Dubbo+Zookeeper ACL+ElasticJob

最新推荐文章于 2025-10-26 09:14:45 发布
原创 最新推荐文章于 2025-10-26 09:14:45 发布 · 1.2k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#zookeeper #dubbo #acl #elastic-job #spring boot

本文详细介绍了在Zookeeper开启ACL后,如何配置Dubbo和Elastic-Job以安全连接Zookeeper。首先,展示了在Zookeeper客户端设置/dubbo目录的ACL权限,然后分别讲解了在SpringBoot配置文件中添加dubbo.registry.username和password的步骤。对于Elastic-Job,建议将namespace设为dubbo.registry.group的值以简化配置。接着,分析了dubbo和elastic-job的源码,发现dubbo在创建目录时未设置ACL,而elastic-job创建的子目录权限与配置一致。最后,讨论了当前存在的安全风险,如dubbo服务目录权限过于开放。

一. 问题背景

当Zookeeper开启ACL后,Dubbo以及Elastic-Job需要如何配置来连接Zookeeper。

Zookeeper ACL介绍参考文章: https://cloud.tencent.com/developer/article/1414462

二. 组件版本

  1. zookeeper: 3.5.8
  2. dubbo: 2.6.6
  3. elastic-job: 1.0.6

三. ZK设置ACL

3.1 dubbo

dubbo默认是注册在/dubbo目录,下面以/dubbo目录为例说明。

1. 进入Zookeeper客户端,创建/dubbo目录及设置ACL权限。

$ create /dubbo 'data'
$ addauth digest hamawhite:123456

$ setAcl /dubbo auth:hamawhite:123456:cdwra
$ getAcl /dubbo

'digest,'hamawhite:YfjnOH3mtKecIPZ5prmNB7B6lA4=
: cdrwa

2.   修改SpringBoot的配置文件,增加duboo registry的username和password。

dubbo.registry.username=hamawhite
dubbo.registry.password=123456

如果Zookeeper管理员分配给指定的目录来注册,例如 /gou,则需要在dubbo的配置文件中还需增加 dubbo.registry.group=/shuqi 。

完整配置如下:

dubbo.registry.group=shuqi
dubbo.registry.username=hamawhite
dubbo.registry.password=123456

3.2 elastic-job

推荐把elastic-job的namespace配置为dubbo.registry.group的值,否则Zookeeper管理员还需要给elastic-job额外分配目录。

完整配置如下:

    <!--配置作业注册中心 -->
    <reg:zookeeper id="regCenter"
                   serverLists="${dubbo.registry.address}"
                   namespace="${dubbo.registry.group}"
                   digest="${dubbo.registry.username}:${dubbo.registry.password}"
                   baseSleepTimeMilliseconds="1000"
                   maxSleepTimeMilliseconds="3000"
                   maxRetries="0"/>

注意,在SpringBoot的配置中一定要定义dubbo.registry.group,如果是默认值,也要写dubbo.registry.group=dubbo。

四. ZK目录探索

4.1 dubbo registry目录

dubbo在/dubbo目录下注册的service都未设置ACL,权限都是world:anyone:cdrwa。这样其实任意用户能访问此service目录,仍有安全风险。

[zk: localhost:2181(CONNECTED) 64] getAcl /dubbo/com.dtwave.ai.api.service.ModelService
'world,'anyone
: cdrwa
[zk: localhost:2181(CONNECTED) 65] getAcl /dubbo/com.dtwave.ai.api.service.NotebookService
'world,'anyone
: cdrwa

4.2 dubbo 源码分析

dubbo2.6版本后Zookeeper客户端默认是Curator,因此查看com.alibaba.dubbo.remoting.zookeeper.curator.CuratorZookeeperClient的代码。

