分布式服务Dubbo+Zookeeper安全认证实例
前言
由于之前的服务都是在内网,zookeeper集群配置都是走的内网ip,外网不开放相关端口。最近由于业务升级,购置了阿里云的服务,需要对外开放zookeeper服务。
问题
zookeeper+dubbo,如何设置安全认证?不想让其他服务连接zookeeper,因为这个zookeeper服务器在外网。
查询官方文档:
zookeeper 是 apacahe hadoop 的子项目,是一个树型的目录服务,支持变更推送,适合作为 dubbo 服务的注册中心,工业强度较高,可用于生产环境,并推荐使用。
流程说明:
•服务提供者启动时: 向 /dubbo/com.foo.barservice/providers 目录下写入自己的 url 地址
•服务消费者启动时: 订阅 /dubbo/com.foo.barservice/providers 目录下的提供者 url 地址。并向 /dubbo/com.foo.barservice/consumers 目录下写入自己的 url 地址
•监控中心启动时: 订阅 /dubbo/com.foo.barservice 目录下的所有提供者和消费者 url 地址
支持以下功能:
•当提供者出现断电等异常停机时,注册中心能自动删除提供者信息
•当注册中心重启时,能自动恢复注册数据,以及订阅请求
•当会话过期时,能自动恢复注册数据,以及订阅请求
•当设置 < dubbo:registry check="false" /> 时,记录失败注册和订阅请求,后台定时重试
•可通过 < dubbo:registry username="admin" password="1234" /> 设置 zookeeper 登录信息
•可通过 < dubbo:registry group="dubbo" /> 设置 zookeeper 的根节点,不设置将使用无根树
•支持 * 号通配符 < dubbo:reference group="" version="" />,可订阅服务的所有分组和所有版本的提供者
官网文档第五条,明确说明了可以通过username和 password字段设置zookeeper 登录信息。
以下是registry参数说明:
但是,如果在zookeeper上通过digest方式设置acl,然后在dubbo registry上配置相应的用户、密码,服务就注册不到zookeeper上了,会报keepererrorcode = noauth错误。
但是查阅zookeeperregistry相关源码并没有发现相关认证的地方,搜遍全网很少有问类似的问题,这个问题似乎并没有多少人关注。
zookeeper中的acl
概述
传统的文件系统中,acl分为两个维度,一个是属组,一个是权限,子目录/文件默认继承父目录的acl。而在zookeeper中,node的acl是没有继承关系的,是独立控制的。zookeeper的acl,可以从三个维度来理解:一是scheme; 二是user; 三是permission,通常表示为
scheme:id:permissions
下面从这三个方面分别来介绍:
scheme: scheme对应于采用哪种方案来进行权限管理,zookeeper实现了一个pluggable的acl方案,可以通过扩展scheme,来扩展acl的机制。zookeeper-3.4.4缺省支持下面几种scheme:
world: 它下面只有一个id, 叫anyone, world:anyone代表任何人,zookeeper中对所有人有权限的结点就是属于world:anyone的
auth: 它不需要id, 只要是通过authentication的user都有权限(zookeeper支持通过kerberos来进行authencation, 也支持username/password形式的authentication)
digest: 它对应的id为username:base64(sha1(password)),它需要先通过username:password形式的authentication
ip: 它对应的id为客户机的ip地址,设置的时候可以设置一个ip段,比如ip:192.168.1.0/16, 表示匹配前16个bit的ip段
super: 在这种scheme情况下,对应的id拥有超级权限,可以做任何事情(cdrwa)
permission: zookeeper目前支持下面一些权限:
create(c): 创建权限,可以在在当前node下创建child node
delete(d): 删除权限,可以删除当前的node
read(r): 读权限,可以获取当前node的数据,可以list当前node所有的child nodes
write(w): 写权限,可以向当前node写数据
admin(a): 管理权限,可以设置当前node的permission
客户端管理
我们可以通过以下命令连接客户端进行操作:
./zkcli.sh
帮助
[zk: localhost:2181(connected) 2] help zookeeper -server host:port cmd args connect host:port get path [watch] ls path [watch] set path data [version] rmr path delquota [-n|-b] path quit printwatches on|off create [-s] [-e] path data acl stat path [watch] close ls2 path [watch] history listquota path setacl path acl getacl path sync path redo cmdno addauth scheme auth delete path [version] setquota -n|-b val path
简单操作
[zk: localhost:2181(connected) 12] ls / [dubbo, test, zookeeper] [zk: localhost:2181(connected) 13] create /itstyle data ip:192.168.1.190:cdrw created /itstyle [zk: localhost:2181(connected) 14] getacl /itstyle 'ip,'192.168.1.190 : cdrw
zkclient操作代码
import java.security.nosuchalgorithmexception; import java.util.arraylist; import java.util.list; import java.util.map; import org.i0itec.zkclient.zkclient; import org.apache.zookeeper.zoodefs; import org.apache.zookeeper.data.acl; import org.apache.zookeeper.data.id; import org.apache.zookeeper.data.stat; import org.apache.zookeeper.server.auth.digestauthenticationprovider; public class acl { private static final string zkaddress = "192.168.1.190:2181"; private static final string testnode = "/dubbo"; private static final string readauth = "read-user:123456"; private static final string writeauth = "write-user:123456"; private static final string deleteauth = "delete-user:123456"; private static final string allauth = "super-user:123456"; private static final string adminauth = "admin-user:123456"; private static final string digest = "digest"; private static void initnode() throws nosuchalgorithmexception { zkclient zkclient = new