以下是关于zookeeper保护的众所周知的问题。我可能知识有限或者是Zookeeper,或者可能是我在xy问题的经典例子中的陷阱。所以我对各种建议持开放态度,请提出任何想法。
如果我想在具有静态IP的3服务器上运行Zoookeeper仲裁。我已完成所有配置和
My quorum are distributed over 3 server which static ip , lets say
server.1=xx.xx.x1:2888:3888
server.2=xx.xx.x2:2889:3889
server.3=xx.xx.x3:2890:3890
My concern is how should I protect it to other unauthorized zkClient to connect above quorum.
我能想到的一种方法是,不要为客户端打开端口,但接下来应用程序如何 (我用这个用于solr)solr连接?
其他问题是如何维护仲裁互连。我观察到一种奇怪的行为,我可以指出 从我当地到上面的法定人数的第四个动物园管理员(我必须只知道ip和端口并不难 找到)它将被吸收作为法定人数的一部分,然后我可以使用我的本地zkClient连接我的本地 动物园管理员,并有权访问我们不想要的法定人数。 我想以外国zookeeper服务器无法成为其中一部分的方式定义仲裁。
答案 0 :(得分:0)
查看zookeeper程序员指南:
特别关于ACL的一点: http://zookeeper.apache.org/doc/r3.2.2/zookeeperProgrammers.html#sc_ZooKeeperAccessControl
ZooKeeeper具有以下内置方案:
世界有一个id,任何人,代表任何人。 auth没有 使用任何id,代表任何经过身份验证的用户。摘要使用了 username:用于生成MD5哈希的密码字符串,然后用作 ACL ID标识。通过发送来完成身份验证 用户名:明文密码。在ACL中使用表达式时 将是用户名:base64编码的SHA1密码摘要。 ip使用 客户端主机IP作为ACL ID标识。 ACL表达式是 形成addr / bits,其中addr的最高有效位匹配 针对客户端主机IP的最重要部分。
Haven未使用,但这里是使用指南: https://ihong5.wordpress.com/2014/07/24/apache-zookeeper-setting-acl-in-zookeeper-client/
明天我会试试看!
以下是与策展人一起使用的指南: http://michaelmorello.blogspot.de/2012/12/zookeeper-netflix-curator-and-acls.html