RocketMQ学习笔记(一)

最新推荐文章于 2024-06-11 17:51:16 发布
最新推荐文章于 2024-06-11 17:51:16 发布
阅读量548 收藏
点赞数 1
分类专栏: Java RocketMQ
原文链接:https://github.com/apache/rocketmq/blob/master/docs/cn/acl/user_guide.md
版权

权限控制

1.权限控制特性介绍

权限控制(ACL)主要为RocketMQ提供Topic资源级别的用户访问控制。用户在使用RocketMQ权限控制时,可以在Client客户端通过 RPCHook注入AccessKey和SecretKey签名;同时,将对应的权限控制属性(包括Topic访问权限、IP白名单和AccessKey和SecretKey签名等)设置在distribution/conf/plain_acl.yml的配置文件中。Broker端对AccessKey所拥有的权限进行校验,校验不过,抛出异常;
ACL客户端可以参考:org.apache.rocketmq.example.simple包下面的AclClient代码。

2. 权限控制的定义与属性值

2.1权限定义

对RocketMQ的Topic资源访问权限控制定义主要如下表所示,分为以下四种

权限含义
DENY拒绝
ANYPUB 或者 SUB 权限
PUB发送权限
SUB订阅权限

2.2 权限定义的关键属性

字段取值含义
globalWhiteRemoteAddresses*;192.168.*.*;192.168.0.1全局IP白名单
accessKey字符串Access Key
secretKey字符串Secret Key
whiteRemoteAddress*;192.168.*.*;192.168.0.1用户IP白名单
admintrue;false是否管理员账户
defaultTopicPermDENY;PUB;SUB;PUB|SUB默认的Topic权限
defaultGroupPermDENY;PUB;SUB;PUB|SUB默认的ConsumerGroup权限
topicPermstopic=权限各个Topic的权限
groupPermsgroup=权限各个ConsumerGroup的权限

具体可以参考distribution/conf/plain_acl.yml配置文件

3. 支持权限控制的集群部署

distribution/conf/plain_acl.yml配置文件中按照上述说明定义好权限属性后,打开aclEnable开关变量即可开启RocketMQ集群的ACL特性。这里贴出Broker端开启ACL特性的properties配置文件内容:

brokerClusterName=DefaultCluster
brokerName=broker-a
brokerId=0
deleteWhen=04
fileReservedTime=48
brokerRole=ASYNC_MASTER
flushDiskType=ASYNC_FLUSH
storePathRootDir=/data/rocketmq/rootdir-a-m
storePathCommitLog=/data/rocketmq/commitlog-a-m
autoCreateSubscriptionGroup=true
## if acl is open,the flag will be true
aclEnable=true
listenPort=10911
brokerIP1=XX.XX.XX.XX1
namesrvAddr=XX.XX.XX.XX:9876

4. 权限控制主要流程

ACL主要流程分为两部分,主要包括权限解析和权限校验。

4.1 权限解析

Broker端对客户端的RequestCommand请求进行解析,拿到需要鉴权的属性字段。
主要包括:
(1)AccessKey:类似于用户名,代指用户主体,权限数据与之对应;
(2)Signature:客户根据 SecretKey 签名得到的串,服务端再用SecretKey进行签名验证;

4.2 权限校验

Broker端对权限的校验逻辑主要分为以下几步:
(1)检查是否命中全局 IP 白名单;如果是,则认为校验通过;否则走 2;
(2)检查是否命中用户 IP 白名单;如果是,则认为校验通过;否则走 3;
(3)校验签名,校验不通过,抛出异常;校验通过,则走 4;
(4)对用户请求所需的权限 和 用户所拥有的权限进行校验;不通过,抛出异常;
用户所需权限的校验需要注意已下内容:
(1)特殊的请求例如 UPDATE_AND_CREATE_TOPIC 等,只能由 admin 账户进行操作;
(2)对于某个资源,如果有显性配置权限,则采用配置的权限;如果没有显性配置权限,则采用默认的权限;

5. 热加载修改后权限控制定义

RocketMQ的权限控制存储的默认实现是基于yml配置文件。用户可以动态修改权限控制定义的属性,而不需重新启动Broker服务节点。

6. 权限控制的使用限制

(1)如果ACL与高可用部署(Master/Slave架构)同时启用,那么需要在Broker Master节点的distribution/conf/plain_acl.yml配置文件中
设置全局白名单信息,即为将Slave节点的ip地址设置至Master节点plain_acl.yml配置文件的全局白名单中。

