ZooKeeper的权限管理亦即ACL控制功能通过Server、Client两端协调完成:
Server端:
一个ZooKeeper的节点(znode)存储两部分内容:数据和状态,状态中包含ACL信息。创建一个znode会产生一个ACL列表,列表中每个ACL包括:
l 验证模式(scheme)
l 具体内容(Id)(当scheme=“digest”时,Id为用户名密码,例如“root:J0sTy9BCUKubtK1y8pkbL7qoxSw=”)
l 权限(perms)
ZooKeeper提供了如下几种验证模式(scheme):
l digest:Client端由用户名和密码验证,譬如user:password,digest的密码生成方式是Sha1摘要的base64形式
l auth:不使用任何id,代表任何已确认用户。
l ip:Client端由IP地址验证,譬如172.2.0.0/24
l world:固定用户为anyone,为所有Client端开放权限
l super:在这种scheme情况下,对应的id拥有超级权限,可以做任何事情(cdrwa)
注意的是,exists操作和getAcl操作并不受ACL许可控制,因此任何客户端可以查询节点的状态和节点的ACL。
节点的权限(perms)主要有以下几种:
l Create 允许对子节点Create操作
l Read 允许对本节点GetChildren和GetData操作
l Write 允许对本节点SetData操作
l Delete 允许对子节点Delete操作
l Admin 允许对本节点setAcl操作
Znode ACL权限用一个int型数字perms表示,perms的5个二进制位分别表示setacl、delete、create、write、read。比如0x1f=adcwr,0x1=----r,0x15=a-c-r。
[zk: localhost:2181(CONNECTED) 13] create /123 "123"
Created /123
[zk: localhost:2181(CONNECTED) 14] getAcl /123
'world,'anyone
: cdrwa
10.194.157.58这台机器上创建/test并设置ip访问权限
[zk: 10.194.157.58:2181(CONNECTED) 0] create /test "123"
Created /test
[zk: 10.194.157.58:2181(CONNECTED) 1] setAcl /test ip:10.194.157.58:crwda
cZxid = 0x740021e467
ctime = Wed Dec 02 18:09:09 CST 2015
mZxid = 0x740021e467
mtime = Wed Dec 02 18:09:09 CST 2015
pZxid = 0x740021e467
cversion = 0
dataVersion = 0
aclVersion = 1
ephemeralOwner = 0x0
dataLength = 5
numChildren = 0
[zk: 10.194.157.58:2181(CONNECTED) 2] ls /test
[]
可以看到,本机是可以访问的。
在10.205.148.152上登陆
[zk: 10.194.157.58:2181(CONNECTED) 1] ls /test
Authentication is not valid : /test
可以看到,连接的ip不在授权中,提示访问错误。
[root@rocket zookeeper-server1]# cd /usr/local/zookeeper-server1/
[root@rocket zookeeper-server1]# pwd
/usr/local/zookeeper-server1
# 生成密文
[root@rocket zookeeper-server1]# java -cp ./zookeeper-3.4.6.jar:./lib/log4j-1.2.16.jar:./lib/slf4j-log4j12-1.6.1.jar:./lib/slf4j-api-1.6.1.jar org.apache.zookeeper.server.auth.DigestAuthenticationProvider test:test
test:test->test:V28q/NynI4JI3Rk54h0r8O5kMug=
创建acl
通过认证后,可以访问数据:
[zk: localhost:2181(CONNECTED) 0]
[zk: localhost:2181(CONNECTED) 0] ls /test_acl
Authentication is not valid : /test_acl
[zk: localhost:2181(CONNECTED) 1] getAcl /test_acl
'digest,'test:V28q/NynI4JI3Rk54h0r8O5kMug=
: cdrwa
[zk: localhost:2181(CONNECTED) 2] addauth digest test:test
[zk: localhost:2181(CONNECTED) 3] ls /test_acl
[]
[zk: localhost:2181(CONNECTED) 4] get /test_acl
"test"
cZxid = 0x33
ctime = Wed Dec 02 00:10:47 PST 2015
mZxid = 0x33
mtime = Wed Dec 02 00:10:47 PST 2015
pZxid = 0x33
cversion = 0
dataVersion = 0
aclVersion = 1
ephemeralOwner = 0x0
dataLength = 6
numChildren = 0
当设置了znode权限,但是密码忘记了怎么办?还好Zookeeper提供了超级管理员机制。
一次Client对znode进行操作的验证ACL的方式为:
a) 遍历znode的所有ACL:
i. 对于每一个ACL,首先操作类型与权限(perms)匹配
ii. 只有匹配权限成功才进行session的auth信息与ACL的用户名、密码匹配
