分布式服务Dubbo+Zookeeper安全认证实例

前言

由于之前的服务都是在内网,Zookeeper集群配置都是走的内网IP,外网不开放相关端口。最近由于业务升级,购置了阿里云的服务,需要对外开放Zookeeper服务。

问题

Zookeeper+dubbo,如何设置安全认证?不想让其他服务连接Zookeeper,因为这个Zookeeper服务器在外网。

查询官方文档:

Zookeeper 是 Apacahe Hadoop 的子项目,是一个树型的目录服务,支持变更推送,适合作为 Dubbo 服务的注册中心,工业强度较高,可用于生产环境,并推荐使用。

流程说明:

•服务提供者启动时: 向 /dubbo/com.foo.BarService/providers 目录下写入自己的 URL 地址

•服务消费者启动时: 订阅 /dubbo/com.foo.BarService/providers 目录下的提供者 URL 地址。并向 /dubbo/com.foo.BarService/consumers 目录下写入自己的 URL 地址

•监控中心启动时: 订阅 /dubbo/com.foo.BarService 目录下的所有提供者和消费者 URL 地址

支持以下功能:

•当提供者出现断电等异常停机时,注册中心能自动删除提供者信息

•当注册中心重启时,能自动恢复注册数据,以及订阅请求

•当会话过期时,能自动恢复注册数据,以及订阅请求

•当设置 < dubbo:registry check="false" /> 时,记录失败注册和订阅请求,后台定时重试

•可通过 < dubbo:registry username="admin" password="1234" /> 设置 zookeeper 登录信息

•可通过 < dubbo:registry group="dubbo" /> 设置 zookeeper 的根节点,不设置将使用无根树

•支持 * 号通配符 < dubbo:reference group="" version="" />,可订阅服务的所有分组和所有版本的提供者

官网文档第五条,明确说明了可以通过username和 password字段设置zookeeper 登录信息。

以下是registry参数说明:

但是,如果在Zookeeper上通过digest方式设置ACL,然后在dubbo registry上配置相应的用户、密码,服务就注册不到Zookeeper上了,会报KeeperErrorCode = NoAuth错误。

但是查阅ZookeeperRegistry相关源码并没有发现相关认证的地方,搜遍全网很少有问类似的问题,这个问题似乎并没有多少人关注。

Zookeeper中的ACL

概述

传统的文件系统中,ACL分为两个维度,一个是属组,一个是权限,子目录/文件默认继承父目录的ACL。而在Zookeeper中,node的ACL是没有继承关系的,是独立控制的。Zookeeper的ACL,可以从三个维度来理解:一是scheme; 二是user; 三是permission,通常表示为

scheme:id:permissions

下面从这三个方面分别来介绍:

scheme: scheme对应于采用哪种方案来进行权限管理,zookeeper实现了一个pluggable的ACL方案,可以通过扩展scheme,来扩展ACL的机制。zookeeper-3.4.4缺省支持下面几种scheme:

world: 它下面只有一个id, 叫anyone, world:anyone代表任何人,zookeeper中对所有人有权限的结点就是属于world:anyone的

auth: 它不需要id, 只要是通过authentication的user都有权限(zookeeper支持通过kerberos来进行authencation, 也支持username/password形式的authentication)

digest: 它对应的id为username:BASE64(SHA1(password)),它需要先通过username:password形式的authentication

ip: 它对应的id为客户机的IP地址,设置的时候可以设置一个ip段,比如ip:192.168.1.0/16, 表示匹配前16个bit的IP段

super: 在这种scheme情况下,对应的id拥有超级权限,可以做任何事情(cdrwa)

permission: zookeeper目前支持下面一些权限:

CREATE(c): 创建权限,可以在在当前node下创建child node

DELETE(d): 删除权限,可以删除当前的node

READ(r): 读权限,可以获取当前node的数据,可以list当前node所有的child nodes

WRITE(w): 写权限,可以向当前node写数据

ADMIN(a): 管理权限,可以设置当前node的permission

客户端管理

我们可以通过以下命令连接客户端进行操作:

./zkCli.sh

帮助

[zk: localhost:2181(CONNECTED) 2] help
ZooKeeper -server host:port cmd args
    connect host:port
    get path [watch]
    ls path [watch]
    set path data [version]
    rmr path
    delquota [-n|-b] path
    quit
    printwatches on|off
    create [-s] [-e] path data acl
    stat path [watch]
    close
    ls2 path [watch]
    history
    listquota path
    setAcl path acl
    getAcl path
    sync path
    redo cmdno
    addauth scheme auth
    delete path [version]
    setquota -n|-b val path

