和客户端会话绑定。也就是说,如果客户端会话失效,那么这个节点就会自动被清除掉。注意创建的节点会自动加上编号

测试环境

    OS:CentOS release 6.7

    JDK:1.8.0_131

    Zookeeper:3.4.5

实验

    安装

yum install zookeeper-server zookeeper

   

    初始化

/etc/init.d/zookeeper-server init
/etc/init.d/zookeeper-server start

    auth类型授权

        操作

create /test1 test1
addauth digest guol:guol
setAcl /test1 auth:guol:guol:rwadc
getAcl /test1

        验证

    digest类型授权

        生产加密密码

java -cp "/usr/lib/zookeeper/zookeeper.jar:/usr/lib/zookeeper/lib/slf4j-api-1.7.5.jar" org.apache.zookeeper.server.auth.DigestAuthenticationProvider root:dalu

        操作

create /test2 test2
setAcl /test2 digest:root:jalRr+knv/6L2uXdenC93dEDNuE=:rwdca

        验证

    超级用户设置

        修改/etc/default/zookeeper文件

export SERVER_JVMFLAGS="-Dzookeeper.DigestAuthenticationProvider.superDigest=super:yrD9j2KaTub9u/v4fqRUhV9aNLg="

        创建super用户

java -cp "/usr/lib/zookeeper/zookeeper.jar:/usr/lib/zookeeper/lib/slf4j-api-1.7.5.jar" org.apache.zookeeper.server.auth.DigestAuthenticationProvider super:guodalu

       

        重启zookeeper

/etc/init.d/zookeeper-server restart

        验证

ls /test2
addauth digest super:guodalu
getAcl /test2

 

 

© 著作权归作者所有

共有 人打赏支持
China_OS
粉丝 410
博文 447
码字总数 499779
作品 0
徐汇
技术主管
ZooKeeper学习第六期---ZooKeeper机制架构

一、ZooKeeper权限管理机制  1.1 权限管理ACL(Access Control List)  ZooKeeper 的权限管理亦即ACL 控制功能,使用ACL来对Znode进行访问控制。ACL的实现和Unix文件访问许可非常相似:它使用...

卯金刀GG
2017/10/25
0
0
ZooKeeper开发手册中文翻译

本文Github地址:https://github.com/sundiontheway/zookeeper-guide-cn 本文假设你已经具有一定分布式计算的基础知识。你将在第一部分看到以下内容: ZooKeeper数据模型 ZooKeeper Sessions...

__Steve__
2014/11/19
0
16
ZooKeeper学习笔记三 ZooKeeper与Paxos

本文学习内容来自: 《从Paxos到ZooKeeper分布式一致性原理与实践》 电子工业出版社 Apache ZooKeeper是由Apache Hadoop的子项目发展而来,于2010年11月正式成为了Apache的顶级项目。ZooKeep...

xundh
04/27
0
0
【分布式协调zookeeper】基础篇

一、zookeeper介绍 它是一个为分布式应用提供一致性服务的软件,提供的功能包括:配置维护、名字服务、分布式同步、组服务等 zookeeper做了什么? 1.命名服务 2.配置管理 3.集群管理 4.分布式...

次渠龙哥
06/26
0
0
zookeeper conceptual

Zookeeper 数据模型 Zookeeper 拥有着类似文件系统的命名空间,唯一的区别是在命名空间下的每一个节点都有数据和他关联 Znodes zookeeper 的节点 znode, znode 维护着一些列状态信息 包含数据...

triankg
2014/01/13
0
0

没有更多内容

加载失败,请刷新页面

加载更多

Bash各类扩展详解

Bash各类扩展详解 Bash中主要包括大括号扩展、波浪号扩展、变量扩展、子命令扩展、文件名扩展和算数扩展。这些扩展组合在一起为Bash带来了极大的易用性。掌握这些扩展的用法和功能,能够为B...

小陶小陶
59分钟前
1
0
EventBus原理深度解析

一、问题描述 在工作中,经常会遇见使用异步的方式来发送事件,或者触发另外一个动作:经常用到的框架是MQ(分布式方式通知)。如果是同一个jvm里面通知的话,就可以使用EventBus。由于Event...

yangjianzhou
今天
5
0
OpenCV图像处理实例:libuv+cvui显示摄像头视频

#include <iostream>#include <opencv2/opencv.hpp>#define CVUI_IMPLEMENTATION#include <cvui.h>extern "C"{#include <uv.h>}using namespace std;#define WINDOW_NAM......

IOTService
今天
3
0
openJDK之JDK9的String

1.openJDK8的String 先来看下openJDK8的String的底层,如下图1.1所示: 图1.1 底层上使用的是char[],即char数组 每个char占16个bit,Character.SIZE的值是16。 2.openJDK9中的String 图2.1...

克虏伯
今天
3
0
UEFI 模式下如何安装 Ubuntu 16.04

作者:知乎用户 链接:https://www.zhihu.com/question/52092661/answer/259583475 来源:知乎 著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。 针对UEFI模式下安装U...

寻知者
今天
3
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部