b) 如果两次匹配都成功,则允许操作;否则,返回权限不够error(rc=-102)
备注:如果znode ACL List中任何一个ACL都没有setAcl权限,那么就算superDigest也修改不了它的权限;再假如这个znode还不开放delete权限,那么它的所有子节点都将不会被删除。唯一的办法是通过手动删除snapshot和log的方法,将ZK回滚到一个以前的状态,然后重启,当然这会影响到该znode以外其它节点的正常应用。
superDigest设置的步骤
修改zkServer.sh,加入super权限设置
-Dzookeeper.DigestAuthenticationProvider.superDigest=super:gG7s8t3oDEtIqF6DM9LlI/R+9Ss=
重新启动Zookeeper
# ./zkServer.sh restart
这时候
不使用test:test进行认证,而是使用super:super进行认证:
[zk: localhost:2181(CONNECTED) 0] ls /test_acl
Authentication is not valid : /test_acl
[zk: localhost:2181(CONNECTED) 1] addauth digest super:super
[zk: localhost:2181(CONNECTED) 2] ls /test_acl
[]
[zk: localhost:2181(CONNECTED) 3] get /test_acl
"test"
cZxid = 0x33
ctime = Wed Dec 02 00:10:47 PST 2015
mZxid = 0x33
mtime = Wed Dec 02 00:10:47 PST 2015
pZxid = 0x33
cversion = 0
dataVersion = 0
aclVersion = 1
ephemeralOwner = 0x0
dataLength = 6
numChildren = 0
然而,ACL毕竟仅仅是访问控制,并非完善的权限管理,通过这种方式做多集群隔离,还有很多局限性:
ACL并无递归机制,任何一个znode创建后,都需要单独设置ACL,无法继承父节点的ACL设置。
除了ip这种scheme,digest和auth的使用对用户都不是透明的,这也给使用带来了很大的成本,很多依赖zookeeper的开源框架也没有加入对ACL的支持,例如hbase,storm。
ZooKeeper quota机制支持节点个数(znode)和空间大小(字节数)。
[zk: localhost:2181(CONNECTED) 2] create /test_quota "12345"
Created /test_quota
[zk: localhost:2181(CONNECTED) 3] listquota /test_quota
absolute path is /zookeeper/quota/test_quota/zookeeper_limits
quota for /test_quota does not exist.
# 这里看到quota还没有设置
[zk: localhost:2181(CONNECTED) 4] setquota -n 5 /test_quota
Comment: the parts are option -n val 5 path /test_quota
# -n表示设置znode count限制,这里表示/test_quota这个path下的znode count个数限制为5(包括/test_quota本身)
# -b 表示设置znode数据的字节大小限制,这里不做演示了,有兴趣的同学下去自己实验
[zk: localhost:2181(CONNECTED) 5] listquota /test_quota
absolute path is /zookeeper/quota/test_quota/zookeeper_limits
Output quota for /test_quota count=5,bytes=-1 # 限制znode count为5
Output stat for /test_quota count=1,bytes=7 # 目前znode count为1
[zk: localhost:2181(CONNECTED) 3] create /test_quota/0 "0"
Created /test_quota/0
[zk: localhost:2181(CONNECTED) 6] create /test_quota/1 "1"
Created /test_quota/1
[zk: localhost:2181(CONNECTED) 7] create /test_quota/2 "2"
Created /test_quota/2
[zk: localhost:2181(CONNECTED) 8] create /test_quota/3 "3"
Created /test_quota/3
[zk: localhost:2181(CONNECTED) 9] create /test_quota/4 "4"
Created /test_quota/4
# 上面新建了多个znode
看zookeeper的日志,发现有Quota exceeded的日志,这里要说明一下zookeeper的Quota机制是比较温和的,即使超限了,只是在日志中报告一下,并不会限制Client的行为,Client可以继续操作znode。
在实际项目中,Client可以查看/zookeeper/quota目录下的数据来确定是否超出quota限制,由此来做一些告警。
[zk: localhost:2181(CONNECTED) 4] get /zookeeper/quota/test_quota/zookeeper_limits
count=5,bytes=-1
[zk: localhost:2181(CONNECTED) 5] get /zookeeper/quota/test_quota/zookeeper_stats
count=7,bytes=25
如有对这方面感兴趣的同学,欢迎扫描下方二维码关注公众号“微IT之blog”