简单操作

[zk: localhost:2181(CONNECTED) 12] ls /
[dubbo, test, zookeeper]
[zk: localhost:2181(CONNECTED) 13] create /itstyle data ip:192.168.1.190:cdrw
Created /itstyle
[zk: localhost:2181(CONNECTED) 14] getAcl /itstyle
'ip,'192.168.1.190
: cdrw

zkclient操作代码

import java.security.NoSuchAlgorithmException;
import java.util.ArrayList;
import java.util.List;
import java.util.Map;
import org.I0Itec.zkclient.ZkClient;
import org.apache.zookeeper.ZooDefs;
import org.apache.zookeeper.data.ACL;
import org.apache.zookeeper.data.Id;
import org.apache.zookeeper.data.Stat;
import org.apache.zookeeper.server.auth.DigestAuthenticationProvider;
public class Acl {
  private static final String zkAddress = "192.168.1.190:2181";
  private static final String testNode = "/dubbo";
  private static final String readAuth = "read-user:123456";
  private static final String writeAuth = "write-user:123456";
  private static final String deleteAuth = "delete-user:123456";
  private static final String allAuth = "super-user:123456";
  private static final String adminAuth = "admin-user:123456";
  private static final String digest = "digest"; 

  private static void initNode() throws NoSuchAlgorithmException {
    ZkClient zkClient = new ZkClient(zkAddress);
    System.out.println(DigestAuthenticationProvider.generateDigest(allAuth));
    zkClient.addAuthInfo(digest, allAuth.getBytes());
    if (zkClient.exists(testNode)) {
      zkClient.delete(testNode);
      System.out.println("节点删除成功!");
    } 

    List<ACL> acls = new ArrayList<ACL>();
    acls.add(new ACL(ZooDefs.Perms.ALL, new Id(digest, DigestAuthenticationProvider.generateDigest(allAuth))));
    acls.add(new ACL(ZooDefs.Perms.ALL, new Id(digest, DigestAuthenticationProvider.generateDigest(allAuth))));
    acls.add(new ACL(ZooDefs.Perms.READ, new Id(digest, DigestAuthenticationProvider.generateDigest(readAuth))));
    acls.add(new ACL(ZooDefs.Perms.WRITE, new Id(digest, DigestAuthenticationProvider.generateDigest(writeAuth))));
    acls.add(new ACL(ZooDefs.Perms.DELETE, new Id(digest, DigestAuthenticationProvider.generateDigest(deleteAuth))));
    acls.add(new ACL(ZooDefs.Perms.ADMIN, new Id(digest, DigestAuthenticationProvider.generateDigest(adminAuth))));
    zkClient.createPersistent(testNode, testNode, acls); 

    System.out.println(zkClient.readData(testNode));
    System.out.println("节点创建成功!");
    zkClient.close();
  } 

  private static void readTest() {
    ZkClient zkClient = new ZkClient(zkAddress);
    try {
      System.out.println(zkClient.readData(testNode));//没有认证信息,读取会出错
    } catch (Exception e) {
      System.err.println(e.getMessage());
    } 

    try {
      zkClient.addAuthInfo(digest, adminAuth.getBytes());
      System.out.println(zkClient.readData(testNode));//admin权限与read权限不匹配,读取也会出错
    } catch (Exception e) {
      System.err.println(e.getMessage());
    } 

    try {
      zkClient.addAuthInfo(digest, readAuth.getBytes());
      System.out.println(zkClient.readData(testNode));//只有read权限的认证信息,才能正常读取
    } catch (Exception e) {
      System.err.println(e.getMessage());
    } 

    zkClient.close();
  } 

  private static void writeTest() {
    ZkClient zkClient = new ZkClient(zkAddress); 

    try {
      zkClient.writeData(testNode, "new-data");//没有认证信息,写入会失败
    } catch (Exception e) {
      System.err.println(e.getMessage());
    } 

    try {
      zkClient.addAuthInfo(digest, writeAuth.getBytes());
      zkClient.writeData(testNode, "new-data");//加入认证信息后,写入正常
    } catch (Exception e) {
      System.err.println(e.getMessage());
    } 

    try {
      zkClient.addAuthInfo(digest, readAuth.getBytes());
      System.out.println(zkClient.readData(testNode));//读取新值验证
    } catch (Exception e) {
      System.err.println(e.getMessage());
    } 