(2)如果ACL与高可用部署(多副本Dledger架构)同时启用,由于出现节点宕机时,Dledger Group组内会自动选主,那么就需要将Dledger Group组
内所有Broker节点的plain_acl.yml配置文件的白名单设置所有Broker节点的ip地址。

特别注意在[4.5.0]版本中即使使用上面所述的白名单也无法解决开启ACL的问题,解决该问题的PR链接

selt791
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
RocketMQ学习笔记(一) 初识
u013985662的专栏
05-17 352
介绍 分布式消息队列是用来高效传输消息的。RocketMQ由四个部分组成。类比于邮政系统,邮政系统:由发件人,收件人,负责暂存和传输的邮局,和负责管理各个邮局的管理机构四个部分组成;RocketMQ相应地对应于Producer,Consumer,Broker和NameServer四部分组成。 Producer:消息生产者,负责产生消息,一般由业务系统负责产生消息 Consumer:消息消费者,...
RocketMQ学习笔记
让天空解释着蔚蓝的博客
12-08 277
RocketMQ 作为阿里开源的一款高性能,高吞吐量的分布式消息中间件 特点: - 支持Broker和Consumer端消息过滤 - 支持发布订阅模型,和点对点 - 支持pull和push‘两种消息模式 - 单一队列百万消息,亿级消息堆积 - 支持单master节点,多master节点 ,多master多slave节点 - 任意一点都是高可用,水平拓展,生产端和消费端,队列都可以分布式 - 消...
RocketMQ 4.7同步复制,两主两从,ACL认证,console搭建
zhangpfly的博客
05-09 1832
RocketMQ 4.7同步复制,两主两从,ACL认证,console搭建1. 配置环境2. 开始配置2.1 下载配置文件2.2 broker配置文件2.2.1 a-m2.2.2 a-s2.2.3 b-m2.2.4 b-s2.2.5 ACL规则配置2.2.6 java服务启动参数修改2.3 namserver2.4 console3. 配置rocketmq服务3.1 a-m3.2 a-s3.3 b-m3.4 b-s3.5 nameserver3.6 console4. 服务启动4.1 先启动nameserv
rocketMQ报错:No accessKey is configured
黎明小书生
11-12 7248
错误: CODE: 1 DESC: org.apache.rocketmq.acl.common.AclException: No accessKey is configured 在broker中配置aclEnable=true之后,消费者生产者可以正常工作!启动rocketmq-console报错! 大概报错信息如下: java.lang.RuntimeException: org.apache.rocketmq.client.exception.MQBrokerException: CODE: 1 D
扩展知识:RocketMQ 如何开启 ACL 验证
最新发布
超超IT的博客
06-11 914
RocketMQ 在 4.4.0 版本开始支持 ACL 功能,ACL 验证的主要作用就是保证消息的安全性,实现权限控制功能,比如控制可以发送和订阅消息的群体,如某些主题只能被订阅,某些主题只有指定的IP,或者只有携带账号密码才可以订阅和发布等。对于第二个账户rocketmq2,由于设置了admin: true,所以它将拥有对所有资源和主题的访问权限,无论是否在topicPerms或groupPerms中明确指定了权限。同时,它的IP白名单被限制为192.168.1.*。
RocketMQ4.9.2 ACL鉴权设计与RocketMQ-Console对接+JAVA使用ACL鉴权发送消息
weixin_44121378的博客
02-28 4933
RocketMQ ACL使用指南 一 、什么是ACL? ACL是access control list的简称,俗称访问控制列表 用户:用户是访问控制的基础要素,也不难理解,RocketMQ ACL 必然也会引入用户的概 念,即支持用户名、密码; 资源:需要保护的对象,在 RocketMQ 中,消息发送涉及的 Topic、消息消费涉及的 消费组,应该进行保护,故可以抽象成资源; 权限:针对资源,能进行的操作; 角色:RocketMQ 中,只定义两种是否是管理员 另外,RocketMQ ACL还支持按照客户
RocketMQ配置全解(含ACL、Dashboard配置)
Aubrey.J的博客
07-11 1万+
RocketMQ配置全解(含ACL、Dashboard配置) NAME SERVER修改默认端口号 BROKER SERVER支持的配置项如下,如果要使用身份鉴权必须开启ACL配置RocketMQ Dashboard 下载源码 https://github.com/apache/rocketmq-dash
记一次处理项目漏洞
qq_39061227的博客
05-18 3725