转载地址:https://www.cnblogs.com/linuxbug/p/5023677.html
文章浏览阅读5.8k次。在大数据的发展当中,大数据技术生态的组件,也在不断地拓展开来,而其中的Hive组件,作为Hadoop的数据仓库工具,可以实现对Hadoop集群当中的大规模数据进行相应的数据处理。今天我们的大数据入门分享,就主要来讲讲,Hive应用场景。关于Hive,首先需要明确的一点就是,Hive并非数据库,Hive所提供的数据存储、查询和分析功能,本质上来说,并非传统数据库所提供的存储、查询、分析功能。Hive..._hive应用场景
文章浏览阅读496次。Zblog是由Zblog开发团队开发的一款小巧而强大的基于Asp和PHP平台的开源程序,但是插件市场上的Zblog采集插件,没有一款能打的,要么就是没有SEO文章内容处理,要么就是功能单一。很少有适合SEO站长的Zblog采集。人们都知道Zblog采集接口都是对Zblog采集不熟悉的人做的,很多人采取模拟登陆的方法进行发布文章,也有很多人直接操作数据库发布文章,然而这些都或多或少的产生各种问题,发布速度慢、文章内容未经严格过滤,导致安全性问题、不能发Tag、不能自动创建分类等。但是使用Zblog采._zblog 网页采集插件
文章浏览阅读2.4k次,点赞2次,收藏2次。restUI页面提交1.1 添加上传jar包1.2 提交任务job1.3 查看提交的任务2. 命令行提交./flink-1.9.3/bin/flink run -c com.qu.wc.StreamWordCount -p 2 FlinkTutorial-1.0-SNAPSHOT.jar3. 命令行查看正在运行的job./flink-1.9.3/bin/flink list4. 命令行查看所有job./flink-1.9.3/bin/flink list --all._flink定时运行job
文章浏览阅读1k次,点赞2次,收藏6次。这个项目是基于STM32的LED闪烁项目,主要目的是让学习者熟悉STM32的基本操作和编程方法。在这个项目中,我们将使用STM32作为控制器,通过对GPIO口的控制实现LED灯的闪烁。这个STM32 LED闪烁的项目是一个非常简单的入门项目,但它可以帮助学习者熟悉STM32的编程方法和GPIO口的使用。在这个项目中,我们通过对GPIO口的控制实现了LED灯的闪烁。LED闪烁是STM32入门课程的基础操作之一,它旨在教学生如何使用STM32开发板控制LED灯的闪烁。_嵌入式stm32闪烁led实验总结
文章浏览阅读63次。本文介绍了安装和部署Debezium的详细步骤,并演示了如何将Debezium服务托管到systemctl以进行方便的管理。本文将详细介绍如何安装和部署Debezium,并将其服务托管到systemctl。解压缩后,将得到一个名为"debezium"的目录,其中包含Debezium的二进制文件和其他必要的资源。注意替换"ExecStart"中的"/path/to/debezium"为实际的Debezium目录路径。接下来,需要下载Debezium的压缩包,并将其解压到所需的目录。
文章浏览阅读4.4k次。需求:在诗词曲文项目中,诗词整篇朗读的时候,文章没有读完会因为屏幕熄灭停止朗读。要求:在文章没有朗读完毕之前屏幕常亮,读完以后屏幕常亮关闭;1.权限配置:设置电源管理的权限。
文章浏览阅读2.3k次。目标检测简介、评估标准、经典算法_目标检测
文章浏览阅读6.3k次,点赞4次,收藏9次。实训时需要安装SQL server2008 R所以我上网上找了一个.exe 的安装包链接:https://pan.baidu.com/s/1_FkhB8XJy3Js_rFADhdtmA提取码:ztki注:解压后1.04G安装时Microsoft需下载.NET,更新安装后会自动安装如下:点击第一个傻瓜式安装,唯一注意的是在修改路径的时候如下不可修改:到安装实例的时候就可以修改啦数据..._sqlserver 127 0 01 无法连接
文章浏览阅读7.4k次。1. Object.keys(item); 获取到了key之后就可以遍历的时候直接使用这个进行遍历所有的key跟valuevar infoItem={ name:'xiaowu', age:'18',}//的出来的keys就是[name,age]var keys=Object.keys(infoItem);2. 通常用于以下实力中 <div *ngFor="let item of keys"> <div>{{item}}.._js 遍历对象的key
文章浏览阅读2.2w次,点赞51次,收藏310次。粒子群算法求解路径规划路径规划问题描述 给定环境信息,如果该环境内有障碍物,寻求起始点到目标点的最短路径, 并且路径不能与障碍物相交,如图 1.1.1 所示。1.2 粒子群算法求解1.2.1 求解思路 粒子群优化算法(PSO),粒子群中的每一个粒子都代表一个问题的可能解, 通过粒子个体的简单行为,群体内的信息交互实现问题求解的智能性。 在路径规划中,我们将每一条路径规划为一个粒子,每个粒子群群有 n 个粒 子,即有 n 条路径,同时,每个粒子又有 m 个染色体,即中间过渡点的_粒子群算法路径规划
文章浏览阅读353次。所谓稳健的评估指标,是指在评估的过程中数据的轻微变化并不会显著的影响一个统计指标。而不稳健的评估指标则相反,在对交易系统进行回测时,参数值的轻微变化会带来不稳健指标的大幅变化。对于不稳健的评估指标,任何对数据有影响的因素都会对测试结果产生过大的影响,这很容易导致数据过拟合。_rar 海龟
文章浏览阅读607次,点赞2次,收藏7次。–基于STM32F103ZET6的UART通讯实现一、什么是IAP,为什么要IAPIAP即为In Application Programming(在应用中编程),一般情况下,以STM32F10x系列芯片为主控制器的设备在出厂时就已经使用J-Link仿真器将应用代码烧录了,如果在设备使用过程中需要进行应用代码的更换、升级等操作的话,则可能需要将设备返回原厂并拆解出来再使用J-Link重新烧录代码,这就增加了很多不必要的麻烦。站在用户的角度来说,就是能让用户自己来更换设备里边的代码程序而厂家这边只需要提供给_value line devices connectivity line devices