Zookeeper ACL权限控制

最新推荐文章于 2023-07-02 10:29:56 发布
最新推荐文章于 2023-07-02 10:29:56 发布
阅读量443 收藏
点赞数
分类专栏: Zookeeper 文章标签: Zookeeper acl

Zookeeper使用ACL来控制访问Znode,ACL的实现和UNIX的实现非常相似:它采用权限位来控制那些操作被允许,那些操作被禁止。但是和标准的UNIX权限不同的是,Znode没有限制用户(user,即文件的所有者),组(group)和其他(world)。Zookeepr是没有所有者的概念的。

每个ZNode的ACL是独立的,且子节点不会继承父节点的ACL。例如:Znode /app对于ip为172.16.16.1只有只读权限,而/app/status是world可读,那么任何人都可以获取/app/status;所以在Zookeeper中权限是没有继承和传递关系的,每个Znode的权限都是独立存在的。

Zookeeper支持可插拔的权限认证方案,分为三个维度:scheme,user,permission。通常表示为scheme:id,permissions,其中Scheme表示使用何种方式来进行访问控制,Id代表用户,Permission表示有什么权限。下面分别说说这三个维度:

ZooKeeper支持如下权限(permissions):
    CREATE:可以创建子节点
    READ:可以获取该节点的数据,也可以读取该节点所有的子节点。
    WRITE:可以写数据到该节点。
    DELETE:可以删除子节点。
    ADMIN:可以在该节点中设置权限。


内置的ACL Schemes:

world: 只有一个id:anyone,world:anyone表示任何人都有访问权限,Zookeeper把任何人都有权限的节点都归属于world:anyone
auth:不需要任何id, 只要是通过auth的user都有权限
digest: 使用用户名/密码的方式验证,采用username:BASE64(SHA1(password))的字符串作为ACL的ID
ip: 使用客户端的IP地址作为ACL的ID,设置的时候可以设置一个ip段,比如ip:192.168.1.0/16, 表示匹配前16个bit的IP段
sasl:sasl的对应的id,是一个通过sasl authentication用户的id,zookeeper-3.4.4中的sasl authentication是通过kerberos来实现的,也就是说用户只有通过了kerberos认证,才能访问它有权限的node.

如果需要实现自己定义的Scheme,可以实现org.apache.zookeeper.server.auth.AuthenticationProvider接口。


示例:


  
  
  1. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
            
      
      @Test
     
     
    
    
    
  2. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
      
      
      public void testAclServer() {
     
     
    
    
    
  3. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
              List<ACL> acls = 
      
      new ArrayList<ACL>(
      
      2);
     
     
    
    
    
  4. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
           
      
      try {
     
     
    
    
    
  5. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
                Id id1 = 
      
      new Id(
      
      “digest”, DigestAuthenticationProvider.generateDigest(
      
      “fish:fishpw”));
     
     
    
    
    
  6. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
                 ACL acl1 = 
      
      new ACL(ZooDefs.Perms.WRITE, id1);
     
     
    
    
    
  7. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
     
     
     
    
    
    
  8. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
                Id id2 = 
      
      new Id(
      
      “digest”, DigestAuthenticationProvider.generateDigest(
      
      “qsd:qsdpw”));
     
     
    
    
    
  9. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
               ACL acl2 = 
      
      new ACL(ZooDefs.Perms.READ, id2);
     
     
    
    
    
  10. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
     
     
     
    
    
    
  11. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
               acls.add(acl1);
     
     
    
    
    
  12. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
               acls.add(acl2);
     
     
    
    
    
  13. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
     
     
     
    
    
    
  14. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
                
      
      // 所有用户都有权限
     
     
    
    
    
  15. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
               
      
      // Id world = new Id(“world”, “anyone”);
     
     
    
    
    
  16. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
              
      
      // ACL worldAcl = new ACL(ZooDefs.Perms.READ, world);
     
     
    
    
    
  17. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
             
      
      // acls.add(worldAcl);
     
     
    
    
    
  18. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
     
     
     
    
    
    
  19. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
               
      
      // 10.0.2.76是本机IP
     
     
    
    
    
  20. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
             
      
      // Id id3 = new Id(“ip”, “10.0.2.76”);
     
     
    
    
    
  21. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
                
      
      // ACL acl3 = new ACL(ZooDefs.Perms.WRITE, id3);
     
     
    
    
    
