Pulsar的Proxy支持和SNI路由 - 修改...

已于 2022-11-07 18:09:01 修改
阅读量1.1k 收藏
点赞数
分类专栏: Apache pulsar 文章标签: ATS-SNI 路由 Pulsar ATS Proxy
于 2022-06-27 15:40:48 首次发布
原文链接:https://pulsar.apache.org/docs/next/concepts-proxy-sni-routing/
版权

 目录

Pulsar 中的 ATS-SNI Routing

(1)为 layer-4 SNI routing 设置 ATS Proxy 

(2)使用 SNI routing 配置 Pulsar-client

(2)使用 SNI routing 进行 geo-replication

代理服务器是一种中介服务器,它跨Internet将来自多个客户端的请求转发到不同的服务器。代理服务器在正向和反向代理场景中都扮演着“交通警察”的角色,并为您的系统带来了负载平衡、性能、安全性、自动扩容和缩容等好处。

Pulsar中的代理充当反向代理,并在 brokers 面前创建一个网关。Pulsar不支持 Apache Traffic Server(ATS)、HAProxy、Nginx 和 Envoy 等代理。但这些代理服务器都支持 SNI 路由(SNI routing)。SNI 路由用于将流量路由到目标,而无需终止SSL连接。第4层路由提供了更大的透明度,因为出站连接是通过检查 clent TCP 数据包中的目标地址来确定的。

Pulsar客户端(Java、C++、Python)支持SNI路由协议,因此您可以通过 proxy 连接到 brokers 。本文档将指导你如何设置 ATS 代理、启用 SNI 路由以及通过ATS代理将 Pulsar client 连接到broker 。

Pulsar 中的 ATS-SNI Routing

为了支持带有 ATS 的第4层 SNI 路由(layer-4 SNI routing),入站连接必须是TLS连接。Pulsar client 支持基于 TLS 连接的 SNI 路由协议,因此当 Pulsar client 通过 ATS 代理连接到 broker 时,Pulsar 将 ATS 用作反向代理。

Pulsar 支持 SNI 路由进行地域复制(geo-replication),因此 brokers 可以通过 ATS proxy 连接到其他集群中的 brokers。

本节介绍如何设置和使用 ATS 作为反向代理,以便 Pulsar clients 可以使用基于 TLS 连接的 SNI 路由协议通过 ATS proxy 连接到 brokers。

(1)为 layer-4 SNI routing 设置 ATS Proxy 

为了支持 layer-4 SNI routing 你需要配置 records.conf and ssl_server_name.conf files.

The records.config file is located in the /usr/local/etc/trafficserver/ directory by default. 该文件列出了 ATS 使用的可配置变量。

配置 records.config files,请完成以下步骤。

  • 更改 proxy 侦听的 TLS 端口(http.server_ports),修改 proxy certs (ssl.client.cert.path and ssl.client.cert.filename) 确保 TLS 通畅(TLS tunneling)。
  • 配置 tunneling to the broker 的服务端口,如果 Pulsar brokers 正在监听 4443 和 6651 端口,在 http.connect_ports 配置中添加 brokers 服务端口。

下面是一个示例。

# PROXY TLS PORT
CONFIG proxy.config.http.server_ports STRING 4443:ssl 4080
# PROXY CERTS FILE PATH
CONFIG proxy.config.ssl.client.cert.path STRING /proxy-cert.pem
# PROXY KEY FILE PATH
CONFIG proxy.config.ssl.client.cert.filename STRING /proxy-key.pem

# The range of origin server ports that can be used for tunneling via CONNECT. # Traffic Server allows tunnels only to the specified ports. Supports both wildcards (*) and ranges (e.g. 0-1023).
CONFIG proxy.config.http.connect_ports STRING 4443 6651

ssl_server_name 文件用来配置处理入站和出站的 TLS 连接,配置(configuration)由入站连接提供的 SNI 值确定。该文件由一些列配置项组成,每个配置项由 SNI 值(fqdn)标识。建立入站TLS连接时,TLS 协商中的 SNI 值将与此文件中指定的项进行匹配。如果值匹配,则该项中指定的值将覆盖默认值。

