zookeeper ACL使用

最新推荐文章于 2024-03-18 11:21:56 发布
最新推荐文章于 2024-03-18 11:21:56 发布
阅读量54 收藏
点赞数
原文链接:http://www.cnblogs.com/wangxiaowei/p/3315137.html
版权

      生产环境中,经常会有多个项目使用zookeeper,例如多个hbase集群。每个项目搭建一套独立的zookeeper,无论从机器成本,还是运维成本,都是一笔额外的开销。

然而多项目,多集群共用zookeeper又涉及一个权限隔离的问题。zookeeper本身提供了ACL机制,表示为scheme:id:permissions,第一个字段表示采用哪一种机制,第二个id表示

用户,permissions表示相关权限(如只读,读写,管理等)。zookeeper提供了如下几种机制(scheme):

  • world: 它下面只有一个id, 叫anyone, world:anyone代表任何人,zookeeper中对所有人有权限的结点就是属于world:anyone的
  • auth: 它不需要id, 只要是通过authentication的user都有权限(zookeeper支持通过kerberos来进行authencation, 也支持username/password形式的authentication)
  • digest: 它对应的id为username:BASE64(SHA1(password)),它需要先通过username:password形式的authentication
  • ip: 它对应的id为客户机的IP地址,设置的时候可以设置一个ip段,比如ip:192.168.1.0/16, 表示匹配前16个bit的IP段
  • super: 在这种scheme情况下,对应的id拥有超级权限,可以做任何事情(cdrwa)

下面演示一个通过digest(用户名密码的方式)为创建的节点设置ACL的例子:

import org.apache.zookeeper.*;
import org.apache.zookeeper.server.auth.DigestAuthenticationProvider;
import org.apache.zookeeper.data.*;
import java.util.*;

public class NewDigest {

    public static void main(String[] args) throws Exception {
        // TODO Auto-generated method stub
        //new一个acl
        List<ACL> acls = new ArrayList<ACL>();
        //添加第一个id,采用用户名密码形式
        Id id1 = new Id("digest",
                DigestAuthenticationProvider.generateDigest("admin:admin"));
        ACL acl1 = new ACL(ZooDefs.Perms.ALL, id1);
        acls.add(acl1);
        //添加第二个id,所有用户可读权限
        Id id2 = new Id("world", "anyone");
        ACL acl2 = new ACL(ZooDefs.Perms.READ, id2);
        acls.add(acl2);

        // zk用admin认证,创建/test ZNode。

        ZooKeeper zk = new ZooKeeper(
                "host1:2181,host2:2181,host3:2181",
                2000, null);
        zk.addAuthInfo("digest", "admin:admin".getBytes());
        zk.create("/test", "data".getBytes(), acls, CreateMode.PERSISTENT);
   }
}

 然而,ACL毕竟仅仅是访问控制,并非完善的权限管理,通过这种方式做多集群隔离,还有很多局限性:

(1)ACL并无递归机制,任何一个znode创建后,都需要单独设置ACL,无法继承父节点的ACL设置。

(2)除了ip这种scheme,digest和auth的使用对用户都不是透明的,这也给使用带来了很大的成本,很多依赖zookeeper的开源框架也没有加入对ACL的支持,例如hbase,storm

 

