Zookeeper在Linux中主要通過ACL(訪問控制列表)和認證機制實現權限管理�,核心要點如下:
一�����、權限管理核心機制
-
ACL(訪問控制列表)
- 權限模式(Scheme):
world:默認模式���,所有用戶可訪問��。ip:基于IP地址限制訪問���,如ip:192.168.1.0/24:rw����。auth:用戶名+密碼認證(需先通過addauth添加用戶)����。digest:加密的用戶名+密碼認證(推薦�,使用SHA-1加密)�����。super:超級管理員模式�����,擁有所有權限�。
- 權限類型(Permission):
c(創建子節點)�����、d(刪除子節點)���、r(讀取數據/子節點列表)���、w(寫入數據)���、a(管理ACL)�。
-
認證機制
- 配置認證提供者:在
zoo.cfg中指定認證方式����,如authProvider.1=org.apache.zookeeper.server.auth.DigestAuthenticationProvider���。
- 添加用戶:通過
addauth命令添加認證用戶(如addauth digest user1:password)���。
二����、常用操作命令
- 查看ACL:
getAcl /path/to/node��。
- 設置ACL:
setAcl /path/to/node <scheme>:<ID>:<權限>��,例如:
setAcl /node1 digest:user1:rw(設置用戶user1的讀寫權限)����。setAcl /node2 ip:192.168.1.100:r(允許特定IP讀?���。?�。
- 添加認證用戶:
addauth <scheme> <auth>���,如addauth digest zkadmin:admin123�����。
三����、配置文件設置
在zoo.cfg中配置認證和ACL相關參數:
- 啟用認證提供者:
authProvider.1=org.apache.zookeeper.server.auth.DigestAuthenticationProvider�。
- 設置超級管理員(可選):
zookeeper.DigestAuthenticationProvider.superDigest=base64encoded(SHA1(password))����。
四��、注意事項
- 生產環境建議:使用
digest或kerberos/sasl認證���,避免明文密碼��;定期更新ACL權限����。
- 文件權限:確保Zookeeper數據目錄(如
/var/lib/zookeeper)和日志目錄權限正確�,通常設置為750��,所有者為zookeeper用戶����。
- SELinux:若啟用需調整策略����,或臨時關閉測試(
sudo setenforce 0)����。
參考來源:
