Zookeeper ACL

一、前言

为了避免存储在 Zookeeper 上的数据被其他程序或者人为误修改,Zookeeper 提供了 ACL(Access Control Lists) 进行权限控制。只有拥有对应权限的用户才可以对节点进行增删改查等操作。下文分别介绍使用原生的 Shell 命令和 Apache Curator 客户端进行权限设置。

二、使用Shell进行权限管理

2.1 设置与查看权限

想要给某个节点设置权限 (ACL),有以下两个可选的命令:

  1. # 1.给已有节点赋予权限
  2. setAcl path acl
  3. # 2.在创建节点时候指定权限
  4. create [-s] [-e] path data acl

查看指定节点的权限命令如下:

  1. getAcl path

2.2 权限组成

Zookeeper 的权限由[scheme : id :permissions]三部分组成,其中 Schemes 和 Permissions 内置的可选项分别如下:

Permissions 可选项

  • CREATE:允许创建子节点;
  • READ:允许从节点获取数据并列出其子节点;
  • WRITE:允许为节点设置数据;
  • DELETE:允许删除子节点;
  • ADMIN:允许为节点设置权限。

Schemes 可选项

  • world:默认模式,所有客户端都拥有指定的权限。world 下只有一个 id 选项,就是 anyone,通常组合写法为 world:anyone:[permissons]
  • auth:只有经过认证的用户才拥有指定的权限。通常组合写法为 auth:user:password:[permissons],使用这种模式时,你需要先进行登录,之后采用 auth 模式设置权限时,userpassword 都将使用登录的用户名和密码;
  • digest:只有经过认证的用户才拥有指定的权限。通常组合写法为 auth:user:BASE64(SHA1(password)):[permissons],这种形式下的密码必须通过 SHA1 和 BASE64 进行双重加密;
  • ip:限制只有特定 IP 的客户端才拥有指定的权限。通常组成写法为 ip:182.168.0.168:[permissions]
  • super:代表超级管理员,拥有所有的权限,需要修改 Zookeeper 启动脚本进行配置。

2.3 添加认证信息

可以使用如下所示的命令为当前 Session 添加用户认证信息,等价于登录操作。

  1. # 格式
  2. addauth scheme auth
  3. #示例:添加用户名为heibai,密码为root的用户认证信息
  4. addauth digest heibai:root

2.4 权限设置示例

1. world模式

world 是一种默认的模式,即创建时如果不指定权限,则默认的权限就是 world。

  1. [zk: localhost:2181(CONNECTED) 32] create /hadoop 123
  2. Created /hadoop
  3. [zk: localhost:2181(CONNECTED) 33] getAcl /hadoop
  4. 'world,'anyone #默认的权限
  5. : cdrwa
  6. [zk: localhost:2181(CONNECTED) 34] setAcl /hadoop world:anyone:cwda # 修改节点,不允许所有客户端读
  7. ....
  8. [zk: localhost:2181(CONNECTED) 35] get /hadoop
  9. Authentication is not valid : /hadoop # 权限不足

2. auth模式

  1. [zk: localhost:2181(CONNECTED) 36] addauth digest heibai:heibai # 登录
  2. [zk: localhost:2181(CONNECTED) 37] setAcl /hadoop auth::cdrwa # 设置权限
  3. [zk: localhost:2181(CONNECTED) 38] getAcl /hadoop # 获取权限
  4. 'digest,'heibai:sCxtVJ1gPG8UW/jzFHR0A1ZKY5s= #用户名和密码 (密码经过加密处理),注意返回的权限类型是 digest
  5. : cdrwa
  6. #用户名和密码都是使用登录的用户名和密码,即使你在创建权限时候进行指定也是无效的
  7. [zk: localhost:2181(CONNECTED) 39] setAcl /hadoop auth:root:root:cdrwa #指定用户名和密码为 root
  8. [zk: localhost:2181(CONNECTED) 40] getAcl /hadoop
  9. 'digest,'heibai:sCxtVJ1gPG8UW/jzFHR0A1ZKY5s= #无效,使用的用户名和密码依然还是 heibai
  10. : cdrwa

3. digest模式

  1. [zk:44] create /spark "spark" digest:heibai:sCxtVJ1gPG8UW/jzFHR0A1ZKY5s=:cdrwa #指定用户名和加密后的密码
  2. [zk:45] getAcl /spark #获取权限
  3. 'digest,'heibai:sCxtVJ1gPG8UW/jzFHR0A1ZKY5s= # 返回的权限类型是 digest
  4. : cdrwa

到这里你可以发现使用 auth 模式设置的权限和使用 digest 模式设置的权限,在最终结果上,得到的权限模式都是 digest。某种程度上,你可以把 auth 模式理解成是 digest 模式的一种简便实现。因为在 digest 模式下,每次设置都需要书写用户名和加密后的密码,这是比较繁琐的,采用 auth 模式就可以避免这种麻烦。

4. ip模式

限定只有特定的 ip 才能访问。

  1. [zk: localhost:2181(CONNECTED) 46] create /hive "hive" ip:192.168.0.108:cdrwa
  2. [zk: localhost:2181(CONNECTED) 47] get /hive
  3. Authentication is not valid : /hive # 当前主机已经不能访问

