Zookeeper 入门(二)

好吃的肘子2025-05-19 17:36

4. Zookeeper 的 ACL 权限控制( Access Control List )

Zookeeper 的ACL 权限控制,可以控制节点的读写操作,保证数据的安全性,Zookeeper ACL 权

限设置分为 3 部分组成,分别是:权限模式(Scheme)、授权对象(ID)、权限信息

(Permission)。最终组成一条例如"scheme:id:permission"格式的 ACL 请求信息。下面我

们具体看一下这 3 部分代表什么意思:

Scheme(权限模式):用来设置 ZooKeeper 服务器进行权限验证的方式。ZooKeeper 的权限

验证方式大体分为两种类型:

一种是范围验证。所谓的范围验证就是说 ZooKeeper 可以针对一个 IP 或者一段 IP 地址授予某

种权限。比如我们可以让一个 IP 地址为"ip:192.168.0.110"的机器对服务器上的某个数据节

点具有写入的权限。或者也可以通过"ip:192.168.0.1/24"给一段 IP 地址的机器赋权。

另一种权限模式就是口令验证,也可以理解为用户名密码的方式。在 ZooKeeper 中这种验证方

式是 Digest 认证,而 Digest 这种认证方式首先在客户端传送"username:password"这种形

式的权限表示符后,ZooKeeper 服务端会对密码 部分使用 SHA-1 和 BASE64 算法进行加密,

以保证安全性。

还有一种Super权限模式, Super可以认为是一种特殊的 Digest 认证。具有 Super 权限的客户端

可以对 ZooKeeper 上的任意数据节点进行任意操作。

授权对象(ID)

授权对象就是说我们要把权限赋予谁,而对应于 4 种不同的权限模式来说,如果我们选择采用 IP

方式,使用的授权对象可以是一个 IP 地址或 IP 地址段;而如果使用 Digest 或 Super 方式,则

对应于一个用户名。如果是 World 模式,是授权系统中所有的用户。

权限信息(Permission)

权限就是指我们可以在数据节点上执行的操作种类,如下所示:在 ZooKeeper 中已经定义好的

权限有 5 种:

  • 数据节点(c: create)创建权限,授予权限的对象可以在数据节点下创建子节点;
  • 数据节点(w: wirte)更新权限,授予权限的对象可以更新该数据节点;
  • 数据节点(r: read)读取权限,授予权限的对象可以读取该节点的内容以及子节点的列表信息;
  • 数据节点(d: delete)删除权限,授予权限的对象可以删除该数据节点的子节点;
  • 数据节点(a: admin)管理者权限,授予权限的对象可以对该数据节点体进行 ACL 权限设置。

命令:

getAcl:获取某个节点的acl权限信息

setAcl:设置某个节点的acl权限信息

addauth: 输入认证授权信息,相当于注册用户信息,注册时输入明文密码,zk将以密文的形式存

可以通过系统参数zookeeper.skipACL=yes进行配置,默认是no,可以配置为true, 则配置过的

ACL将不再进行权限检测

生成授权ID的两种方式:

a.代码生成ID:
bash 复制代码 
1 @Test
2 public void generateSuperDigest() throws NoSuchAlgorithmException {
3 String sId = DigestAuthenticationProvider.generateDigest("gj:test");
4 System.out.println(sId);// gj:X/NSthOB0fD/OT6iilJ55WJVado=
5 }
b.在xshell 中生成
bash 复制代码 
echo ‐n <user>:<password> | openssl dgst ‐binary ‐sha1 | openssl base64

设置ACL有两种方式

节点创建的同时设置ACL
bash 复制代码 
create [-s] [-e] [-c] path [data] [acl]
1 create /zk‐node datatest digest:gj:X/NSthOB0fD/OT6iilJ55WJVado=:cdrwa
或者用setAcl 设置
1 setAcl /zk‐node digest:gj:X/NSthOB0fD/OT6iilJ55WJVado=:cdrwa
添加授权信息后,不能直接访问,直接访问将报如下异常
1 get /zk‐node
2 异常信息:
3 org.apache.zookeeper.KeeperException$NoAuthException: KeeperErrorCode = NoAuth
for /zk‐node
访问前需要添加授权信息
1 addauth digest gj:test
2 get /zk‐node
3 datatest
另一种授权模式: auth 明文授权

使用之前需要先
addauth digest username:password 注册用户信息,后续可以直接用明文授权

bash 复制代码 
1 addauth digest u100:p100
2 create /node‐1 node1data auth:u100:p100:cdwra
3 这是u100用户授权信息会被zk保存,可以认为当前的授权用户为u100
4 get /node‐1
5 node1data

IP授权模式:

bash 复制代码 
1 setAcl /node‐ip ip:192.168.109.128:cdwra
2 create /node‐ip data ip:192.168.109.128:cdwra

