分佈式服務Dubbo+Zookeeper安全認證

時間  2019-11-09
標籤 分佈式 服務 dubbo+zookeeper dubbo zookeeper 安全 認證 欄目 系統架構 简体版
原文   原文鏈接

前言

因爲以前的服務都是在內網,Zookeeper集羣配置都是走的內網IP,外網不開放相關端口。最近因爲業務升級,購置了阿里雲的服務,須要對外開放Zookeeper服務。java

問題

Zookeeper+dubbo,如何設置安全認證?不想讓其餘服務鏈接Zookeeper,由於這個Zookeeper服務器在外網。node

查詢官方文檔:git

Zookeeper 是 Apacahe Hadoop 的子項目,是一個樹型的目錄服務,支持變動推送,適合做爲 Dubbo 服務的註冊中心,工業強度較高,可用於生產環境,並推薦使用。github

流程說明:apache

  • 服務提供者啓動時: 向 /dubbo/com.foo.BarService/providers 目錄下寫入本身的 URL 地址
  • 服務消費者啓動時: 訂閱 /dubbo/com.foo.BarService/providers 目錄下的提供者 URL 地址。並向 /dubbo/com.foo.BarService/consumers 目錄下寫入本身的 URL 地址
  • 監控中心啓動時: 訂閱 /dubbo/com.foo.BarService 目錄下的全部提供者和消費者 URL 地址

支持如下功能:安全

  • 當提供者出現斷電等異常停機時,註冊中心能自動刪除提供者信息
  • 當註冊中心重啓時,能自動恢復註冊數據,以及訂閱請求
  • 當會話過時時,能自動恢復註冊數據,以及訂閱請求
  • 當設置 < dubbo:registry check="false" /> 時,記錄失敗註冊和訂閱請求,後臺定時重試
  • 可經過 < dubbo:registry username="admin" password="1234" /> 設置 zookeeper 登陸信息
  • 可經過 < dubbo:registry group="dubbo" /> 設置 zookeeper 的根節點,不設置將使用無根樹
  • 支持 * 號通配符 < dubbo:reference group="" version="" />,可訂閱服務的全部分組和全部版本的提供者

官網文檔第五條,明確說明了能夠經過username和 password字段設置zookeeper 登陸信息。服務器

如下是registry參數說明:ide

可是,若是在Zookeeper上經過digest方式設置ACL,而後在dubbo registry上配置相應的用戶、密碼,服務就註冊不到Zookeeper上了,會報KeeperErrorCode = NoAuth錯誤。oop

可是查閱ZookeeperRegistry相關源碼並無發現相關認證的地方,搜遍全網不多有問相似的問題,這個問題彷佛並無多少人關注。ui

Zookeeper中的ACL

概述

傳統的文件系統中,ACL分爲兩個維度,一個是屬組,一個是權限,子目錄/文件默認繼承父目錄的ACL。而在Zookeeper中,node的ACL是沒有繼承關係的,是獨立控制的。Zookeeper的ACL,能夠從三個維度來理解:一是scheme; 二是user; 三是permission,一般表示爲

scheme:id:permissions

下面從這三個方面分別來介紹:

scheme: scheme對應於採用哪一種方案來進行權限管理,zookeeper實現了一個pluggable的ACL方案,能夠經過擴展scheme,來擴展ACL的機制。zookeeper-3.4.4缺省支持下面幾種scheme:

  • world: 它下面只有一個id, 叫anyone, world:anyone表明任何人,zookeeper中對全部人有權限的結點就是屬於world:anyone的
  • auth: 它不須要id, 只要是經過authentication的user都有權限(zookeeper支持經過kerberos來進行authencation, 也支持username/password形式的authentication)
  • digest: 它對應的id爲username:BASE64(SHA1(password)),它須要先經過username:password形式的authentication
  • ip: 它對應的id爲客戶機的IP地址,設置的時候能夠設置一個ip段,好比ip:192.168.1.0/16, 表示匹配前16個bit的IP段
  • super: 在這種scheme狀況下,對應的id擁有超級權限,能夠作任何事情(cdrwa)

permission: zookeeper目前支持下面一些權限:

