文档章节

MESOS的验证和分角色执行

xueyi28
 xueyi28
发布于 2016/05/22 15:57
字数 1033
阅读 16
收藏 0

我的这个post大约介绍的是一个简单的mesos的翻译:http://domain.coding.io/?p=121
但是实际操作我发现mesos对框架验证支持可能有Bug,或者就是Marathon的密码验证有问题,我今天调试了一天,依旧没有把框架验证调试通过。但是我对整个框架的验证和角色分派有了新的认识:
我们部署mesos集群的时候会遇到这样的问题:集群机器可能分布在不同的机房,一般特定的服务,需要在同一个机房在部署实施,这时你就需要mesosroles功能了,你要根据你的机房划分不同的roles,比如北京集群,上海集群,然后根据这些不同的角色,在启动masterslavemarathon的时候配置好响应的角色:
for example:

#记住,所有的集群,master都只有一个。 start master
mesos-master --ip=$localip --quorum=1 --zk=zk://host1:port1,host2:port2,.../path --acls=file:///path/to/file --authenticate=false --authenticate_slaves=true --credentials=file:///path/to/file --roles=bj,sh
#for acl
{
  "register_frameworks": [
    {
      "principals": { "type": "ANY" },
      "roles": { "values": ["bj", "sh"] }
    }
  ],
  "run_tasks": [
    {
      "principals": { "type": "ANY" },
      "users": { "values": ["root"] }
    }
  ]
}
#因为没有对框架验证,所有的框架没有验证主体,所以这里的访问控制只能写any,如果你担心你的集群遭到攻击,我建议还是从防火墙上控制好master 5050端口的访问,从上面的acl中可以看出1.允许所有的框架以bj和sh的角色来进行注册2.允许所有的框架使用root用户运行任务。
#注意master的--roles参数,你要把你所有的角色Name用逗号隔开,master启动之后就只能这些角色允许注册,其他角色是不能注册成功的。
#marathon register
./bin/start --master local --zk zk://localhost:2181/marathon --mesos_role=bj
#这样就意味着你发送给这个框架的所有任务都只能在bj角色的机器上执行了。
#mesos slave
mesos-slave --ip=localip --master=localhost:5050 --credential=file://path/to/file  --default_role=bj
#cred file
{
  "principal": "username",
  "secret": "secret"
}
#这样启动之后slave就算到bj集群中去了。

 

 

验证这块marathon上需要配置一个环境变量:
export PROCESS_IP=localhost

因为使用crammd5这个破玩意完成验证,所以需要安装对应的依赖。

 

 

mesos的验证需要mesos.0.20.0以上的版本支持,mesos的验证可以做到三点:
1.
在框架注册时进行验证
2.
在框架运行任务或者执行程序的时候进行验证
3.
在通过api关闭框架时进行验证
这些验证都是通过类似ACL的方式来做控制访问,访问控制列表是一个json格式的数据文件
上面三点分别对应的字段为:”register_frameworks””run_tasks”,”shutdown_frameworks”
另外还有几个字段需要解释一下:
principals:
你需要把这个字段抽象成框架的名称,这个名称需要全局唯一,用来唯一标识一个框架(这也就是说一个Mesos上可以承载很多框架)
roles:
这个一个框架标识,可以想象成框架的分组,算是一个框架的一个属性。
users:
操作系统帐号,用来执行应用的帐号
framework_principals:
这个在框架关闭的时候要用。

具体的验证过程:
当一个框架要到Mesosmaster注册的时候,“register_frameworks”访问控制就会匹配验证当前框架的principalsroles,如果验证失败,这个框架就不允许注册,scheduler driver就会返回错误信息。
对于任务运行和框架关闭验证也很类似,具体请参照:http://mesos.apache.org/documentation/latest/authorization/

 

#框架foo和bar可以用alice帐号运行任务
{
   "run_tasks":[
      {
        "principals": {"values":["foo", "bar"]},
        "users": {"values": ["alice"]}
      }
    ]
}
 
#运行任何框架用guest用户运行任务
{
   "run_tasks":[
     {
      "principals":{"type":"ANY"},
      "users":{"values":["guest"]}
     }
    ]
}
 
