本文详细介绍了三种解决ZooKeeper访问权限问题的方法,包括指定IP白名单、配置防火墙策略以及增加认证用户和设置权限。同时,文章还解释了ZK节点的五种操作权限及四种身份认证方式。
修复办法一(推荐指定IP白名单):
1. 找到目录 zkCli.sh文件目录
find / -name zkCli.sh
2. 进入目录
cd /opt/zookeeper-3.4.12/bin/
3. 登录zk
./zkCli.sh -server zkip:zk端口
4. 查看当前权限:
getAcl /
5、添加可访问IP
setAcl / ip:192.168.1.xx:cdrwa,ip:192.168.1.xx:cdrwa
6、查看当前访问ip权限
未授权也可以连接,但是查看节点时会报错"KeeperErrorCode = NoAuth for /",localhost都不行,必须填可访问IP,才能访问。
回退办法:
1. 使用之前设置的IP进行访问:(如果未使用设置的ip进行访问只能查看,修改会报未授权错误)
./zkCli.sh -server zkip:zk端口
设置为所有人可访问:
setAcl / world:anyone:cdrwa
ZK的节点有5种操作权限:
CREATE、READ、WRITE、DELETE、ADMIN 也就是 增、删、改、查、管理权限,这5种权限简写为crwda(即:每个单词的首字符缩写)
注:这5种权限中,delete是指对子节点的删除权限,其它4种权限指对自身节点的操作权限
身份的认证有4种方式:
world:默认方式,相当于全世界都能访问
auth:代表已经认证通过的用户(cli中可以通过addauth digest user:pwd 来添加当前上下文中的授权用户)
digest:即用户名:密码这种方式认证,这也是业务系统中最常用的
ip:使用Ip地址认证
配置防火墙策略,只允许指定IP访问2181端口。
Linux 6:
iptables -I INPUT -p tcp --dport 2181 -j DROP
iptables -I INPUT -s 172.16.65.xx -p tcp --dport 2181 -j ACCEPT
iptables -I INPUT -s 172.16.65.xx -p tcp --dport 2181 -j ACCEPT
iptables -I INPUT -s 172.16.65.xx -p tcp --dport 2181 -j ACCEPT
service iptables save
service iptables restart
iptables -L
Linux 7:
firewall-cmd --zone=public --remove-port=2181/tcp --permanent
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.0.2.181" port protocol="tcp" port="2181" accept"
firewall-cmd --reload
firewall-cmd --list-all
修复办法三(需要改程序):
1)增加一个认证用户
addauth digest 用户名:密码明文
eg. addauth digest user1:password1
2)设置权限
setAcl /path auth:用户名:密码明文:权限
eg. setAcl /test auth:user1:password1:cdrwa
3)查看Acl设置
getAcl /path
//-------------setAcl /path digest:用户名:密码密文:权限 //注:这里的加密规则是SHA1加密,然后base64编码。
为ZooKeeper配置相应的访问权限。
方式一:
1)增加一个认证用户
addauth digest 用户名user1:密码明文password1
addauth digest user1:password1
2)设置权限
setAcl /path auth:用户名user1:密码明文password1:权限
setAcl /path digest:用户名user1:密码密文xxxx:权限
setAcl /test auth:user1:password1:cdrwa
3)查看Acl设置
getAcl /path
扫一扫
1348
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