    zkClient.close();
  } 

  private static void deleteTest() {
    ZkClient zkClient = new ZkClient(zkAddress);
    zkClient.addAuthInfo(digest, deleteAuth.getBytes());
    try {
      System.out.println(zkClient.readData(testNode));
      zkClient.delete(testNode);
      System.out.println("节点删除成功!");
    } catch (Exception e) {
      System.err.println(e.getMessage());
    }
    zkClient.close();
  } 

  private static void changeACLTest() {
    ZkClient zkClient = new ZkClient(zkAddress);
    //注:zkClient.setAcl方法查看源码可以发现,调用了readData、setAcl二个方法
    //所以要修改节点的ACL属性,必须同时具备read、admin二种权限
    zkClient.addAuthInfo(digest, adminAuth.getBytes());
    zkClient.addAuthInfo(digest, readAuth.getBytes());
    try {
      List<ACL> acls = new ArrayList<ACL>();
      acls.add(new ACL(ZooDefs.Perms.ALL, new Id(digest, DigestAuthenticationProvider.generateDigest(adminAuth))));
      zkClient.setAcl(testNode, acls);
      Map.Entry<List<ACL>, Stat> aclResult = zkClient.getAcl(testNode);
      System.out.println(aclResult.getKey());
    } catch (Exception e) {
      System.err.println(e.getMessage());
    }
    zkClient.close();
  } 

  public static void main(String[] args) throws Exception { 

    initNode(); 

    System.out.println("---------------------"); 

    readTest(); 

    System.out.println("---------------------"); 

    writeTest(); 

    System.out.println("---------------------"); 

    changeACLTest(); 

    System.out.println("---------------------"); 

    deleteTest();
  }
}

总结

大部分服务大都是部署在内网的,基本很少对外网开放,然而Dubbo的zookeeper用户权限认证貌似真的不起作用,如果非要对外开放只能通过iptables或者firewall进行IP Access Control,如果是阿里云服务器的话安全组也是个不错的选择。

以上这篇分布式服务Dubbo+Zookeeper安全认证实例就是小编分享给大家的全部内容了,希望能给大家一个参考,也希望大家多多支持我们。

(0)

相关推荐

  • Springboot 整合 Dubbo/ZooKeeper 实现 SOA 案例解析

    一.为啥整合 Dubbo 实现 SOA Dubbo 不单单只是高性能的 RPC 调用框架,更是 SOA 服务治理的一种方案. 核心: 远程通信,向本地调用一样调用远程方法. 集群容错 服务自动发现和注册,可平滑添加或者删除服务提供者. 我们常常使用 Springboot 暴露 HTTP 服务,并走 JSON 模式.但慢慢量大了,一种 SOA 的治理方案.这样可以暴露出 Dubbo 服务接口,提供给 Dubbo 消费者进行 RPC 调用.下面我们详解下如何集成 Dubbo. 二.运行 spring

  • 分布式服务Dubbo+Zookeeper安全认证实例

    前言 由于之前的服务都是在内网,Zookeeper集群配置都是走的内网IP,外网不开放相关端口.最近由于业务升级,购置了阿里云的服务,需要对外开放Zookeeper服务. 问题 Zookeeper+dubbo,如何设置安全认证?不想让其他服务连接Zookeeper,因为这个Zookeeper服务器在外网. 查询官方文档: Zookeeper 是 Apacahe Hadoop 的子项目,是一个树型的目录服务,支持变更推送,适合作为 Dubbo 服务的注册中心,工业强度较高,可用于生产环境,并推荐使

  • springboot+dubbo+zookeeper的简单实例详解

    目录 服务端 消费端 在dubbo-admin-0.0.1-SNAPSHOT.jar的路径下启动dubbo,java -jar dubbo-admin-0.0.1-SNAPSHOT.jar dubbo-admin-0.0.1-SNAPSHOT.jar的包需要提前打好 启动zookeeper的zkServer.cmd和zkCli.cmd 需要的依赖 <!-- 导入依赖:zookeeper + dubbo --> <!-- https://mvnrepository.com/artifact

  • Dubbo+zookeeper搭配分布式服务的过程详解

    目录 分布式架构: Dubbo 是什么 Dubbo: 思想: 依赖: 分布式架构: 1.当垂直应用越来越多,应用之间交互不可避免,将核心业务抽取出来,作为独立的服务,逐渐形成稳定的服务中心,前端应用能更快速的响应多变的市场需求. 2.此时,用于提高业务复用及整合的 分布式服务框架(RPC) 是关键. Dubbo 是什么 一款分布式服务框架 高性能和透明化的RPC远程服务调用方案 SOA服务治理方案 Dubbo: 作为分布式架构比较后的框架,同时也是比较容易入手的框架,适合作为分布式的入手框架,下