  22. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
              
      
      // acls.add(acl3);
     
     
    
    
    
  23. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
              } 
      
      catch (NoSuchAlgorithmException e1) {
     
     
    
    
    
  24. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
                 e1.printStackTrace();
     
     
    
    
    
  25. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
             }
     
     
    
    
    
  26. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
             ZooKeeper zk = 
      
      null;
     
     
    
    
    
  27. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
          
      
      try {
     
     
    
    
    
  28. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
               zk = 
      
      new ZooKeeper(
      
      “10.0.1.75:2181,10.0.1.76:2181,10.0.1.77:2181”, 
      
      300000, 
      
      new Watcher() {
     
     
    
    
    
  29. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
                    
      
      // 监控所有被触发的事件
     
     
    
    
    
  30. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
                 
      
      public void process(WatchedEvent event) {
     
     
    
    
    
  31. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
                         System.out.println(
      
      “已经触发了” + event.getType() + 
      
      “事件!”);
     
     
    
    
    
  32. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
                      }
     
     
    
    
    
  33. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
                 });
     
     
    
    
    
  34. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
             
      
      if (zk.exists(
      
      “/test”, 
      
      true) == 
      
      null) {
     
     
    
    
    
  35. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
                    System.out.println(zk.create(
      
      “/test”, 
      
      “ACL测试”.getBytes(), acls, CreateMode.PERSISTENT));
     
     
    
    
    
  36. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
                }
     
     
    
    
    
  37. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
             } 
      
      catch (IOException e) {
     
     
    
    
    
  38. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
               e.printStackTrace();
     
     
    
    
    
  39. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
              } 
      
      catch (KeeperException e1) {
     
     
    
    
    
  40. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
                  e1.printStackTrace();
     
     
    
    
    
  41. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
             } 
      
      catch (InterruptedException e1) {
     
     
    
    
    
  42. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
                 e1.printStackTrace();
     
     
    
    
    
  43. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
             }
     
     
    
    
    
  44. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
         }
     
     
    
    
    
  45. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
     
     
     
    
    
    
  46. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
      
      
      @Test
     
     
    
    
    
  47. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
        
      
      public void testAclClient() {
     
     
    
    
    
  48. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
           
      
      try {
     
     
    
    
    
  49. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
               ZooKeeper zk = 
      
      new ZooKeeper(
      
      “10.0.1.75:2181,10.0.1.76:2181,10.0.1.77:2181”, 
      
      300000, 
      
      new Watcher() {
     
     
    
    
    
  50. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
                  
      
      // 监控所有被触发的事件
     
     
    
    
    
  51. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
                 
      
      public void process(WatchedEvent event) {
     
     
    
    
    
  52. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
                         System.out.println(
      
      “已经触发了” + event.getType() + 
      
      “事件!”);
     
     
    
    
    
  53. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
                      }
     
     
    
    
    
  54. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
                 });
     
     
    
    
    
  55. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
             
      
      // 只有写权限
     
     
    
    
    
  56. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
                zk.addAuthInfo(
      
      “digest”, 
      
      “fish:fishpw”.getBytes());
     
     
    
    
    
  57. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
               
      
      // 只有读权限
     
     
    
    
    
  58. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
                zk.addAuthInfo(
      
      “digest”, 
      
      “qsd:qsdpw”.getBytes());
     
     
    
    
    
  59. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
               System.out.println(
      
      new String(zk.getData(
      
      “/test”, 
      
      null, 
      
      null)));
     
     
    
    
    
  60. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
               zk.setData(
      
      “/test”, 
      
      “I change!”.getBytes(), -
      
      1);
     
     
    
    
    
  61. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
           } 
      
      catch (KeeperException e) {
     
     
    
    
    
  62. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
               e.printStackTrace();
     
     
    
    
    
  63. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
              } 
      
      catch (InterruptedException e) {
     
     
    
    
    
  64. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
                  e.printStackTrace();
     
     
    
    
    
  65. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
              } 
      
      catch (IOException e) {
     
     
    
    
    
  66. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
               e.printStackTrace();
     
     
    
    
    
  67. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
              }
     
     
    
    
    