这里可以看到当前主机已经不能访问,想要能够再次访问,可以使用对应 IP 的客户端,或使用下面介绍的 super 模式。

5. super模式

需要修改启动脚本 zkServer.sh,并在指定位置添加超级管理员账户和密码信息:

  1. "-Dzookeeper.DigestAuthenticationProvider.superDigest=heibai:sCxtVJ1gPG8UW/jzFHR0A1ZKY5s="
Zookeeper  ACL 权限控制 - 图1

修改完成后需要使用 zkServer.sh restart 重启服务,此时再次访问限制 IP 的节点:

  1. [zk: localhost:2181(CONNECTED) 0] get /hive #访问受限
  2. Authentication is not valid : /hive
  3. [zk: localhost:2181(CONNECTED) 1] addauth digest heibai:heibai # 登录 (添加认证信息)
  4. [zk: localhost:2181(CONNECTED) 2] get /hive #成功访问
  5. hive
  6. cZxid = 0x158
  7. ctime = Sat May 25 09:11:29 CST 2019
  8. mZxid = 0x158
  9. mtime = Sat May 25 09:11:29 CST 2019
  10. pZxid = 0x158
  11. cversion = 0
  12. dataVersion = 0
  13. aclVersion = 0
  14. ephemeralOwner = 0x0
  15. dataLength = 4
  16. numChildren = 0

三、使用Java客户端进行权限管理

3.1 主要依赖

这里以 Apache Curator 为例,使用前需要导入相关依赖,完整依赖如下:

  1. <dependencies>
  2. <!--Apache Curator 相关依赖-->
  3. <dependency>
  4. <groupId>org.apache.curator</groupId>
  5. <artifactId>curator-framework</artifactId>
  6. <version>4.0.0</version>
  7. </dependency>
  8. <dependency>
  9. <groupId>org.apache.curator</groupId>
  10. <artifactId>curator-recipes</artifactId>
  11. <version>4.0.0</version>
  12. </dependency>
  13. <dependency>
  14. <groupId>org.apache.zookeeper</groupId>
  15. <artifactId>zookeeper</artifactId>
  16. <version>3.4.13</version>
  17. </dependency>
  18. <!--单元测试相关依赖-->
  19. <dependency>
  20. <groupId>junit</groupId>
  21. <artifactId>junit</artifactId>
  22. <version>4.12</version>
  23. </dependency>
  24. </dependencies>

3.2 权限管理API

Apache Curator 权限设置的示例如下:

  1. public class AclOperation {
  2. private CuratorFramework client = null;
  3. private static final String zkServerPath = "192.168.0.226:2181";
  4. private static final String nodePath = "/hadoop/hdfs";
  5. @Before
  6. public void prepare() {
  7. RetryPolicy retryPolicy = new RetryNTimes(3, 5000);
  8. client = CuratorFrameworkFactory.builder()
  9. .authorization("digest", "heibai:123456".getBytes()) //等价于 addauth 命令
  10. .connectString(zkServerPath)
  11. .sessionTimeoutMs(10000).retryPolicy(retryPolicy)
  12. .namespace("workspace").build();
  13. client.start();
  14. }
  15. /**
  16. * 新建节点并赋予权限
  17. */
  18. @Test
  19. public void createNodesWithAcl() throws Exception {
  20. List<ACL> aclList = new ArrayList<>();
  21. // 对密码进行加密
  22. String digest1 = DigestAuthenticationProvider.generateDigest("heibai:123456");
  23. String digest2 = DigestAuthenticationProvider.generateDigest("ying:123456");
  24. Id user01 = new Id("digest", digest1);
  25. Id user02 = new Id("digest", digest2);
  26. // 指定所有权限
  27. aclList.add(new ACL(Perms.ALL, user01));
  28. // 如果想要指定权限的组合,中间需要使用 | ,这里的|代表的是位运算中的 按位或
  29. aclList.add(new ACL(Perms.DELETE | Perms.CREATE, user02));
  30. // 创建节点
  31. byte[] data = "abc".getBytes();
  32. client.create().creatingParentsIfNeeded()
  33. .withMode(CreateMode.PERSISTENT)
  34. .withACL(aclList, true)
  35. .forPath(nodePath, data);
  36. }
  37. /**
  38. * 给已有节点设置权限,注意这会删除所有原来节点上已有的权限设置
  39. */
  40. @Test
  41. public void SetAcl() throws Exception {
  42. String digest = DigestAuthenticationProvider.generateDigest("admin:admin");
  43. Id user = new Id("digest", digest);
  44. client.setACL()
  45. .withACL(Collections.singletonList(new ACL(Perms.READ | Perms.DELETE, user)))
  46. .forPath(nodePath);
  47. }
  48. /**
  49. * 获取权限
  50. */
  51. @Test
  52. public void getAcl() throws Exception {
  53. List<ACL> aclList = client.getACL().forPath(nodePath);
  54. ACL acl = aclList.get(0);
  55. System.out.println(acl.getId().getId()
  56. + "是否有删读权限:" + (acl.getPerms() == (Perms.READ | Perms.DELETE)));
  57. }
  58. @After
  59. public void destroy() {
  60. if (client != null) {
  61. client.close();
  62. }
  63. }
  64. }

完整源码见本仓库: https://github.com/heibaiying/BigData-Notes/tree/master/code/Zookeeper/curator