#只允许foo框架以analytics角色注册
{
"register_frameworks":[
   {
      "principals": {"values": ["foo"]},
      "roles": {"values":["analytics"]}
   },
   {
      "principals": {"type": "NONE"},
      "roles": {"values": ["analytics"]}
   }
]
}

 

另外你要启用mesos的验证功能,你可能需要设置下面的参数:
for master:
–acls=VALUE
–authenticate=true
–authenticate_slaves=true
–credentials=VALUE

for slave:
–credential=VALUE
–default_role=VALUE

本文转载自:http://blog.csdn.net/kangqi7000/article/details/51475413

共有 人打赏支持
xueyi28
粉丝 7
博文 93
码字总数 33978
作品 0
南宁
在CentOS7上部署Apache Mesos

概述 Apache Mesos是一款基于多资源(内存、磁盘、CPU、端口等)调度的开源集群管理套件,能使容错和分布式系统更加容易。 工作原理 Apache Mesos采用了Master/Slave结构来简化设计,将Maste...

何以重见
08/17
0
0
配置单台Mesos-master与Mesos-slave

Apache Mesos是一个集群管理器,可跨分布式应用程序或框架提供有效的资源隔离和共享。它位于应用程序层和操作系统之间,可以更加轻松地在大规模集群环境中更有效地部署和管理应用程序。它可以...

cchenyz
08/15
0
0
使用Mesos管理Docker(Mesos+Marathon+Docker)

Apache Mesos是一个集群管理器,可跨分布式应用程序或框架提供有效的资源隔离和共享。它位于应用程序层和操作系统之间,可以更加轻松地在大规模集群环境中更有效地部署和管理应用程序。它可以...

cchenyz
08/22
0
0
【Docker篇四】Mesos+Zookeeper+Marathon+Docker实战实验

Apache Mesos概述 不同的分布式运算框架(spark,hadoop,ES,MPI,Cassandra,etc.)中的不同任务往往需要的资源(内存,CPU,网络IO等)不同,它们运行在同一个集群中,会相互干扰,为此,应该提供...

Matbe
08/21
0
0
CentOS7部署Apache Mesos

CentOS7部署Apache Mesos Apache Mesos是由加州大学伯克利分校的AMPLab首先开发的一款开源群集管理软件,支持Hadoop、ElasticSearch、Spark、Storm 和Kafka等应用架构。Mesos使用了与Linux内...

xiaoyaokeyx
08/16
0
0

没有更多内容

加载失败,请刷新页面

加载更多

play framework 如何支持多数据源

有段时间没有写博客了,但今天又写一篇了,主要是因为这事有一丝自己的思考和动手实践,所以就记录下来了。 现有的问题: play 1.2.4 两台数据库服务器,但是play1.2.4 并不支持同时连接两台...

tuerqidi
22分钟前
1
0
Mysql only_full_group_by解析

查看当前数据库模式: select @@sql_mode; 原因: mysql 5.7中的sql_mode的值中包含'ONLY_FULL_GROUP_BY'; 处理:执行以下SQL set GLOBAL sql_mode ='STRICT_TRANS_TABLES,NO_ZERO_IN_DATE,N......

年轻的中年大叔
24分钟前
1
0
防止表单重复提交

1:前端方式(治标不治本) $("#admin-role-save").click(function(){//admin-role-save为submit的idvar ts=$(this);var ts_old_val=ts.val();ts.val("提交中....");ts.att...

uug
24分钟前
1
0
保持屏幕常亮

getWindow().setFlags(WindowManager.LayoutParams.FLAG_KEEP_SCREEN_ON, WindowManager.LayoutParams.FLAG_KEEP_SCREEN_ON); 在act的created方法中调用即可,一般是播放视频的时候......

Carbenson
24分钟前
1
0
智能合约实施指南

与区块链技术一样,智能合约在商业领域也非常有价值。 为了让我们的读者彻底了解智能合约是什么以及它们如何影响现代商业的交易方式,我们准备了本指南。 集中商业模式正在给去中心化的模式让...

geek12345
27分钟前
1
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部