文档章节

Zookeeper ACL

China_OS
 China_OS
发布于 2017/07/12 17:46
字数 1143
阅读 533
收藏 0

背景

        开源的大数据组件中很多都使用到了zookeeper,我们目前在生产环境中就部署了多套zookeeper,如何服务共用,节省资源不得不考虑起来了,怎样把多套zookeeper合并成一套?怎么做不同项目之间的权限划分?

ACL介绍

        zookeeper本身支持一套简单的ACL机制,为什么说简单呢?因为:

            1    ACL在znode上无继承性,也就是说子znode不会继承父znode的ACL权限

            2    zookeeper client即使访问不了父znode,也不代表就访问不了子znode,因为子znode并不继承父znode的ACL

            3    为znode设置ACL后,不能修改ACL的权限

        zookeeper的ACL机制,表现模式为scheme:id:permissions

            1    第一个scheme表示采用哪一种授权机制,zookeeper总共提供了四种机制

                    world:下面只有一个id,叫anyone,world:anyone代表任何人,zookeeper中对所有人有权限的结点就是属于world:anyone类型的。创建节点的默认权限。有唯一的id是anyone授权的时候的模式为 world:anyone:rwadc 表示所有人都对这个节点有rwadc的权限。

                    auth:不需要id,只要是通过authentication的user都有权限(zookeeper支持通过kerberos来进行authencation, 也支持username/password形式的authentication)。

                    digest:它对应的id为username:BASE64(SHA1(password)),它需要先通过加密过的username:password形式的authentication。

                    ip:它对应的id为客户机的IP地址,设置的时候可以设置一个ip段,比如ip:192.168.1.0/16。

                    super:在这种scheme情况下,对应的id拥有超级权限,可以做任何事情(cdrwa)。

            2    第二个id表示用户

                    通过zkCli.sh设置acl时,scheme是digest的时候,id需要密文,通过Zookeeper的客户端编码方式添加认证,digest对应的auth数据是明文。

            3    第三个permissions表示相关权限,zookeeper总共提供了五种权限

权限 说明 简写
CREATE 可以创建子节点 c
READ 可以获取节点数据以及当前节点的子节点列表 r
WRITE 可以为节点设置数据 w
DELETE 可以删除节点 d
ADMIN 可以为节点设置权限 a

Znode类型

        ZooKeeper的znode是有生命周期的,这取决于znode的类型。在 ZooKeeper 中,znode类型可以分为持久节点(PERSISTENT )、临时节点(EPHEMERAL),以及时序节点(SEQUENTIAL ),具体在节点创建过程中,一般是组合使用,可以生成以下 4 种节点类型。

  1.         持久节点(PERSISTENT):是指在节点创建后,就一直存在,直到有删除操作来主动清除这个节点——不会因为创建该节点的客户端会话失效而消失
  2.         持久顺序节点(PERSISTENT_SEQUENTIAL):这类节点的基本特性和上面的节点类型是一致的。额外的特性是,在ZK中,每个父节点会为他的第一级子节点维护一份时序,会记录每个子节点创建的先后顺序。基于这个特性,在创建子节点的时候,可以设置这个属性,那么在创建节点过程中,ZK会自动为给定节点名加上一个数字后缀,作为新的节点名。这个数字后缀的范围是整型的最大值
  3.         临时节点(EPHEMERAL):临时节点的生命周期和客户端会话绑定。也就是说,如果客户端会话失效,那么这个节点就会自动被清除掉。注意,这里提到的是会话失效,而非连接断开。另外,在临时节点下面不能创建子节点。
  4.         临时顺序节点(EPHEMERAL_SEQUENTIAL):临时节点的生命周期和客户端会话绑定。也就是说,如果客户端会话失效,那么这个节点就会自动被清除掉。注意创建的节点会自动加上编号

测试环境

    OS:CentOS release 6.7

    JDK:1.8.0_131

    Zookeeper:3.4.5

实验

    安装

yum install zookeeper-server zookeeper

   

    初始化

/etc/init.d/zookeeper-server init
/etc/init.d/zookeeper-server start

    auth类型授权

        操作

create /test1 test1
addauth digest guol:guol
setAcl /test1 auth:guol:guol:rwadc
getAcl /test1

        验证

    digest类型授权

        生产加密密码

java -cp "/usr/lib/zookeeper/zookeeper.jar:/usr/lib/zookeeper/lib/slf4j-api-1.7.5.jar" org.apache.zookeeper.server.auth.DigestAuthenticationProvider root:dalu