  68. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
         }


永远_不会懂
关注
专栏目录
ZookeeperACL权限控制
程序员光剑
06-30 399
作者:禅与计算机程序设计艺术 1. 背景介绍 1.1 问题的由来 随着云计算和分布式系统的普及,Zookeeper成为了许多大规模应用程序的关键组件之一。它被广泛用于协调大量客户端和服务端节点之间的一致性和数据共享。然而,面对庞大的用户群和复杂的访问需求时,如何有效地管理资源访问权限成为了一
zookeeperacl权限控制_zookeeper权限acl与四字命令
weixin_39753213的博客
12-21 430
权限acl介绍,acl的构成与idacl是Access control lists 的缩写,也就是权限控制列表:针对节点可以设置相关读写等权限,目的是为了保障数据安全性权限permissions可以指定不同的权限范围以及角色acl的构成:zk的acl通过 [scheme:id:permissions] 来构成权限列表:scheme:代表采用的某种权限机制id:代表允许访问的用户permission...
zookeeper配置相应的acl权限
08-29
主要介绍了为zookeeper配置相应的acl权限的相关实例,具有一定参考价值,需要的朋友可以了解下。
Zookeeper权限设置 ACL
weixin_41243830的博客
06-05 1014
zookeeper默认提供的开放式操作权限,在实际部署中需要对节点的访问进行限制,这是就用到了zookeeper提供的ACL权限控制功能。 一.zookeeper权限类型 c: 创建节点权限 r: 读取数据权限 w: 写入数据权限 d: 删除节点权限 a: 节点授权权限 二.zookeeper的授权类型 world:默认权限,开放式访问 auth:对当前已经登录用户授予权限 digest:指定用户名密码进行授权 ip:
zookeeper java调用及权限控制
Java 新手
06-25 4916
zookeeper java调用 及 权限管理
zookeeperacl权限控制_ZookeeperACL权限控制
weixin_39612122的博客
12-21 149
1.Zookeeper的节点有5种操作权限CREATE、READ、WRITE、DELETE、ADMIN也就是 增、查、改、删、管理权限,这5种权限简写为crwda(即:每个单词的首字符缩写)注意这5种权限中,delete是指对子节点的删除权限,其它4种权限指对自身节点的操作权限。2.身份的认证有4种方式world:默认方式,相当于全世界都能访问auth:代表已经认证通过的用户(cli中可以通过ad...
zookeeperacl权限控制_ZooKeeper ACL权限控制机制
weixin_33914679的博客
01-15 690
ZooKeeperACL 权限控制和 Unix/Linux 操作系统的ACL有一些区别,我们可以从三个方面来理解 ACL 机制,分别是: 权限模式(Scheme)、授权对象(ID)和权限(Permission),通常使用 scheme:id:perm 来标识一个有效的ACL信息。需要注意的是,ACL仅与指定 ZNode 有关,不适用于子节点。例如,如果 /app 节点仅可由 ip:1...
Zookeeper-ACL权限控制
08-09
Zookeeper-ACL权限控制
ZooKeeper访问控制列表(ACL)
面朝大海,春暖花开
07-14 2235
ZooKeeper访问控制列表(ACL) 摘自《apache zookeeper essentials》 ZooKeeper数据模型提供了一种机制,就是使用ACL控制访问znode的ACL。在创建znode的时候,ACL就决定了你对znode的权限相关的各种操作。ZooKeeperACL模型和linux/unix中的文件权限中允许和阻止操作相似,通过设置权限位作用在znode上。但是Zoo...
初窥ZooKeeperACL权限控制
Howinfun的博客
09-21 1051
        ACL(Acess Control List),ZooKeeper作为一个分布式协调框架,其内部存储的都是都是一些关乎分布式系统运行状态的元数据,尤其是设计到一些分布式锁、Master选举和协调等应用场景。我们需要有效地保障ZooKeeper中的数据安全,幸好,Zookeeper也提供了一套完善的ACL权限控制机制来保障数据的安全。 1. 概述 传统的文件系统中,ACL分为两个维...
zookeeper 是什么、应用场景有哪些?docker 部署zookeeperzookeeper命令
CodingAnHour
06-13 642
ZooKeeper 是一个分布式的,开放源码的分布式应用程序协同服务。ZooKeeper 的设计目标是将那些复杂且容易出错的分布式一致性服务封装起来,构成一个高效可靠的原语集,并以一系列简单易用的接口提供给用户使用。ZooKeeper 适用于存储和协同相关的关键数据(基于内存的数据库),不适合用于大数据量存储。有两个核心的概念:文件系统数据结构+监听通知机制。Zookeeper维护一个类似文件系统的数据结构:每个子目录项都被称作为 znode(目录节点),和文件系统类似,我们能够自由的增加、删除 znode