创建client代码如下:

    public CuratorZookeeperClient(URL url) {
        super(url);
        try {
            CuratorFrameworkFactory.Builder builder = CuratorFrameworkFactory.builder()
                    .connectString(url.getBackupAddress())
                    .retryPolicy(new RetryNTimes(1, 1000))
                    .connectionTimeoutMs(5000);
            String authority = url.getAuthority();
            if (authority != null && authority.length() > 0) {
                builder = builder.authorization("digest", authority.getBytes());
            }
            client = builder.build();
            client.getConnectionStateListenable().addListener(new ConnectionStateListener() {
                @Override
                public void stateChanged(CuratorFramework client, ConnectionState state) {
                    if (state == ConnectionState.LOST) {
                        CuratorZookeeperClient.this.stateChanged(StateListener.DISCONNECTED);
                    } else if (state == ConnectionState.CONNECTED) {
                        CuratorZookeeperClient.this.stateChanged(StateListener.CONNECTED);
                    } else if (state == ConnectionState.RECONNECTED) {
                        CuratorZookeeperClient.this.stateChanged(StateListener.RECONNECTED);
                    }
                }
            });
            client.start();
        } catch (Exception e) {
            throw new IllegalStateException(e.getMessage(), e);
        }
    }

可以看到,创建client的时候有处理授权,builder = builder.authorization("digest", authority.getBytes()) ,也未设置aclProvider。

在创建目录时候,也未设置ACL。 因此子目录权限都是默认的world:anyone:cdrwa。

    @Override
    public void createPersistent(String path) {
        try {
            client.create().forPath(path);
        } catch (NodeExistsException e) {
        } catch (Exception e) {
            throw new IllegalStateException(e.getMessage(), e);
        }
    }

    @Override
    public void createEphemeral(String path) {
        try {
            client.create().withMode(CreateMode.EPHEMERAL).forPath(path);
        } catch (NodeExistsException e) {
        } catch (Exception e) {
            throw new IllegalStateException(e.getMessage(), e);
        }
    }

补充创建目录可以通过配置withACL来设置ACL,示例代码如下:

具体可参考 https://blog.youkuaiyun.com/liuxiao723846/article/details/85303602

client.create().creatingParentsIfNeeded().withMode(CreateMode.PERSISTENT).withACL(acls).forPath(nodePath, nodeData);

4.3 elastic-job zookeeper目录

elastic-job在/dubbo目录下创建的子目录用户名和密码和配置项保持一致,permission权限都是cdrwa。

[zk: localhost:2181(CONNECTED) 66] getAcl /dubbo/updateNotebookStatusJob
'digest,'hamawhite:YfjnOH3mtKecIPZ5prmNB7B6lA4=
: cdrwa
[zk: localhost:2181(CONNECTED) 67] ls /dubbo/updateNotebookStatusJob
[config, execution, leader, servers]
[zk: localhost:2181(CONNECTED) 68] getAcl /dubbo/updateNotebookStatusJob/leader
'digest,'hamawhite:YfjnOH3mtKecIPZ5prmNB7B6lA4=
: cdrwa

4.4 elastic-job Zookeeper客户端源码分析

查看com.dangdang.ddframe.reg.zookeeper.ZookeeperRegistryCenter的代码。

创建client 核心代码如下:

    public void init() {
        ......

        if (!Strings.isNullOrEmpty(this.zkConfig.getDigest())) {
            builder.authorization("digest", this.zkConfig.getDigest().getBytes(Charset.forName("UTF-8"))).aclProvider(new ACLProvider() {
                public List<ACL> getDefaultAcl() {
                    return Ids.CREATOR_ALL_ACL;
                }

                public List<ACL> getAclForPath(String path) {
                    return Ids.CREATOR_ALL_ACL;
                }
            });
        }

        this.client = builder.build();
        this.client.start();

        try {
            this.client.blockUntilConnected();
            if (!Strings.isNullOrEmpty(this.zkConfig.getLocalPropertiesPath())) {
                this.fillData();
            }
        } catch (Exception var3) {
            RegExceptionHandler.handleException(var3);
        }

    }

可以看到,创建client的时候有处理授权,builder = builder.authorization("digest", authority.getBytes()) ,设置了aclProvider。

其中perms设置为全部权限,即cdrwa。Ids设置为AUTH_IDS,表示会继承客户端的身份鉴权信息。

      /**
         * This ACL gives the creators authentication id's all permissions.
         */
        public final ArrayList<ACL> CREATOR_ALL_ACL = new ArrayList<ACL>(
                Collections.singletonList(new ACL(Perms.ALL, AUTH_IDS)));

       /**
         * This Id is only usable to set ACLs. It will get substituted with the
         * Id's the client authenticated with.
         */
        public final Id AUTH_IDS = new Id("auth", "");

 