  • CREATE(c): 建立權限,能夠在在當前node下建立child node
  • DELETE(d): 刪除權限,能夠刪除當前的node
  • READ(r): 讀權限,能夠獲取當前node的數據,能夠list當前node全部的child nodes
  • WRITE(w): 寫權限,能夠向當前node寫數據
  • ADMIN(a): 管理權限,能夠設置當前node的permission

客戶端管理

咱們能夠經過如下命令鏈接客戶端進行操做:

./zkCli.sh

幫助

[zk: localhost:2181(CONNECTED) 2] help
ZooKeeper -server host:port cmd args
        connect host:port
        get path [watch]
        ls path [watch]
        set path data [version]
        rmr path
        delquota [-n|-b] path
        quit 
        printwatches on|off
        create [-s] [-e] path data acl
        stat path [watch]
        close 
        ls2 path [watch]
        history 
        listquota path
        setAcl path acl
        getAcl path
        sync path
        redo cmdno
        addauth scheme auth
        delete path [version]
        setquota -n|-b val path

簡單操做

[zk: localhost:2181(CONNECTED) 12] ls /
[dubbo, test, zookeeper]
[zk: localhost:2181(CONNECTED) 13] create /itstyle  data ip:192.168.1.190:cdrw
Created /itstyle
[zk: localhost:2181(CONNECTED) 14] getAcl /itstyle
'ip,'192.168.1.190
: cdrw

zkclient操做代碼

import java.security.NoSuchAlgorithmException;
import java.util.ArrayList;
import java.util.List;
import java.util.Map;

import org.I0Itec.zkclient.ZkClient;
import org.apache.zookeeper.ZooDefs;
import org.apache.zookeeper.data.ACL;
import org.apache.zookeeper.data.Id;
import org.apache.zookeeper.data.Stat;
import org.apache.zookeeper.server.auth.DigestAuthenticationProvider;

public class Acl {
    private static final String zkAddress = "192.168.1.190:2181";  
    private static final String testNode = "/dubbo";  
    private static final String readAuth = "read-user:123456";  
    private static final String writeAuth = "write-user:123456";  
    private static final String deleteAuth = "delete-user:123456";  
    private static final String allAuth = "super-user:123456";  
    private static final String adminAuth = "admin-user:123456";  
    private static final String digest = "digest";  
   
    private static void initNode() throws NoSuchAlgorithmException {  
        ZkClient zkClient = new ZkClient(zkAddress);  
        System.out.println(DigestAuthenticationProvider.generateDigest(allAuth));
        zkClient.addAuthInfo(digest, allAuth.getBytes());  
        if (zkClient.exists(testNode)) {  
            zkClient.delete(testNode);  
            System.out.println("節點刪除成功!");  
        }  
   
        List<ACL> acls = new ArrayList<ACL>();  
        acls.add(new ACL(ZooDefs.Perms.ALL, new Id(digest, DigestAuthenticationProvider.generateDigest(allAuth))));
        acls.add(new ACL(ZooDefs.Perms.ALL, new Id(digest, DigestAuthenticationProvider.generateDigest(allAuth))));  
        acls.add(new ACL(ZooDefs.Perms.READ, new Id(digest, DigestAuthenticationProvider.generateDigest(readAuth))));  
        acls.add(new ACL(ZooDefs.Perms.WRITE, new Id(digest, DigestAuthenticationProvider.generateDigest(writeAuth))));  
        acls.add(new ACL(ZooDefs.Perms.DELETE, new Id(digest, DigestAuthenticationProvider.generateDigest(deleteAuth))));  
        acls.add(new ACL(ZooDefs.Perms.ADMIN, new Id(digest, DigestAuthenticationProvider.generateDigest(adminAuth))));  
        zkClient.createPersistent(testNode, testNode, acls);  
   