  • 详解SpringBoot开发案例之整合Dubbo分布式服务

    前言 在 SpringBoot 很火热的时候,阿里巴巴的分布式框架 Dubbo 不知是处于什么考虑,在停更N年之后终于进行维护了.在之前的微服务中,使用的是当当维护的版本 Dubbox,整合方式也是使用的 xml 配置方式. 改造前 之前在 SpringBoot 中使用 Dubbox是这样的.先简单记录下版本,Dubbox-2.8.4.zkclient-0.6.zookeeper-3.4.6. 项目中引入 spring-context-dubbo.xml 配置文件如下: <?xml versio

  • 使用dubbo+zookeeper+spring boot构建服务的方法详解

    前言 互联网的发展,网站应用的规模不断扩大,常规的垂直应用架构已无法应对,分布式服务架构以及流动计算架构势在必行,Dubbo是一个分布式服务框架,在这种情况下诞生的.现在核心业务抽取出来,作为独立的服务,使前端应用能更快速和稳定的响应. Dubbo是什么 Dubbo是Alibaba开源的分布式服务框架,它最大的特点是按照分层的方式来架构,使用这种方式可以使各个层之间解耦合(或者最大限度地松耦合).从服务模型的角度来看,Dubbo采用的是一种非常简单的模型,要么是提供方提供服务,要么是消费方消费服

  • SpringBoot中dubbo+zookeeper实现分布式开发的应用详解

    总体实现思路是启动一个生产者项目注册, 将所含服务注册到zookeeper的注册中心, 然后在启动一个消费者项目,将所需服务向zookeeper注册中心进行订阅, 等待注册中心的通知 注册中心基于负载均衡算法给消费者匹配到合适的生产者主机,然后通知消费者可以使用 实现生产者 导入zookeeper依赖包 <!-- Dubbo Spring Boot Starter --> <dependency> <groupId>org.apache.dubbo</groupI

  • SpingBoot+Dubbo+Zookeeper实现简单分布式开发的应用详解

    开始接触分布式概念,学习之前要准备搭建Dubbo和Zookeeper环境的简单搭建. Window下安装Zookeeper和Dubbo-admin 1.Apache官网下载Zookeeper 点击官网地址下载最新版 下载完成后,打开apache-zookeeper-3.6.2-bin\bin下zkServer.cmd,正常第一次都会闪退的,因为没有配置好zoo.cfg配置文件. 将conf目录下的zoo_sample.cfg文件,复制一份,重命名为zoo.cfg 在apache-zookeepe

  • java开发分布式服务框架Dubbo暴露服务过程详解

    目录 Dubbo服务暴露机制 前言 服务暴露流程 源码解析 本地暴露 远程暴露 Dubbo服务暴露机制 前言 在进行服务暴露机制的分析之前,必须谈谈什么是URL,在Dubbo服务暴露过程中URL是无处不在的,贯穿了整个过程. 一般情况下,URL指的是统一资源定位符,标准格式如下: protocol://host:port/path?key1=value1&key2=value2 Dubbo就是用这种URL的方式来作为约定的参数类型,服务之间也是用URL来进行交互. Dubbo用URL作为配置总线

  • java开发分布式服务框架Dubbo服务引用过程详解

    目录 大致流程 服务引用策略 服务引用的三种方式 服务引入流程解析 总结 大致流程 Provider将服务暴露出来并且注册到注册中心,而Consumer通过注册中心获取Provider的信息,之后将自己封装成一个调用类去与Provider进行交互. 首先需要将所有调用转化为Dubbo中我们熟悉的Invoker,再通过代理类去远程获取服务. 大致流程如下: 服务引用策略 服务的引用和服务的暴露原理相似,都是Spring自定义标签机制解析生成对应的Bean,在之前服务暴露使用到的Provider S

  • springBoot+dubbo+zookeeper实现分布式开发应用的项目实践

    目录 环境搭建 1.我们首先做好服务端 2.启动服务端 3.我们再来做客户端 4.总结 环境搭建 项目结构图: 1.我们首先做好服务端 pom.xml <dependencies> <!--导入依赖:Dubbo + zookeeper--> <dependency> <groupId>org.apache.dubbo</groupId> <artifactId>dubbo-spring-boot-starter</artifac

随机推荐