这样CreateBuilderImpl里的 acling = new ACLing(client.getAclProvider()),后续用client创建的子目录用户名和密码和配置项保持一致,permission权限都是cdrwa。

精选资源
Spring Boot 整合 Dubbo + Zookeeper 实现服务者与消费者的数据调用
03-20
1.SpringBoot聚合工程整合Dubbo,实现服务提供者与服务消费者的数据调用, 2.该项目提高了自己对Spring Boot整合Dubbo的理解,并深刻的认识到了服务者与消费者之间的调用及流程 4. Dubbo配置全部采用yml文件配置,...
springboot+dubbo+zookeeper构建的分布式调用服务框架
11-26
在这个"springboot+dubbo+zookeeper"的项目中,开发者使用SpringBoot作为基础框架,构建微服务应用。SpringBoot的自动配置特性使得初始化和配置过程更加简洁。然后,Dubbo被引入作为服务治理框架,它允许服务提供者...
springboot2.2+dubbo2.7环境下,尝试整合elastic-job的经历
new999zxy的专栏
10-29 1246
项目T的环境是springboot2.5+dubbo2.7,部署了6个节点,有一个定时任务只能在1个节点上跑但又要开4个线程进行加速,所以想把定时任务从spring schedule改造为分布式定时任务框架——Elastic-Job 最先引入elasticjob3,但其要求的curator版本是5.2.0,与dubbo2.7的要求curator的版本是2.8.0相冲突 尝试一:dubbo2.7升级到3.0,elasticjob3降级到elastic-job2,curator2.10.0 <dep
dubbo设置连接zookeeper权限
一屁小肥羊的专栏
01-14 4273
前言 最近自己的技术栈项目, 再升级dubbo为2.7.5, zookeeper3.5.6, curator-recipes升级为4.2.0的时候一直出现zookeeper not connected和Connection lost for ***的错误。之前未升级前还是好的...随手查看报错源码信息并百度,终于再stackflow上面找到原因.设置环境参数ZKC...
【微服务组件】Dubbo底层原理以及核心代码解读
最新发布
wendao76的专栏
10-26 1239
Dubbo核心原理与调用流程解析 摘要:Dubbo采用分层架构,核心角色包括服务提供者(Provider)、消费者(Consumer)、注册中心(Registry)等。服务注册时,Provider通过ServiceConfig解析配置并注册到注册中心;Consumer启动时通过ReferenceConfig生成代理并订阅服务。调用流程包含代理转发、路由过滤、负载均衡(随机/轮询等)、网络传输等步骤,支持多种容错策略(Failover/Failfast等)。关键机制包括SPI扩展体系,支持动态加载扩展实现。代
dubbo+zookeeper
weixin_43525993的博客
09-20 2264
学习目标 了解应用架构演进过程 了解RPC技术 [重点]掌握Dubbo框架的架构 [重点]掌握Zookeeper注册中心的基本使用 [重点]掌握Dubbo生产者和消费者的开发 了解Dubbo的底层原理 了解Dubbo的管理控制台的使用 了解Dubbo的相关配置 1. 应用架构的演进过程 单一应用架构(all in one) 当网站流量很小时,只需一个应用,将所有功能都部署在一起,以减少部署节点和成本。此时,用于简化增删改查工作量的数据访问框架(ORM)是关键。 垂直应用架构 当访问量逐渐增大,单一
Zookeeper03 - ZookeeperACL
漂流在深圳
06-11 2821
一、ACL 1、ACL全称Access Control Lists,叫做访问控制列表,Zookeeper用它来控制客户端对Zookeeper节点的操作;它包含以下五个权限: CREATE:表示创建子节点的权限 READ:表示获取节点数据和子节点列表的权限 WRITE:表示更新节点数据的权限 DELETE:表示删除子节点的权限 ADMIN:表示设置节点ACL的权限 要注意的
Zookeeper(四)Acl权限控制
jjavaboy的专栏
03-06 1580
传统的文件系统中,ACL分为两个维度,一个是属组,一个是权限,子目录/文件默认继承父目录的ACL。而在Zookeeper中,node的ACL是没 有继承关系的,是独立控制的。ZookeeperACL,可以从三个维度来理解:一是scheme; 二是user; 三是permission,通常表示为scheme:id:permissions, 下面从这三个方面分别来介绍: (1)scheme: sc
springBoot+dubbo+zookeeper分布式微服务
10-26