zkclient(zkaddress); system.out.println(digestauthenticationprovider.generatedigest(allauth)); zkclient.addauthinfo(digest, allauth.getbytes()); if (zkclient.exists(testnode)) { zkclient.delete(testnode); system.out.println("节点删除成功!"); } list<acl> acls = new arraylist<acl>(); acls.add(new acl(zoodefs.perms.all, new id(digest, digestauthenticationprovider.generatedigest(allauth)))); acls.add(new acl(zoodefs.perms.all, new id(digest, digestauthenticationprovider.generatedigest(allauth)))); acls.add(new acl(zoodefs.perms.read, new id(digest, digestauthenticationprovider.generatedigest(readauth)))); acls.add(new acl(zoodefs.perms.write, new id(digest, digestauthenticationprovider.generatedigest(writeauth)))); acls.add(new acl(zoodefs.perms.delete, new id(digest, digestauthenticationprovider.generatedigest(deleteauth)))); acls.add(new acl(zoodefs.perms.admin, new id(digest, digestauthenticationprovider.generatedigest(adminauth)))); zkclient.createpersistent(testnode, testnode, acls); system.out.println(zkclient.readdata(testnode)); system.out.println("节点创建成功!"); zkclient.close(); } private static void readtest() { zkclient zkclient = new zkclient(zkaddress); try { system.out.println(zkclient.readdata(testnode));//没有认证信息,读取会出错 } catch (exception e) { system.err.println(e.getmessage()); } try { zkclient.addauthinfo(digest, adminauth.getbytes()); system.out.println(zkclient.readdata(testnode));//admin权限与read权限不匹配,读取也会出错 } catch (exception e) { system.err.println(e.getmessage()); } try { zkclient.addauthinfo(digest, readauth.getbytes()); system.out.println(zkclient.readdata(testnode));//只有read权限的认证信息,才能正常读取 } catch (exception e) { system.err.println(e.getmessage()); } zkclient.close(); } private static void writetest() { zkclient zkclient = new zkclient(zkaddress); try { zkclient.writedata(testnode, "new-data");//没有认证信息,写入会失败 } catch (exception e) { system.err.println(e.getmessage()); } try { zkclient.addauthinfo(digest, writeauth.getbytes()); zkclient.writedata(testnode, "new-data");//加入认证信息后,写入正常 } catch (exception e) { system.err.println(e.getmessage()); } try { zkclient.addauthinfo(digest, readauth.getbytes()); system.out.println(zkclient.readdata(testnode));//读取新值验证 } catch (exception e) { system.err.println(e.getmessage()); } zkclient.close(); } private static void deletetest() { zkclient zkclient = new zkclient(zkaddress); zkclient.addauthinfo(digest, deleteauth.getbytes()); try { system.out.println(zkclient.readdata(testnode)); zkclient.delete(testnode); system.out.println("节点删除成功!"); } catch (exception e) { system.err.println(e.getmessage()); } zkclient.close(); } private static void changeacltest() { zkclient zkclient = new zkclient(zkaddress); //注:zkclient.setacl方法查看源码可以发现,调用了readdata、setacl二个方法 //所以要修改节点的acl属性,必须同时具备read、admin二种权限 zkclient.addauthinfo(digest, adminauth.getbytes()); zkclient.addauthinfo(digest, readauth.getbytes()); try { list<acl> acls = new arraylist<acl>(); acls.add(new acl(zoodefs.perms.all, new id(digest, digestauthenticationprovider.generatedigest(adminauth)))); zkclient.setacl(testnode, acls); map.entry<list<acl>, stat> aclresult = zkclient.getacl(testnode); system.out.println(aclresult.getkey()); } catch (exception e) { system.err.println(e.getmessage()); } zkclient.close(); } public static void main(string[] args) throws exception { initnode(); system.out.println("---------------------"); readtest(); system.out.println("---------------------"); writetest(); system.out.println("---------------------"); changeacltest(); system.out.println("---------------------"); deletetest(); } }
总结
大部分服务大都是部署在内网的,基本很少对外网开放,然而dubbo的zookeeper用户权限认证貌似真的不起作用,如果非要对外开放只能通过iptables或者firewall进行ip access control,如果是阿里云服务器的话安全组也是个不错的选择。
以上这篇分布式服务dubbo+zookeeper安全认证实例就是小编分享给大家的全部内容了,希望能给大家一个参考,也希望大家多多支持。