下面的示例显示了来自 client 的入站 SNI 主机名的映射,以及应该重定向请求的实际 broker 服务URL。比如,如果 client 端发送 SNI header pulsar-broker1,则 proxy 将请求重定向到 pulsar-broker1:6651 service URL 来创建 TLS 隧道(tunnel )。

server_config = {
  {
     fqdn = 'pulsar-broker-vip',
     # Forward to Pulsar broker which is listening on 6651
     tunnel_route = 'pulsar-broker-vip:6651'
  },
  {
     fqdn = 'pulsar-broker1',
     # Forward to Pulsar broker-1 which is listening on 6651
     tunnel_route = 'pulsar-broker1:6651'
  },
  {
     fqdn = 'pulsar-broker2',
     # Forward to Pulsar broker-2 which is listening on 6651
     tunnel_route = 'pulsar-broker2:6651'
  },
}

在你配置  ssl_server_name.config and records.config 文件后,ATS-proxy 服务器处理 SNI 路由并在 client 端和 broker 之间创建 TCP 隧道(TCP tunnel)。

(2)使用 SNI routing 配置 Pulsar-client

ATS SNI-routing 仅适用于TLS。你首先需要为 ATS proxy 和 brokers 启用 TLS,配置 SNI 路由协议,然后通过 ATS proxy 将 Pulsar clients 连接到 brokers 。Pulsar clients 支持 SNI 路由,可以通过连接 proxy 并将目标 broker URL发送到 SNI header。此过程由内部处理。当你使用 SNI routing protocol 创建 Pulsar client 时,你仅仅只需要初始化以下配置。

String brokerServiceUrl = “pulsar+ssl://pulsar-broker-vip:6651/”;
String proxyUrl = “pulsar+ssl://ats-proxy:443”;
ClientBuilder clientBuilder = PulsarClient.builder()
        .serviceUrl(brokerServiceUrl)
        .tlsTrustCertsFilePath(TLS_TRUST_CERT_FILE_PATH)
        .enableTls(true)  // 开启TLS
        .allowTlsInsecureConnection(false)
        .proxyServiceUrl(proxyUrl, ProxyProtocol.SNI) // 代理配置
        .operationTimeout(1000, TimeUnit.MILLISECONDS);

Map<String, String> authParams = new HashMap();
authParams.put("tlsCertFile", TLS_CLIENT_CERT_FILE_PATH);
authParams.put("tlsKeyFile", TLS_CLIENT_KEY_FILE_PATH);
clientBuilder.authentication(AuthenticationTls.class.getName(), authParams);

PulsarClient pulsarClient = clientBuilder.build();

(2)使用 SNI routing 进行 geo-replication

你可以使用 ATS proxy 进行 geo-replication 。Pulsar brokers 可以通过使用 SNI 路由连接到 geo-replication 中的 brokers。为确保 broker 的 SNI 路由能够跨集群连接,你需要将 SNI proxy URL 配置为集群元数据(cluster metadata)。如果在集群元数据中配置了 SNI proxy URL,则可以通过 SNI 路由上的 proxy 跨集群连接到 broker 。

在这个例子中,一个 Pulsar 集群被部署到两个独立的区域 us-west 和 us-east,两个区域都配置了ATS proxy,每个区域的 brokers 都支持 ATS proxy。我们在两个集群中都配置了集群元数据,所以在任何一个集群中的 brokers 都能使用 SNI routing 并且通过 ATS proxy 连接到另一个集群的 brokers。

(a) Configure the cluster metadata for us-east with us-east broker service URL and us-east ATS proxy URL with SNI proxy-protocol. // 配置集群元数据

./pulsar-admin clusters update \
--broker-url-secure pulsar+ssl://east-broker-vip:6651 \
--url http://east-broker-vip:8080 \
--proxy-protocol SNI \
--proxy-url pulsar+ssl://east-ats-proxy:443

(b) Configure the cluster metadata for us-west with us-west broker service URL and us-west ATS proxy URL with SNI proxy-protocol.