        System.out.println(zkClient.readData(testNode));  
        System.out.println("節點建立成功!");  
        zkClient.close();  
    }  
   
    private static void readTest() {  
        ZkClient zkClient = new ZkClient(zkAddress);  
        try {  
            System.out.println(zkClient.readData(testNode));//沒有認證信息,讀取會出錯  
        } catch (Exception e) {  
            System.err.println(e.getMessage());  
        }  
   
        try {  
            zkClient.addAuthInfo(digest, adminAuth.getBytes());  
            System.out.println(zkClient.readData(testNode));//admin權限與read權限不匹配,讀取也會出錯  
        } catch (Exception e) {  
            System.err.println(e.getMessage());  
        }  
   
        try {  
            zkClient.addAuthInfo(digest, readAuth.getBytes());  
            System.out.println(zkClient.readData(testNode));//只有read權限的認證信息,才能正常讀取  
        } catch (Exception e) {  
            System.err.println(e.getMessage());  
        }  
   
        zkClient.close();  
    }  
   
    private static void writeTest() {  
        ZkClient zkClient = new ZkClient(zkAddress);  
   
        try {  
            zkClient.writeData(testNode, "new-data");//沒有認證信息,寫入會失敗  
        } catch (Exception e) {  
            System.err.println(e.getMessage());  
        }  
   
        try {  
            zkClient.addAuthInfo(digest, writeAuth.getBytes());  
            zkClient.writeData(testNode, "new-data");//加入認證信息後,寫入正常  
        } catch (Exception e) {  
            System.err.println(e.getMessage());  
        }  
   
        try {  
            zkClient.addAuthInfo(digest, readAuth.getBytes());  
            System.out.println(zkClient.readData(testNode));//讀取新值驗證  
        } catch (Exception e) {  
            System.err.println(e.getMessage());  
        }  
   
        zkClient.close();  
    }  
   
    private static void deleteTest() {  
        ZkClient zkClient = new ZkClient(zkAddress);  
        zkClient.addAuthInfo(digest, deleteAuth.getBytes());  
        try {  
            System.out.println(zkClient.readData(testNode));  
            zkClient.delete(testNode);  
            System.out.println("節點刪除成功!");  
        } catch (Exception e) {  
            System.err.println(e.getMessage());  
        }  
        zkClient.close();  
    }  
   
    private static void changeACLTest() {  
        ZkClient zkClient = new ZkClient(zkAddress);  
        //注:zkClient.setAcl方法查看源碼能夠發現,調用了readData、setAcl二個方法  
        //因此要修改節點的ACL屬性,必須同時具有read、admin二種權限  
        zkClient.addAuthInfo(digest, adminAuth.getBytes());  
        zkClient.addAuthInfo(digest, readAuth.getBytes());  
        try {  
            List<ACL> acls = new ArrayList<ACL>();  
            acls.add(new ACL(ZooDefs.Perms.ALL, new Id(digest, DigestAuthenticationProvider.generateDigest(adminAuth))));  
            zkClient.setAcl(testNode, acls);  
            Map.Entry<List<ACL>, Stat> aclResult = zkClient.getAcl(testNode);  
            System.out.println(aclResult.getKey());  
        } catch (Exception e) {  
            System.err.println(e.getMessage());  
        }  
        zkClient.close();  
    }  
   
    public static void main(String[] args) throws Exception {  
   
        initNode();  
   
        System.out.println("---------------------");  
   
        readTest();  
   
        System.out.println("---------------------");  
   
        writeTest();  
   
        System.out.println("---------------------");  
   
        changeACLTest();  
   
        System.out.println("---------------------");  
   
        deleteTest();  
    }  
}

總結

大部分服務大都是部署在內網的,基本不多對外網開放,然而Dubbo的zookeeper用戶權限認證貌似真的不起做用,若是非要對外開放只能經過iptables或者firewall進行IP Access Control,若是是阿里雲服務器的話安全組也是個不錯的選擇。

更正

2018年9月13日,DubboX團隊提交了新版本:

請見 dubbo-registry-zookeeper增長適應zookeeper中節點有digest受權狀況 見

https://github.com/yihaijun/dubbox/commit/e30729b9d66bdbe93e61736faf0ec42d5d7d8b78

或見

https://github.com/apache/incubator-dubbo/tree/master/dubbo-remoting/dubbo-remoting-zookeeper/src/main/java/org/apache/dubbo/remoting/zookeeper/curator

相關文章
相關標籤/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公眾號
   歡迎關注本站公眾號,獲取更多信息
聯繫我們 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程