        操作

create /test2 test2
setAcl /test2 digest:root:jalRr+knv/6L2uXdenC93dEDNuE=:rwdca

        验证

    超级用户设置

        修改/etc/default/zookeeper文件

export SERVER_JVMFLAGS="-Dzookeeper.DigestAuthenticationProvider.superDigest=super:yrD9j2KaTub9u/v4fqRUhV9aNLg="

        创建super用户

java -cp "/usr/lib/zookeeper/zookeeper.jar:/usr/lib/zookeeper/lib/slf4j-api-1.7.5.jar" org.apache.zookeeper.server.auth.DigestAuthenticationProvider super:guodalu

       

        重启zookeeper

/etc/init.d/zookeeper-server restart

        验证

ls /test2
addauth digest super:guodalu
getAcl /test2

 

 

© 著作权归作者所有

共有 人打赏支持
China_OS
粉丝 413
博文 456
码字总数 513095
作品 0
静安
技术主管
私信 提问
ZooKeeper学习第六期---ZooKeeper机制架构

一、ZooKeeper权限管理机制  1.1 权限管理ACL(Access Control List)  ZooKeeper 的权限管理亦即ACL 控制功能,使用ACL来对Znode进行访问控制。ACL的实现和Unix文件访问许可非常相似:它使用...

卯金刀GG
2017/10/25
0
0
【分布式协调zookeeper】基础篇

一、zookeeper介绍 它是一个为分布式应用提供一致性服务的软件,提供的功能包括:配置维护、名字服务、分布式同步、组服务等 zookeeper做了什么? 1.命名服务 2.配置管理 3.集群管理 4.分布式...

次渠龙哥
06/26
0
0
zookeeper conceptual

Zookeeper 数据模型 Zookeeper 拥有着类似文件系统的命名空间,唯一的区别是在命名空间下的每一个节点都有数据和他关联 Znodes zookeeper 的节点 znode, znode 维护着一些列状态信息 包含数据...

triankg
2014/01/13
0
0
zookeeper java客户端使用

ZooKeeper是一个优秀的分布式协同工具,很多分布式项目都基于它进行架构设计,不过要想要对其有一个深入的理解(如果你想阅读其源代码),对其客户端API的熟悉必不可少。下面就简要记录一下Z...

我就是我110
2015/08/13
0
0
zookeeper入门(3)API常用函数功能与参数详解

《zooker入门系列教程》: 1 - 如何在单机上实现ZooKeeper伪机群/伪集群部署 2 - 解读zookeeper的配置项 1. zookeeper初始化 功能: 创建一个句柄(handle)和一个响应(response)这个句柄的...

晨曦之光
2012/04/24
1K
0

没有更多内容

加载失败,请刷新页面

加载更多

Netty 简单服务器 (三)

经过对Netty的基础认识,设计模型的初步了解,来写个测试,试试手感 上篇也说到官方推荐我们使用主从线程池模型,那就选择这个模型进行操作 需要操作的步骤: 需要构建两个主从线程组 写一个服务器...

_大侠__
15分钟前
3
0
day02:管道符、shell及环境变量

1、管道符:"|" 用于将前一个指令的输出作为后一个指令的输入,且管道符后面跟的是命令(针对文档的操作):cat less head tail grep cut sort wc uniq tee tr split sed awk等) [root@localho...

芬野de博客
26分钟前
8
0
Kubernetes系列——Kubernetes 组件、对象(二)

一、Kubernetes 组件 介绍了Kubernetes集群所需的各种二进制组件。 Master 组件 Master组件提供集群的管理控制中心。Master组件可以在集群中任何节点上运行。但是为了简单起见,通常在一...

吴伟祥
35分钟前
12
0
Flink-数据流编程模型

1、抽象等级 Flink提供了不同级别的抽象来开发流/批处理应用程序。 1) 低层级的抽象 最低层次的抽象仅仅提供有状态流。它通过Process函数嵌入到DataStream API中。它允许用户自由地处理来自一...

liwei2000
53分钟前
6
0
Java开发Swing实战JFrame和JTabbedPane容器的用法详细解析

概述: 项目是一个桌面程序,涉及标签和按钮组件、布局管理器组件、面板组件、列表框和下拉框组件等组件,以及Swing事件处理机制。 下面先从最基础的界面开始。 /** * @author: lishuai * @...

金铭鼎IT教育
58分钟前
15
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部