文档章节

Zookeeper ACL

China_OS
 China_OS
发布于 2017/07/12 17:46
字数 1143
阅读 961
收藏 0

背景

        开源的大数据组件中很多都使用到了zookeeper,我们目前在生产环境中就部署了多套zookeeper,如何服务共用,节省资源不得不考虑起来了,怎样把多套zookeeper合并成一套?怎么做不同项目之间的权限划分?

ACL介绍

        zookeeper本身支持一套简单的ACL机制,为什么说简单呢?因为:

            1    ACL在znode上无继承性,也就是说子znode不会继承父znode的ACL权限

            2    zookeeper client即使访问不了父znode,也不代表就访问不了子znode,因为子znode并不继承父znode的ACL

            3    为znode设置ACL后,不能修改ACL的权限

        zookeeper的ACL机制,表现模式为scheme:id:permissions

            1    第一个scheme表示采用哪一种授权机制,zookeeper总共提供了四种机制

                    world:下面只有一个id,叫anyone,world:anyone代表任何人,zookeeper中对所有人有权限的结点就是属于world:anyone类型的。创建节点的默认权限。有唯一的id是anyone授权的时候的模式为 world:anyone:rwadc 表示所有人都对这个节点有rwadc的权限。

                    auth:不需要id,只要是通过authentication的user都有权限(zookeeper支持通过kerberos来进行authencation, 也支持username/password形式的authentication)。

                    digest:它对应的id为username:BASE64(SHA1(password)),它需要先通过加密过的username:password形式的authentication。

                    ip:它对应的id为客户机的IP地址,设置的时候可以设置一个ip段,比如ip:192.168.1.0/16。

                    super:在这种scheme情况下,对应的id拥有超级权限,可以做任何事情(cdrwa)。

            2    第二个id表示用户

                    通过zkCli.sh设置acl时,scheme是digest的时候,id需要密文,通过Zookeeper的客户端编码方式添加认证,digest对应的auth数据是明文。

            3    第三个permissions表示相关权限,zookeeper总共提供了五种权限

权限 说明 简写
CREATE 可以创建子节点 c
READ 可以获取节点数据以及当前节点的子节点列表 r
WRITE 可以为节点设置数据 w
DELETE 可以删除节点 d
ADMIN 可以为节点设置权限 a

Znode类型

        ZooKeeper的znode是有生命周期的,这取决于znode的类型。在 ZooKeeper 中,znode类型可以分为持久节点(PERSISTENT )、临时节点(EPHEMERAL),以及时序节点(SEQUENTIAL ),具体在节点创建过程中,一般是组合使用,可以生成以下 4 种节点类型。

  1.         持久节点(PERSISTENT):是指在节点创建后,就一直存在,直到有删除操作来主动清除这个节点——不会因为创建该节点的客户端会话失效而消失
  2.         持久顺序节点(PERSISTENT_SEQUENTIAL):这类节点的基本特性和上面的节点类型是一致的。额外的特性是,在ZK中,每个父节点会为他的第一级子节点维护一份时序,会记录每个子节点创建的先后顺序。基于这个特性,在创建子节点的时候,可以设置这个属性,那么在创建节点过程中,ZK会自动为给定节点名加上一个数字后缀,作为新的节点名。这个数字后缀的范围是整型的最大值
  3.         临时节点(EPHEMERAL):临时节点的生命周期和客户端会话绑定。也就是说,如果客户端会话失效,那么这个节点就会自动被清除掉。注意,这里提到的是会话失效,而非连接断开。另外,在临时节点下面不能创建子节点。
  4.         临时顺序节点(EPHEMERAL_SEQUENTIAL):临时节点的生命周期和客户端会话绑定。也就是说,如果客户端会话失效,那么这个节点就会自动被清除掉。注意创建的节点会自动加上编号

测试环境

    OS:CentOS release 6.7

    JDK:1.8.0_131

    Zookeeper:3.4.5

实验

    安装

yum install zookeeper-server zookeeper

   

    初始化

/etc/init.d/zookeeper-server init
/etc/init.d/zookeeper-server start

    auth类型授权

        操作

create /test1 test1
addauth digest guol:guol
setAcl /test1 auth:guol:guol:rwadc
getAcl /test1

        验证

    digest类型授权

        生产加密密码

java -cp "/usr/lib/zookeeper/zookeeper.jar:/usr/lib/zookeeper/lib/slf4j-api-1.7.5.jar" org.apache.zookeeper.server.auth.DigestAuthenticationProvider root:dalu