./pulsar-admin clusters update \
--broker-url-secure pulsar+ssl://west-broker-vip:6651 \
--url http://west-broker-vip:8080 \
--proxy-protocol SNI \
--proxy-url pulsar+ssl://west-ats-proxy:443
swadian2008
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于Scapy修改ClientHello的SNI(三)
ftzchina的博客
11-25 1085
需求:修改HTTPS的ClientHello中的SNI字段 目标:修改成功,wireshark显示正常 语言:Python 三方库:Scapy
02_Pulsar的集群架构、架构基本介绍、Pulsar提供的组件介绍、Brokers介绍、Zookeeper的元数据存储、基于bookKeeper持久化存储、Pulsar代理
涂作权的博客
03-05 420
多个broker 负责处理和负载均衡 producer 发出的消息,并将这些消息分派给 consumer;Broker 与 Pulsar 配置存储交互来处理相应的任务,并将消息存储在 BookKeeper 实例中(又称 bookies);Broker 依赖 ZooKeeper集群处理特定的任务,等等。多个 bookie 的 BookKeeper 集群负责消息的持久化存储。一个zookeeper集群,用来处理多个Pulsar集群之间的协调任务。
Pulsar#1 Pulsar部署与线上配置
gaoliang1719的专栏
02-21 4273
引言Apache Pulsar越来越多的公司使用,与Apache Kafka、Apache RocketMQ并列成为消息领域三家马车,有必要对其研究一番。下面以笔者曾在生产环境使用的配置梳...
Pulsar详解2—架构和组件 & 安装和配置(示例:Go语言)
风不归的乐园
12-20 1376
Pulsar:架构和组件:分层架构、BookKeeper和ZooKeeper、Broker服务、Pulsar IO(连接器);安装和配置:安装步骤、配置文件
在 K8s 中部署企业级发布订阅消息系统 Apache Pulsar
云原生实验室
01-14 2206
时间过得比较久了,在开始今天的学习之前先回顾一下前面已经学习的 13 节的内容。阶段复习Pulsar 是一个支持多租户的、高性能的、分布式的 Pub-Sub 消息系统。了解 Pulsar ...
apache-pulsar-2.7.1-bin.tar.gz
05-16
Apache Pulsar的核心特性包括发布/订阅模型、消息分片、持久化存储和多租户支持。它不仅作为一个传统的消息中间件,还支持流处理,使得数据处理更加实时和灵活。Pulsar的架构设计使其能够轻松地扩展到全球范围内的...
apache-pulsar-manager-0.3.0-bin.tar.gz
06-16
3. **角色与权限管理**:Pulsar Manager支持角色和权限的配置,允许用户为不同的用户或团队分配权限,控制他们对Pulsar资源的访问。 4. **监控与日志**:该工具还可能提供了实时的性能监控,展示如消息速率、延迟等...
apache-pulsar-3.2.2-bin.tar.gz
最新发布
04-07
5. **延迟和批量发送**:Pulsar 支持延迟和批量发送消息,以降低网络开销,提高性能。 6. **跨地域复制**:Pulsar 提供了跨数据中心的消息复制功能,以实现高可用性和地理冗余。 7. **Schema Registry**:Pulsar ...
apache-pulsar-2.6.0-bin.tar.gz
07-05
Pulsar采用了发布/订阅模型,支持多种消息保留策略和消费模式,如一次性消费、多消费和共享消费。 2. **Pulsar架构**:Pulsar的架构基于分层设计,主要包括Broker、BookKeeper、Zookeeper和Namenode。Broker负责...
pulsar-flink-connector_2.11-1.12.4.12-rc2.jar
12-15
FlinkSQL+STREAM 1.12连接 pulsar 2.8 的连接器
【FATE - 3】 FATE ON Spark(ZooKeeper+Hadoop)+ Pulsar + Nginx 部署指南
sun_5flower的博客
08-12 1403
FATE ON Spark/CDN FATE部署指南 1.基础环境配置 1.1 hostname配置(可选) 1)修改主机名 在128 root用户下执行: hostnamectl set-hostname VM-0-1-centos 在 129 root用户下执行: hostnamectl set-hostname VM-0-2-centos 2)加入主机映射 在目标服务器(128、129 )root用户下执行: vim /etc/hosts 192.168.0.1 VM-0-1-centos 19
pulsar文档
weixin_39350745的博客
07-30 1785
文章目录一、pulsar简介二、消息收发messagingproducerconsumerstopic订阅多主题订阅分区topic非持久topic消息保留和过期消息去重生产者幂等去重和实际一次语义消息延迟传递三、架构四、租户五、消息压缩六、Pulsar ATS-SNI 由七、Multiple advertised listeners八、schema九、pulsar函数九、部署一、单机部署二、集群部署十、系统管理 一、pulsar简介 Pulsar 是一个用于服务器到服务器的消息系统,具有多租户、高性能等优