zookeeper之znode节点与acl权限设置
m0_71777195的博客
07-02 969
ZooKeeper是Apache软件基金会的一个软件项目,是一个分布式的,开放源码的分布式应用程序协调服务。它为大型分布式计算提供开源的分布式配置服务、同步服务和命名注册。ZooKeeper是一个典型的分布式数据一致性的解决方案,分布式应用程序可以基于它实现诸如数据发布/订阅、负载均衡、命名服务、分布式协调/通知、集群管理、Master 选举、分布式 锁和分布式队列等功能官网:http://ZooKeeper.apache.org/
zookeeper 四 : ACL 权限控制
Duan的博客
07-13 1043
权限控制 ACL:Access Control List,访问控制列表,是前几年盛行的一种权限设计,它的核心在于用户直接和权限挂钩。 RBAC:Role Based Access Control ,翻译过来基本上就是基于角色的访问控制系统。 RBAC的核心是用户只和角色关联,而角色代表对了权限,这样设计的优势在于使得对用户而言,只需角色即可以,而某角色可以拥有各种各样的权限并可继承。ACL和...
ZooKeeper ACL权限控制
赶路人儿
02-27 1万+
ZK 类似文件系统,Client 可以在上面创建节点、更新节点、删除节点等如何做到权限控制?查阅文档,zk的ack(Access Control List)能够保证权限,但是调研完后发现它不是很好用。 ACL 权限控制,使用:schema:id:permission 来标识,主要涵盖 3 个方面: 权限模式(Schema):鉴权的策略授权对象(ID)权限(Permission) 其
zk添加访问白名单
独孤飞磊
11-20 2849
ZK的节点有5种操作权限: CREATE、READ、WRITE、DELETE、ADMIN 也就是 增、删、改、查、管理权限,这5种权限简写为crwda 1.登陆zookeeper 进入zookeeper安装目录下的bin目录下执行 ./zkCli.sh -server ip:port 例如: ./zkCli.sh -server 10.100.254.107:2181 2.查看当前权限 getAcl / 3.添加可访问IP setAcl / ip:10.100.254.113:cdrwa,ip:10.100
zookeeper节点ACL授权admin权限-问题记录
Dave_Fong的博客
11-12 2497
zookeeper 节点授权: 当我们取消节点的admin权限时,使用普通用户无法对节点进行重新授权 [zk: localhost:2181(CONNECTED) 2] getAcl /test Authentication is not valid : /test [zk: localhost:2181(CONNECTED) 3] addauth digest fc:P@ssw0rd132 [zk: localhost:2181(CONNECTED) 4] getAcl /test 'digest,'su
zookeeper使用acl进行访问控制
金溪的博客
07-04 2054
Zookeeper不具有znode的拥有者的概念,相反,ACL指定id集以及与之对应的权限。还要注意的是一条ACL仅针对一个特定的节点,不适用于子节点,例如:如果/app只对ip:172.16.16.1可读,而/app/status是对任何人可读,acl不是递归的。 ACL是由scheme:expression,perms构成,例如: ip:19.2.0.0./16, READ   zoo...
ZooKeeper设置ACL权限控制
热门推荐
专注技术交流、咨询
12-19 1万+
ZK的节点有5种操作权限: CREATE、READ、WRITE、DELETE、ADMIN 也就是 增、删、改、查、管理权限,这5种权限简写为crwda(即:每个单词的首字符缩写) 注:这5种权限中,delete是指对子节点的删除权限,其它4种权限指对自身节点的操作权限 身份的认证有4种方式: world:默认方式,相当于全世界都能访问 auth:代表已经认证通过的用户(cli中可以通
zookeeper ACL
最新发布
08-17
ZookeeperACL是Access Control List的缩写,用于对节点的权限进行控制。类似于Unix文件系统,Zookeeper的节点可以看作是文件,客户端可以删除、创建和修改节点。ACL可以用来管理节点的访问权限。 取消ACL相关权限后,使用getAcl和setAcl命令将没有权限。这意味着没有ACL权限的客户端无法获取或设置节点的ACL信息。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [Zookeeper权限控制ACL详解](https://blog.csdn.net/qq_40837310/article/details/106826963)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [ZooKeeper ACL权限控制](https://blog.csdn.net/weixin_54051652/article/details/123332095)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值