zookeeper集群认证功能
需求背景当前,zookeeper群集支持动态伸缩,基本配置文件将动态同步。 如果参与的节点配置信息满足群集的基本要求,则可以自动或手动将其添加到群集中。 因此,存在以下问题。
安全问题很容易获得,因为基本的配置信息(主要是ip和端口)是公共信息。 非法节点可能会加入集群以获取集群数据。 不同的集群可能无法独立隔离,不同的集群可能会同步混乱。 新旧集群混合存在时,新旧数据可能会错误同步,导致数据异常。 目前,zookeeper在3.5.0版及更高版本中开始支持集群选举认证功能,但我们的项目并未真正开启该功能,需要评估应用该功能的必要性。
评估点安全性集群选举认证是指对加入新集群的节点进行认证,只有经过认证的节点才能成功加入,以前如果基础配置信息(IP和端口)满足规则要求,可以动态加入由此,认证机制可以更好地解决集群数据的安全性问题。
业务性能集群选举认证功能不影响业务数据的读写性能。 集群选举认证只有在某个节点加入集群的选举阶段才能进行认证,认证成功后才能继续参与后续角色选举。 选举结束后,由于没有进行数据的读写认证,所以不影响使用性能。
集群隔离当前同一网络中的群集隔离仅依赖于基础配置文件(IP plus port ),无法解决新旧群集或多个群集的配置管理问题。 利用凭据(帐户和密码)的唯一性,可以实现集群指令的空间隔离,避免不同集群、新旧集群的混用问题。
33558www.Sina.com/zookeeper的集群凭据是多个节点共享的重要数据。 目前zookeeper支持两种身份验证方案。
第一种基于Kerberos的认证机制,以认证方案为中心,具有安全性高但实现复杂的优点。
二是基于DIGEST-MD5本地认证。 设计简单、重量轻,但具有安全性比Kerberos低的优点。 目前,DIGEST-MD认证方案可以满足需求。
设计方案基于DIGEST-MD5的认证方案
认证管理
集群账户和密码必须具有集群的唯一性,并尽可能与时间、版本等信息相关(可以采用重要信息的散列值)。 在部署过程中,生成一组唯一的名称和密码,或者用户从“业务控制面板”中指定群集名称和密码。
帐户群集和密码必须存储在群集外部的部署服务点,PD服务器才能获取相应的群集信息。 当不同的zookeeper节点启动时,首先前往该服务点获取集群信息(不限于ip,可以包括集群数、名称、密码等)。
基于群集信息生成验证文件,如/path/to/server/jaas/file.conf。 由于验证文件由zookeeper服务器本地保存和管理,因此必须对齐权限和管理。 这依赖于linux系统的权限管理来确保安全性。
第一步,集群名称和密钥获取
构成的具体步骤如下。
创建凭据配置文件,例如/path/to/server/jaas/file.conf。 其中namespace是集群名称,quorum_pwd是相应的密码。
仲裁服务器{
org.Apache.zookeeper.server.auth.digestloginmodulerequired
user_$namespace='$quorum_pwd';
(;
QuorumLearner {
org.Apache.zookeeper.server.auth.digestloginmodulerequired
username='$namespace'
password='$quorum_pwd';
(;
添加zoo.cfg配置项目以启用认证功能。 设定如下。 quorum.auth.enableSasl=true
quorum.auth.learnerrequiresasl=true
quorum.auth.serverrequiresasl=true
quorum.auth.learner.sasllogincontext=quorum learner
quorum.auth.server.sasllogincontext=quorum server
添加java.env配置文件条目,验证配置文件路径server _ JVM flags='-DJ ava.security.auth.log in.config=/path/to/server /
第二步,配置Zookeeper使能集群选举认证功能。
添加原始配置项目,生成配置文件,启动zookeeper,然后加入群集。
参考资料https://c wiki.Apache.org/confluence/display/zookeeper/server-servermutualauthentication