本项目"springBoot+dubbo+zookeeper分布式微服务"充分利用了这三个组件的优势,构建了一个高效、可扩展且易于维护的服务网络。以下是对这些技术及其整合应用的详细说明: **SpringBoot** SpringBootSpring框架的...
分布式服务Dubbo+Zookeeper安全认证实例
08-28
Dubbo+Zookeeper 的安全认证中,需要使用 ZookeeperACL 机制来控制用户对 Zookeeper 节点的访问权限。可以通过设置 Zookeeper 的用户名和密码来实现身份验证,然后使用 digest 方式来设置 ACL,从而控制用户...
dubbo+zookeeper+spring+springMVC+mybatis
07-23
【标题】"dubbo+zookeeper+spring+springMVC+mybatis" 描述了一个基于这些技术构建的服务消费方与服务提供方的项目架构。在这个架构中,`Dubbo`是核心的服务框架,它负责服务的注册与发现;`Zookeeper`作为注册中心...
zookeeper配置相应的acl权限
08-29
主要介绍了为zookeeper配置相应的acl权限的相关实例,具有一定参考价值,需要的朋友可以了解下。
zookeeper 访问控制acl
pzqingchong的专栏
09-26 419
http://www.wuzesheng.com/?p=2438
Dubbo 使用Zookeeper 作为注册中心遇到的问题(Elastic-job中的curator/ZK 使用时也遇到这个问题)
12-26 1342
最近在练习dubbo时候: 一、当不用注册中心时: server端: 1. 建一个父工程,所src 目录删除,pom中加入<dependencyManagement> 把所有的依赖包管理起来。 这样在子工程中引入依赖时,不用写依赖的版本。 2.然后再建两个module 工程, api-interface:定义好接口函数。 api-provider: 实现接口函数,在r...
IntelliJ IDEA 2017 Dubbo Elastic-job Redis Zookeeper RabbitMQ FastDFS MyCat 简介以及部分实现(三)...
weixin_30906701的博客
04-18 156
前言 首先需要说明一下,与前两章的安装篇不太一样,这篇主要扫清一下这些插件/框架 等都是干什么用的,大多数都会用于服务端或监测工具或其他,作为新手建立一个大概的思想更好的了解自己的项目.废话不多说直接进入正题. Dubbo 什么是Dubbo? Dubbo是一个分布式服务框架,由阿里旗下团队开发出来,来源与核心业务抽取出来说白了就是根据业务流向取出来做成框架,能...
elstic-job的介绍与使用
qq_37520786的博客
07-21 1272
elastic-job是当当开源的一款非常好用的作业框架,在这之前,我们开发定时任务一般都是使用quartz或者spring-task(ScheduledExecutorService),无论是使用quartz还是spring-task,我们都会至少遇到两个痛点: 1.不敢轻易跟着应用服务多节点部署,可能会重复多次执行而引发系统逻辑的错误。 2.quartz的集群仅仅只是用来HA,节点数量的增加并...
elastic-job源码分析(四)Leader选举
sjw_night的博客
03-15 714
对于一个分布式系统来说,为了保证数据的一致性,通常会选择一个主节点执行数据的写入,然后从节点同步主节点数据,elastic-job同样是一个道理。 首先看一下主节点的选举代码 public void registerStartUpInfo(final boolean enabled) { listenerManager.startAllListeners(); // leader选举 leaderService.electLeader(); s
[杂货铺系列]SpringBoot集成ElasticJob遇到的版本不兼容问题
WN-YoungKun的博客
11-20 1241
dubboelasticjobzookeeper版本冲突问题
zookeeper服务注册中心 设置连接时的账号密码策略
热门推荐
梦里蓝天
07-31 1万+
启动Zookeeper服务 本示例是在window环境下的,安装配置非常简单,下载zookeeper安装包后只要是复制con文件下zoo.cfg重命名为zoo_sample.cfg即可启动 启动Zookeeper客户端 如果在dubbo中没有指定分组的话,dubbo会默认生成一个分组dubbo,也就是在zookeeper下面会有个子节点dubbo也可以自己手动创建 create /dubbo 我这里已经创建过,所以提示dubbo已经存在。 添加用户名和密码 addauth digest test:t
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值