转载于:https://www.cnblogs.com/wangxiaowei/p/3315137.html

weixin_30747253
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【大数据Zookeeper系列】 Zookeeper ACL
weixin_54707168的博客
04-09 207
为了避免存储在 Zookeeper 上的数据被其他程序或者人为误修改,Zookeeper 提供了 ACL(Access Control Lists) 进行权限控制。只有拥有对应权限的用户才可以对节点进行增删改查等操作。下文分别介绍使用原生的 Shell 命令和 Apache Curator 客户端进行权限设置。
zookeeper配置相应的acl权限
08-29
Zookeeper 使用 ACL(Access Control List)来控制访问 Znode,ACL 的实现和 UNIX 的实现非常相似:它采用权限位来控制哪些操作被允许,哪些操作被禁止。但是和标准的 UNIX 权限不同的是,Znode 没有限制用户(user...
说说Zookeeper中的ACL
热门推荐
就是你的博客
08-07 1万+
Access Control在分布式系统中重要性是毋庸置疑的,今天这篇文章来介绍一下Zookeeper中的Access Control(ACL)。 1. 概述 传统的文件系统中,ACL分为两个维度,一个是属组,一个是权限,子目录/文件默认继承父目录的ACL。而在Zookeeper中,node的ACL是没有继承关系的,是独立控制的。ZookeeperACL,可以从三个维度来理解:一是sch
zookeeper(五):Zookeeper中的Access Control(ACL)
dichengyan0013的博客
10-16 96
概述 传统的文件系统中,ACL分为两个维度,一个是属组,一个是权限,子目录/文件默认继承父目录的ACL。而在Zookeeper中,node的ACL是没有继承关系的,是独立控制的。 ZookeeperACL,可以从三个维度来理解:一是scheme; 二是user; 三是permission,通常表示为scheme:id:permissions, 下面从这三个方面分别来介绍: 1...
Zookeeper ACL
Doub1's Blog
05-13 176
Zookeeper ACL控制命令名词解释创建节点设置ACL创建Auth Digest设置ACL策略setAcl auth 例子:setAcl digst 例子:密文生成 命令名词解释 acl Access Control List 访问控制列表 auth Authentication 身份认证,在这里就解释为身份认证比较合理 并不是Authorization(授权),至于为什么下面会说。 digst Digest 摘要认证 创建节点 创建一个普通节点,节点名为nodeName creat
zookeeperACL
summer_thirtyOne的博客
07-13 729
Zookeeper ACL的实现和UNIX的文件访问权限十分相似,它采用权限位去允许或者禁止对节点个各种操作,包括节点的位范围。但与UNIX的文件访问权限不同的是,ACL不能基于创建者、创建者所在的组和其它用户分配不同的权限,ACL没有Znode的权限拥有者,相反,ACL指定一系列的权限和Ids并将它们起来。 ACL权限: CREATE :可以创建一个子节点 READ:可以获取节点内
Zookeeper-ACL权限控制
08-09
Zookeeper-ACL权限控制
zookeeper客户端api使用
03-25
本文将深入探讨ZooKeeper客户端API的使用方法和核心概念。 ### 1. 连接ZooKeeper使用ZooKeeper客户端API之前,首先需要建立与ZooKeeper服务器的连接。这通常通过`ZooKeeper`类的构造函数完成,传入服务器地址...
java连接zookeeper,并增加acl权限.docx
07-09
增加 ACL 权限需要使用 ZooKeeper 的 AddAuth 命令,指定要添加的权限和访问者的信息。 ZooKeeper 没有鉴权访问 ZooKeeper 没有鉴权访问是指在没有权限的情况下访问 ZooKeeper 服务器。这种情况下, ZooKeeper ...
ZooKeeper通过ACL修复未授权访问漏洞
05-06
ZooKeeper通过ACL修复未授权访问漏洞,此文档适合学习
zookeeperACL(访问控制)
sky198989的博客
03-02 275
转载:https://www.jianshu.com/p/868f89a70c2c
Zookeeper(七)ACL
weixin_44671233的博客
07-03 165
1. Shell 操作 zookeeper本身提供了ACL机制,表示为scheme: id:permissions,第一个字段表示采用哪一种机制,第二个id表示用户,permissions表示相关权限(如只读,读写,管理等)。 (1)scheme :id 介绍 world: 它下面只有一个id, 叫anyone, world:anyone代表任何人,zookeeper中对所有人有权限的结点就是属于world:anyone的 auth: 它不需要id, 只要是通过authentication的user都
Zookeeper ACL机制
TABE_的博客
10-18 320
目录ACL概述schemeIDpermissionACL特性ACL相关命令 ACL:Access Control List 访问控制列表 ACL概述 ZookeeperACL,可以从三个维度来理解:一是scheme; 二是user; 三是permission,通常表示为scheme: id :perm。 Scheme表示权限模式,ID表示授权对象,Permission表示授权的对象权限。 scheme scheme对应于采用哪种方案来进行权限管理,zookeeper-3.4.4缺省支持下面几种schem
zookeeperzookeeper基础知识 《ACL
m0_45406092的博客
11-24 539
文章目录1. 概述1.1 scheme1.2 id1.3 permission2. 命令3. 测试3.1 Digest3.1.1 代码生成ID3.1.2 xshell生成ID3.1.3 总结3.3 Auth 明文授权3.3 IP3.4 world Access Control在分布式系统中重要性是毋庸置疑的,今天这篇文章来介绍一下Zookeeper中的Access Control(ACL)。 1. 概述 传统的文件系统中,ACL分为两个维度,一个是属组,一个是权限,子目录/文件默认继承父目录的ACL。 而在
ZooKeeper ACL权限控制
weixin_54051652的博客
03-07 6043
ZooKeeper ACL权限控制
zookeeper acl java_zookeeper ACL使用
weixin_35775778的博客
02-26 239
生产环境中,经常会有多个项目使用zookeeper,例如多个hbase集群。每个项目搭建一套独立的zookeeper,无论从机器成本,还是运维成本,都是一笔额外的开销。然而多项目,多集群共用zookeeper又涉及一个权限隔离的问题。zookeeper本身提供了ACL机制,表示为scheme:id:permissions,第一个字段表示采用哪一种机制,第二个id表示用户,permissions表示...
Zookeeper 节点权限控制ACL详解
渔夫数据库笔记
07-26 4197
Zookeeper可以使用ACL(access control list)访问控制列表来对节点的权限进行控制
Zookeeper(2)常用命令,ACL权限
一个后端菜鸟的博客
03-18 1370
Zookeeper 常用命令和ACL权限等
zookeeperACL
最新发布
03-22
ZooKeeper提供了一套访问控制列表(ACL)机制,用于对ZooKeeper中的节点进行权限控制。 ACL是一组权限规则,用于限制对节点的访问。每个节点都可以设置自己的ACL,以确定谁可以对其进行读取、写入和管理操作。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值