多个指定IP可以通过逗号分隔, 如 setAcl /node-ip ip:IP1:rw,ip:IP2:a

Super 超级管理员模式

这是一种特殊的Digest模式, 在Super模式下超级管理员用户可以对Zookeeper上的节点进行任

何的操作。

需要在启动了上通过JVM 系统参数开启:

bash 复制代码 
1 DigestAuthenticationProvider中定义
2 ‐Dzookeeper.DigestAuthenticationProvider.superDigest=super:
<base64encoded(SHA1(password))

5. ZooKeeper 内存数据和持久化

Zookeeper数据的组织形式为一个类似文件系统的数据结构,而这些数据都是存储在内存中的,

所以我们可以认为,Zookeeper是一个基于内存的小型数据库

内存中的数据:

java 复制代码 
1 public class DataTree {
2 private final ConcurrentHashMap<String, DataNode> nodes =
3 new ConcurrentHashMap<String, DataNode>();
4
5
6 private final WatchManager dataWatches = new WatchManager();
7 private final WatchManager childWatches = new WatchManager();
8

DataNode 是Zookeeper存储节点数据的最小单位

java 复制代码 
1 public class DataNode implements Record {
2 byte data[];
3 Long acl;
4 public StatPersisted stat;
5 private Set<String> children = null;

事务日志

针对每一次客户端的事务操作,Zookeeper都会将他们记录到事务日志中,当然,Zookeeper也

会将数据变更应用到内存数据库中。我们可以在zookeeper的主配置文件zoo.cfg 中配置内存中

的数据持久化目录,也就是事务日志的存储路径 dataLogDir. 如果没有配置dataLogDir(非必

填), 事务日志将存储到dataDir (必填项)目录,

zookeeper提供了格式化工具可以进行数据查看事务日志数据

Zookeeper进行事务日志文件操作的时候会频繁进行磁盘IO操作,事务日志的不断追加写操作会

触发底层磁盘IO为文件开辟新的磁盘块,即磁盘Seek。因此,为了提升磁盘IO的效率,

Zookeeper在创建事务日志文件的时候就进行文件空间的预分配- 即在创建文件的时候,就向操

作系统申请一块大一点的磁盘块。这个预分配的磁盘大小可以通过系统参数

zookeeper.preAllocSize 进行配置。

事务日志文件名为: log.<当时最大事务ID>,应为日志文件时顺序写入的,所以这个最大事务

ID也将是整个事务日志文件中,最小的事务ID,日志满了即进行下一次事务日志文件的创建

数据快照

数据快照用于记录Zookeeper服务器上某一时刻的全量数据,并将其写入到指定的磁盘文件中。

可以通过配置snapCount配置每间隔事务请求个数,生成快照,数据存储在dataDir 指定的目录

中,

可以通过如下方式进行查看快照数据( 为了避免集群中所有机器在同一时间进行快照,实际的快

照生成时机为事务数达到 [snapCount/2 + 随机数(随机数范围为1 ~ snapCount/2 )] 个数时开

始快照)

快照事务日志文件名为: snapshot.<当时最大事务ID>,日志满了即进行下一次事务日志文件的

创建

有了事务日志,为啥还要快照数据。

快照数据主要时为了快速恢复, 事务日志文件是每次事务请求都会进行追加的操作,而快照是达

到某种设定条件下的内存全量数据。所以通常快照数据是反应当时内存数据的状态。事务日志是

更全面的数据,所以恢复数据的时候,可以先恢复快照数据,再通过增量恢复事务日志中的数据

即可。

相关推荐
程序员学习随笔4 分钟前
分布式 ID 生成的五种方法:优缺点与适用场景
分布式
AI风老师18 分钟前
2、ubuntu系统配置OpenSSH | 使用vscode或pycharm远程连接
linux·运维·服务器·ssh
hello1114-29 分钟前
Redis学习打卡-Day3-分布式ID生成策略、分布式锁
redis·分布式·学习
选与握1 小时前
ubuntu工控机固定设备usb串口号
linux·运维·ubuntu
Paraverse_徐志斌2 小时前
基于 Zookeeper 部署 Kafka 集群
ubuntu·zookeeper·kafka·消息队列
掘金-我是哪吒2 小时前
分布式微服务系统架构第129集:redis安装部署文档
redis·分布式·微服务·架构·系统架构
休息一下接着来2 小时前
C++ I/O多路复用
linux·开发语言·c++
舰长1152 小时前
ubuntu 安装mq
linux·运维·ubuntu
liuyunluoxiao2 小时前
进程间通信--信号量【Linux操作系统】
linux
传知摩尔狮2 小时前
Linux 中断源码性能分析实战:从内核深处榨取每一丝性能
linux·运维·服务器
热门推荐
01KGG转MP3工具|非KGM文件|解密音频02YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】03从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑04【SpeedAI科研小助手】2分钟极速解决知网维普重复率、AIGC率过高,一键全文降!文件格式不变,公式都保留的!05YOLOv5改进 | 添加CA注意力机制 + 增加预测层 + 更换损失函数之GIoU06Coze扣子平台完整体验和实践(附国内和国际版对比)07Ubuntu24.04安装中文输入法08DeepSeek各版本说明与优缺点分析09苍穹外卖面试总结10组基轨迹建模 GBTM的介绍与实现(Stata 或 R)