利用Keepalived实现NGINX PLUS的HA部署教程
高性价比服务器就选:蓝易云
12-10 36
测试高可用性,可以通过访问之前配置的虚拟IP地址(例如10.0.0.100),并检查NGINX Plus服务是否正常工作。然后,尝试关闭其中一台服务器的NGINX Plus服务,确保另一台服务器能够接管服务并继续提供服务。利用Keepalived实现NGINX Plus的高可用(HA)部署可以确保在其中一台服务器故障时,另一台服务器能够自动接管服务,实现无缝的故障转移。通过以上教程,您已经成功地利用Keepalived实现了NGINX Plus的高可用部署,确保了服务器的高可用性和故障转移能力。
Pulsar简介及Pulsar部署、原理和使用介绍
wt334502157的博客
05-31 2万+
Pulsar简介及Pulsar部署、原理和使用介绍 Pulsar简介 诞生背景 Apache Pulsar 是一个企业级的分布式消息系统,最初由 Yahoo 开发,在 2016 年开源,并于2018年9月毕业成为 Apache 基金会的顶级项目。Pulsar 已经在 Yahoo 的生产环境使用了三年多,主要服务于Mail、Finance、Sports、 Flickr、 the Gemini Ads platform、 Sherpa (Yahoo 的 KV 存储)。 Pulsar是一种用于服务器到服务器消息传
Apache Pulsar部署及可视化监控部署
July_whj
05-16 3547
一、Apache Pulsar的Local模式构建 1.1、启动服务 Standalone Local单机本地模式, 是pulsar最简单的安装方式, 此种方式仅适用于测试学习使用, 并无法作为生产环境中使用。 下载Apache Pulsar2.10 ​ apache-pulsar-2.10.0-bin.tar.gz 服务器系统要求: Currently, Pulsar is available for 64-bit macOS, Linux, and Windows. To use Pulsar, you
Nginx TLS SNI 不同域名多443转发
weixin_30537451的博客
07-24 670
依赖 yum -y install pcre-devel openssl openssl-devel library 编译: mkdir /data/nginx/ -p ./configure --prefix=/data/nginx/ --with-http_stub_status_module --with-http_ssl_module --with-stream --with-strea...
请求因HTTP状态401失败:Unauthorized 的原因?
热门推荐
qq_43159578的博客
03-18 9万+
HTTP401错误原因:用户没有访问权限,需要进行身份认证。 任何客户端 ( 例如您的浏览器) ,都需要通过以下循环:从站点的 IP 名称 ( 即您站点的网址-URL, 不带起始的 ‘http://') 获得一个 IP 地址。这个对应关系 ( 即由 IP 名称向 IP 地址转换的对应关系 ) 由域名服务器 (DNSs) 提供。 打开一个 IP 套接字 (socket) 连接到该 IP 地址。通过该套接字写 HTTP 数据流。从Web服务器接受响应的 HTTP 数据流。该数据流包括状态编码, 其值取决于
HTTPS & SNI(Server Name Indication)
来啊 快活啊
07-30 3895
HTTPS与SNI扩展,一个IP绑定多个SSL证书 SNI(Server Name Indication)
pulsar-java-spring-boot-starter
10-05
pulsar-java-spring-boot-starter是一个用于在Spring Boot应用程序中集成Apache Pulsar消息队列的开源库。Apache Pulsar是一个可扩展的、低延迟的分布式消息传递平台,它具有高吞吐量和高可靠性的特点。 pulsar-java-spring-boot-starter允许开发人员在Spring Boot应用程序中轻松地发送和接收Pulsar消息。它提供了一组容易使用的注解和工具类,简化了与Pulsar集群的交互。 使用pulsar-java-spring-boot-starter,开发人员可以通过添加依赖和配置一些属性来快速集成Pulsar到他们的Spring Boot应用程序中。一旦集成完成,开发人员可以使用注解来定义消息的生产者和消费者。通过生产者注解,开发人员可以将消息发送到Pulsar集群,并指定消息的主题和内容。通过消费者注解,开发人员可以订阅Pulsar主题,并定义接收和处理消息的方法。 除了基本的生产者和消费者功能,pulsar-java-spring-boot-starter还提供了一些其他特性。例如,它支持失败重试机制,当消息发送或接收出现问题时,可以自动重试。它还支持消息过滤器,可以按条件过滤接收的消息。而且,它还提供了一些监控和管理功能,可以方便地监控消息的生产和消费情况。 总之,pulsar-java-spring-boot-starter为Spring Boot开发人员提供了一种方便、快捷地集成Apache Pulsar消息队列的方法。它简化了与Pulsar集群的交互,提供了易于使用的注解和工具类,让开发人员可以更专注于业务逻辑的实现。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值