某项目生产环境扫描出漏洞,共两类: 1、RocketMQ可视化管理控制台未授权访问 2、Spring Boot Actuator 配置接口对外开放 问题处理: 1、RocketMQ可视化管理控制台未授权访问 现象: 修复方式: 1).增加加密文件plain_acl.yml,放置在conf目录下 globalWhiteRemoteAddresses: #- 127.0.0.1 accounts: - accessKey: RocketMQ secretKey: 12345678
RocketMQ学习笔记1
08-04
RocketMQ学习笔记1 RocketMQ是Apache旗下的一个开源的消息队列系统,具有分布式、可靠、可扩展、高性能等特点。下面是对RocketMQ学习笔记的总结。 分布式架构 RocketMQ原生支持分布式,解决了单点故障问题,...
RocketMQ学习笔记 1
08-03
RocketMQ学习笔记 1 RocketMQ学习笔记 1是关于Apache RocketMQ学习笔记,涵盖了RocketMQ的基本概念、架构、消息模型、Producer和Consumer的基本概念、JMS规范等知识点。 1. 消息模型 在RocketMQ中,消息模型是...
尚硅谷完整的关于rocketmq学习视频整理笔记
09-12
尚硅谷提供的 RocketMQ 学习视频笔记旨在帮助初学者系统地掌握 RocketMQ 的核心概念和使用方法。 1. **MQ 简述** 消息队列(Message Queue,MQ)是一种异步通信机制,它在生产者和消费者之间充当了缓冲的角色,...
rocketmq-console-ng-1.0.1.jar
05-20
目前Apache官方提供的rocketmq-console源码里不支持brocker端开启accessKey/secreKey 安全认证,这里提供的jar是我自己开发加入了该功能支持。 运行命令:ava -jar rocketmq-console-ng-1.0.1.jar --server.port=12581 --rocketmq.config.namesrvAddr=localhost:9876 --rocketmq.config.accessKey=rocketmq --rocketmq.config.secretKey=87654321
RocketMQ黑马笔记
06-08
"RocketMQ黑马笔记" RocketMQ是阿里巴巴开源的消息中间件,在阿里内部历经了双十一等很多高并发场景的考验,能够处理亿万级别的消息。2016年开源后捐赠给Apache,现在是Apache的一个顶级项目。目前RocketMQ在阿里云...
RocketMQ学习笔记 .pdf
05-04
rocketmq有浅到深,带有实战案例和源码
RocketMQ安装与初步使用
chenjiexong的博客
04-09 2780
RocketMQ
rocketMQ学习笔记二:RocketMQ-Console安装、使用详解
热门推荐
麦田里的码农
05-12 9万+
一、rocketmq-console介绍   RocketMQ-ConsoleRocketMQ项目的扩展插件,是一个图形化管理控制台,提供Broker集群状态查看,Topic管理,Producer、Consumer状态展示,消息查询等常用功能,这个功能在安装好RocketMQ后需要额外单独安装、运行。 二、rocketmq-console下载、部署   进入rocketmq-externals项...
最完整的RocketMq部署程序,包括rocketmq-console部署和测试程序的介绍
Hellboy的博客
11-20 4057
文章目录1.RocketMq部署准备工作RocketMq程序的获取启动NameServer启动Broker查看log日志2.运维工具部署获取程序参数配置运行程序3.实际测试代码获取运行4.开始学习~ 1.RocketMq部署 本文详细介绍了安装rocketMq 前后的方法和一些注意事项 ,设备为centos7,话不多说,begin。 准备工作 RocketMq程序的获取 首先需要获取rocketM...
RocketMq配置rocketmq-console控制台管理账号密码
weixin_44121378的博客
02-24 1万+
官方下载地址 :https://github.com/apache/rocketmq-externals.git 官方下载的控制台不够完善,存在有时候配置无效。以及没有ACL功能 可以在博主的资源中下载已经封装了ACL功能的资源包 一、开启登录验证配置 在application.properties配置文件中,将rocketmq.config.loginRequired设置为ture,在不填写的情况下 默认为false。 二、配置账号密码 1在resources目录下新建users.propertie
RocketMq部署与使用
qq_31910941的博客
05-20 1012
官网文档参考地址:http://rocketmq.apache.org/docs/motivation/ 安装包下载地址:https://mirror.bit.edu.cn/apache/rocketmq/4.7.0/rocketmq-all-4.7.0-bin-release.zip https://mirrors.tuna.tsinghua.edu.cn/apache/rocketmq/4.7.0/rocketmq-all-4.7.0-bin...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值