Apache ShardingSphere ElasticJob 连接 SASL 鉴权的 ZooKeeper 配置指南

Apache ShardingSphere ElasticJob 连接 SASL 鉴权的 ZooKeeper 配置指南

shardingsphere-elasticjob Shardingsphere是一个分布式的数据库分片方案，主要用于解决单机数据库容量不足的问题。它的特点是易用性高、性能稳定、支持多种数据库等。适用于分布式数据库场景。 项目地址: https://gitcode.com/gh_mirrors/sh/shardingsphere-elasticjob

什么是 SASL 鉴权

SASL（Simple Authentication and Security Layer）是一种为网络协议提供认证和安全服务的框架。在分布式系统中，ZooKeeper 作为协调服务经常需要配置 SASL 鉴权来保证通信安全。

Apache ShardingSphere ElasticJob 作为分布式任务调度框架，其注册中心组件 ZookeeperRegistryCenter 支持连接开启 SASL 鉴权的 ZooKeeper 服务器。本文将详细介绍两种常见的 SASL 认证方式：DIGEST-MD5 和 Kerberos 的配置方法。

DIGEST-MD5 认证配置

服务端配置

DIGEST-MD5 是一种基于用户名/密码的简单认证机制。以下是配置步骤：

1. 准备 JAAS 配置文件
   创建 jaas-server-test.conf 文件，内容如下：

   Server {
       org.apache.zookeeper.server.auth.DigestLoginModule required
       user_bob="bobsecret";
   };
   

   这里定义了一个用户名为 "bob"，密码为 "bobsecret" 的账户。

2. 启动 ZooKeeper 容器
   使用 Docker Compose 启动支持 SASL 的 ZooKeeper 服务：

   services:
     zookeeper-test:
       image: zookeeper:3.9.2
       volumes:
         - ./jaas-server-test.conf:/jaas-test.conf
       environment:
         JVMFLAGS: "-Djava.security.auth.login.config=/jaas-test.conf"
         ZOO_CFG_EXTRA: "authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider sessionRequireClientSASLAuth=true"
       ports:
         - "2181:2181"
   

客户端配置

在 ElasticJob 应用中配置 SASL 认证信息：

public class ExampleUtils {
    public void initSasl() {
        Configuration configuration = new Configuration() {
            @Override
            public AppConfigurationEntry[] getAppConfigurationEntry(final String name) {
                Map<String, String> conf = new HashMap<>();
                conf.put("username", "bob");
                conf.put("password", "bobsecret");
                AppConfigurationEntry[] entries = new AppConfigurationEntry[1];
                entries[0] = new AppConfigurationEntry(
                        "org.apache.zookeeper.server.auth.DigestLoginModule",
                        AppConfigurationEntry.LoginModuleControlFlag.REQUIRED,
                        conf);
                return entries;
            }
        };
        Configuration.setConfiguration(configuration);
    }
}

初始化 ElasticJob 注册中心

配置好 SASL 后，可以正常初始化 ElasticJob 的注册中心：

public CoordinatorRegistryCenter initElasticJob() {
    ZookeeperConfiguration zookeeperConfiguration = 
        new ZookeeperConfiguration("127.0.0.1:2181", "test-namespace");
    CoordinatorRegistryCenter regCenter = new ZookeeperRegistryCenter(zookeeperConfiguration);
    regCenter.init();
    return regCenter;
}

注意事项

1. 单个 JVM 进程同一时间只能使用一套 SASL 认证信息
2. 如需切换认证信息，需要先注销当前配置：

   Configuration.setConfiguration(null);
   

Kerberos 认证配置

Kerberos 是一种更安全的网络认证协议，配置流程与 DIGEST-MD5 类似，但需要额外搭建 Kerberos KDC（Key Distribution Center）服务。

关键配置点

1. Kerberos 服务端配置
   需要配置 Kerberos KDC 服务器，并创建相应的 principal（主体）和 keytab 文件。

2. ZooKeeper 服务端配置
   在 ZooKeeper 的 JAAS 配置文件中指定 Kerberos 相关参数。

3. 客户端配置
   在 ElasticJob 应用中配置 Kerberos 认证信息，包括 principal 和 keytab 文件路径。

实现建议

由于 Kerberos 配置较为复杂，建议参考官方文档获取详细的配置步骤和参数说明。配置完成后，ElasticJob 的注册中心可以像 DIGEST-MD5 方式一样初始化使用。

总结

本文详细介绍了 Apache ShardingSphere ElasticJob 如何连接开启 SASL 鉴权的 ZooKeeper 服务器。无论是简单的 DIGEST-MD5 认证还是更安全的 Kerberos 认证，都需要正确配置服务端和客户端参数。在实际生产环境中，建议根据安全需求选择合适的认证方式，并注意 JVM 级别的认证信息管理。

shardingsphere-elasticjob Shardingsphere是一个分布式的数据库分片方案，主要用于解决单机数据库容量不足的问题。它的特点是易用性高、性能稳定、支持多种数据库等。适用于分布式数据库场景。 项目地址: https://gitcode.com/gh_mirrors/sh/shardingsphere-elasticjob