为zookeeper配置相应的acl权限
Zookeeper使用ACL来控制访问Znode,ACL的实现和UNIX的实现非常相似:它采用权限位来控制那些操作被允许,那些操作被禁止。但是和标准的UNIX权限不同的是,Znode没有限制用户(user,即文件的所有者),组(group)和其他(world)。Zookeepr是没有所有者的概念的。
每个ZNode的ACL是独立的,且子节点不会继承父节点的ACL。例如:Znode/app对于ip为172.16.16.1只有只读权限,而/app/status是world可读,那么任何人都可以获取/app/status;所以在Zookeeper中权限是没有继承和传递关系的,每个Znode的权限都是独立存在的。
Zookeeper支持可插拔的权限认证方案,分为三个维度:scheme,user,permission。通常表示为scheme:id,permissions,其中Scheme表示使用何种方式来进行访问控制,Id代表用户,Permission表示有什么权限。下面分别说说这三个维度:
ZooKeeper支持如下权限(permissions):
·CREATE:可以创建子节点
·READ:可以获取该节点的数据,也可以读取该节点所有的子节点。
·WRITE:可以写数据到该节点。
·DELETE:可以删除子节点。
·ADMIN:可以在该节点中设置权限。
简单来说,zookeeper的这5种操作权限,CREATE、READ、WRITE、DELETE、ADMIN也就是增、删、改、查、管理权限,这5种权限简写为crwda(即:每个单词的首字符缩写)
注:这5种权限中,delete是指对子节点的删除权限,其它4种权限指对自身节点的操作权限
内置的ACLSchemes:
world:只有一个id:anyone,world:anyone表示任何人都有访问权限,Zookeeper把任何人都有权限的节点都归属于world:anyone
auth:不需要任何id,只要是通过auth的user都有权限
digest:使用用户名/密码的方式验证,采用username:BASE64(SHA1(password))的字符串作为ACL的ID
ip:使用客户端的IP地址作为ACL的ID,设置的时候可以设置一个ip段,比如ip:192.168.1.0/16,表示匹配前16个bit的IP段
sasl:sasl的对应的id,是一个通过saslauthentication用户的id,zookeeper-3.4.4中的saslauthentication是通过kerberos来实现的,也就是说用户只有通过了kerberos认证,才能访问它有权限的node.
如果需要实现自己定义的Scheme,可以实现org.apache.zookeeper.server.auth.AuthenticationProvider接口。
示例:
@Test publicvoidtestAclServer(){ Listacls=newArrayList (2); try{ Idid1=newId("digest",DigestAuthenticationProvider.generateDigest("fish:fishpw")); ACLacl1=newACL(ZooDefs.Perms.WRITE,id1); Idid2=newId("digest",DigestAuthenticationProvider.generateDigest("qsd:qsdpw")); ACLacl2=newACL(ZooDefs.Perms.READ,id2); acls.add(acl1); acls.add(acl2); //所有用户都有权限 //Idworld=newId("world","anyone"); //ACLworldAcl=newACL(ZooDefs.Perms.READ,world); //acls.add(worldAcl); //10.0.2.76是本机IP //Idid3=newId("ip","10.0.2.76"); //ACLacl3=newACL(ZooDefs.Perms.WRITE,id3); //acls.add(acl3); }catch(NoSuchAlgorithmExceptione1){ e1.printStackTrace(); } ZooKeeperzk=null; try{ zk=newZooKeeper("10.0.1.75:2181,10.0.1.76:2181,10.0.1.77:2181",300000,newWatcher(){ //监控所有被触发的事件 publicvoidprocess(WatchedEventevent){ System.out.println("已经触发了"+event.getType()+"事件!"); } }); if(zk.exists("/test",true)==null){ System.out.println(zk.create("/test","ACL测试".getBytes(),acls,CreateMode.PERSISTENT)); } }catch(IOExceptione){ e.printStackTrace(); }catch(KeeperExceptione1){ e1.printStackTrace(); }catch(InterruptedExceptione1){ e1.printStackTrace(); } } @Test publicvoidtestAclClient(){ try{ ZooKeeperzk=newZooKeeper("10.0.1.75:2181,10.0.1.76:2181,10.0.1.77:2181",300000,newWatcher(){ //监控所有被触发的事件 publicvoidprocess(WatchedEventevent){ System.out.println("已经触发了"+event.getType()+"事件!"); } }); //只有写权限 zk.addAuthInfo("digest","fish:fishpw".getBytes()); //只有读权限 zk.addAuthInfo("digest","qsd:qsdpw".getBytes()); System.out.println(newString(zk.getData("/test",null,null))); zk.setData("/test","Ichange!".getBytes(),-1); }catch(KeeperExceptione){ e.printStackTrace(); }catch(InterruptedExceptione){ e.printStackTrace(); }catch(IOExceptione){ e.printStackTrace(); } }
总结
以上就是本文关于为zookeeper配置相应的acl权限的全部内容,希望对大家有所帮助。有什么问题可以留言,小编会及时回复大家的,在此也感谢大家对本站的支持。