Apache Druid安全加固实战:从SSL加密到细粒度权限控制
项目地址: https://gitcode.com/gh_mirrors/druid7/druid 安全风险与防护体系
Apache Druid作为实时分析数据库,其分布式架构涉及多个组件间通信和外部数据交互,面临传输层窃听、未授权访问等安全威胁。完整防护体系需覆盖传输加密、身份认证、授权控制三大层面,对应配置文件分布在examples/conf/druid/_common/common.runtime.properties和各节点专属配置中。
安全配置涉及组件
- ZooKeeper:集群协调服务,需开启ACL访问控制
- 元数据库:存储元数据,需配置数据库认证
- Druid节点:Broker/Coordinator/Historical等,需启用HTTPS和内部认证
- 扩展组件:通过extensions-core/加载安全相关扩展
传输层加密(SSL/TLS配置)
全局SSL配置
在common.runtime.properties中启用SSL,所有节点共享基础加密设置:
# 启用SSL
druid.enableTls=true
druid.ssl.protocol=TLSv1.2
druid.ssl.provider=JDK
# 密钥库配置
druid.ssl.keystore.type=JKS
druid.ssl.keystore.path=/path/to/druid.keystore
druid.ssl.keystore.password=changeit
druid.ssl.key.password=changeit
# 信任库配置
druid.ssl.truststore.type=JKS
druid.ssl.truststore.path=/path/to/druid.truststore
druid.ssl.truststore.password=changeit
节点专属SSL配置
各服务节点需在独立配置文件中指定SSL端口,以Broker为例:examples/conf/druid/broker/runtime.properties
# Broker SSL端口
druid.port=8283
druid.ssl.port=9083
# 强制所有通信使用SSL
druid.server.ssl.required=true
身份认证实现
ZooKeeper ACL配置
在common.runtime.properties中启用ZooKeeper访问控制:
# 启用ZooKeeper ACL
druid.zk.service.acl=true
druid.zk.service.username=zkadmin
druid.zk.service.password=securepassword
元数据库认证
元数据库连接需配置认证信息,支持MySQL/PostgreSQL等,以MySQL为例:
# MySQL元数据库认证
druid.metadata.storage.type=mysql
druid.metadata.storage.connector.connectURI=jdbc:mysql://db.example.com:3306/druid
druid.metadata.storage.connector.user=metadata_user
druid.metadata.storage.connector.password={"type":"environment","variable":"METADATA_STORAGE_PASSWORD"}
授权控制机制
查询权限控制
通过Broker配置实现基于数据源的访问控制,修改broker.md中相关参数:
# 启用查询授权
druid.broker.authorization.enabled=true
druid.broker.authorization.accessControl=io.druid.security.basic.BasicAccessControl
druid.broker.authorization.basic.rolesFile=/path/to/roles.json
角色配置文件示例:
{
"roles": {
"analyst": {
"datasources": {
"web_logs": ["READ"],
"user_events": ["READ"]
}
},
"admin": {
"datasources": {
"*": ["READ", "WRITE"]
}
}
},
"users": {
"alice": ["analyst"],
"bob": ["admin"]
}
}
内部服务认证
启用Druid内部服务间认证,在common.runtime.properties中配置:
# 启用服务间认证
druid.server.http.numThreads=20
druid.server.authentication.enabled=true
druid.server.authentication.type=kerberos
druid.server.authentication.kerberos.principal=druid/_HOST@EXAMPLE.COM
druid.server.authentication.kerberos.keytab=/path/to/druid.keytab
安全监控与审计
请求日志记录
启用详细请求日志,在configuration/logging.md中配置:
# 启用请求日志
druid.request.logging.type=file
druid.request.logging.dir=/var/log/druid/requests
druid.request.logging.rollPeriod=P1D
安全监控指标
添加安全相关监控器,在common.runtime.properties中配置:
druid.monitoring.monitors=["com.metamx.metrics.JvmMonitor", "io.druid.security.SecurityMonitor"]
druid.emitter=logging
druid.emitter.logging.logLevel=info
配置验证与部署
配置文件完整性检查
确保所有安全配置文件正确放置在对应目录:
- 通用配置:examples/conf/druid/_common/
- 节点配置:examples/conf/druid/broker/, examples/conf/druid/coordinator/等
部署后验证步骤
- 检查SSL端口监听状态:
netstat -tlnp | grep 9083 - 验证加密通信:
curl -k https://broker-host:9083/status - 测试权限控制:使用未授权用户执行查询验证访问拒绝
安全最佳实践
- 密钥管理:使用环境变量或密钥管理服务存储敏感密码,如元数据库密码配置
- 最小权限原则:为各组件配置专用服务账户,如ZooKeeper独立用户
- 定期轮换:证书和密钥应定期更新,通过upload.sh脚本自动化部署
- 禁用不必要功能:如无特殊需求,保持
druid.javascript.enabled=false
完整安全配置示例可参考官方文档configuration/index.md,生产环境部署前建议通过集成测试验证安全配置有效性。
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