        操作

create /test2 test2
setAcl /test2 digest:root:jalRr+knv/6L2uXdenC93dEDNuE=:rwdca

        验证

    超级用户设置

        修改/etc/default/zookeeper文件

export SERVER_JVMFLAGS="-Dzookeeper.DigestAuthenticationProvider.superDigest=super:yrD9j2KaTub9u/v4fqRUhV9aNLg="

        创建super用户

java -cp "/usr/lib/zookeeper/zookeeper.jar:/usr/lib/zookeeper/lib/slf4j-api-1.7.5.jar" org.apache.zookeeper.server.auth.DigestAuthenticationProvider super:guodalu

       

        重启zookeeper

/etc/init.d/zookeeper-server restart

        验证

ls /test2
addauth digest super:guodalu
getAcl /test2

 

 

© 著作权归作者所有

China_OS
粉丝 427
博文 463
码字总数 519985
作品 0
静安
技术主管
私信 提问
使用Curator实现的zookeeper分布式锁出现的Unimplemented for {root.path}

问题描述 Curator使用 ZooKeeper 作为分布式锁,启动时发生该异常。 Curator 客户端版本:curator-recipes-2.10.0 ZooKeeper 服务器版本:3.4.13 异常日志 以及 问题分析 UnimplementedExcep...

loubobooo
02/27
102
0
ZooKeeper学习第六期---ZooKeeper机制架构

一、ZooKeeper权限管理机制  1.1 权限管理ACL(Access Control List)  ZooKeeper 的权限管理亦即ACL 控制功能,使用ACL来对Znode进行访问控制。ACL的实现和Unix文件访问许可非常相似:它使用...

卯金刀GG
2017/10/25
29
0
Kafka与.net core(二)zookeeper

1.zookeeper简单介绍 1.1作用 zookeeper的作用是存储kafka的服务器信息,topic信息,和cunsumer信息。如下图: 而zookeeper是个什么东西呢?简单来说就是一个具有通知机制的文件系统,引用网...

老六代码
01/10
0
0
【分布式协调zookeeper】基础篇

一、zookeeper介绍 它是一个为分布式应用提供一致性服务的软件,提供的功能包括:配置维护、名字服务、分布式同步、组服务等 zookeeper做了什么? 1.命名服务 2.配置管理 3.集群管理 4.分布式...

次渠龙哥
2018/06/26
0
0
zookeeper conceptual

Zookeeper 数据模型 Zookeeper 拥有着类似文件系统的命名空间,唯一的区别是在命名空间下的每一个节点都有数据和他关联 Znodes zookeeper 的节点 znode, znode 维护着一些列状态信息 包含数据...

triankg
2014/01/13
215
0

没有更多内容

加载失败,请刷新页面

加载更多

消息中间件——RabbitMQ的高级特性

前言 前面我们介绍了RabbitMQ的安装、各大消息中间件的对比、AMQP核心概念、管控台的使用、快速入门RabbitMQ。本章将介绍RabbitMQ的高级特性。分两篇(上/下)进行介绍。 消息如何保障100%的...

Java架构师ya七
27分钟前
6
0
如何编写高质量的 JS 函数(1) -- 敲山震虎篇

本文首发于 vivo互联网技术 微信公众号 链接:https://mp.weixin.qq.com/s/7lCK9cHmunvYlbm7Xi7JxQ 作者:杨昆 一千个读者,有一千个哈姆雷特。 此系列文章将会从函数的执行机制、鲁棒性、函...

vivo互联网技术
58分钟前
5
0
学会这5个Excel技巧,让你拒绝加班

在网上,随处都可以看到Excel技巧,估计已看腻了吧?但下面5个Excel技巧会让你相见恨晚。关键的是它们个个还很实用 图一 技巧1:快速删除边框 有时当我们处理数据需要去掉边框,按Ctrl+Shif...

干货趣分享
今天
11
0
JS基础-该如何理解原型、原型链?

JS的原型、原型链一直是比较难理解的内容,不少初学者甚至有一定经验的老鸟都不一定能完全说清楚,更多的"很可能"是一知半解,而这部分内容又是JS的核心内容,想要技术进阶的话肯定不能对这个...

OBKoro1
今天
10
0
高防CDN的出现是为了解决网站的哪些问题?

高防CDN是为了更好的服务网络而出现的,是通过高防DNS来实现的。高防CDN是通过智能化的系统判断来路,再反馈给用户,可以减轻用户使用过程的复杂程度。通过智能DNS解析,能让网站访问者连接到...

云漫网络Ruan
今天
15
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部