ZooKeeper的权限管理亦即ACL控制功能通过Server、Client两端协调完成:
Server端:
一个ZooKeeper的节点(znode)存储两部分内容:数据和状态,状态中包含ACL信息。创建一个znode会产生一个ACL列表,列表中每个ACL包括:
l 验证模式(scheme)
l 具体内容(Id)(当scheme=“digest”时,Id为用户名密码,例如“root:J0sTy9BCUKubtK1y8pkbL7qoxSw=”)
l 权限(perms)
ZooKeeper提供了如下几种验证模式(scheme):
l digest:Client端由用户名和密码验证,譬如user:password,digest的密码生成方式是Sha1摘要的base64形式
l auth:不使用任何id,代表任何已确认用户。
l ip:Client端由IP地址验证,譬如172.2.0.0/24
l world:固定用户为anyone,为所有Client端开放权限
l super:在这种scheme情况下,对应的id拥有超级权限,可以做任何事情(cdrwa)
注意的是,exists操作和getAcl操作并不受ACL许可控制,因此任何客户端可以查询节点的状态和节点的ACL。
节点的权限(perms)主要有以下几种:
l Create 允许对子节点Create操作
l Read 允许对本节点GetChildren和GetData操作
l Write 允许对本节点SetData操作
l Delete 允许对子节点Delete操作
l Admin 允许对本节点setAcl操作
Znode ACL权限用一个int型数字perms表示,perms的5个二进制位分别表示setacl、delete、create、write、read。比如0x1f=adcwr,0x1=----r,0x15=a-c-r。
[zk: localhost:2181(CONNECTED) 13] create /123 "123"
Created /123
[zk: localhost:2181(CONNECTED) 14] getAcl /123
'world,'anyone
: cdrwa
10.194.157.58这台机器上创建/test并设置ip访问权限
[zk: 10.194.157.58:2181(CONNECTED) 0] create /test "123"
Created /test
[zk: 10.194.157.58:2181(CONNECTED) 1] setAcl /test ip:10.194.157.58:crwda
cZxid = 0x740021e467
ctime = Wed Dec 02 18:09:09 CST 2015
mZxid = 0x740021e467
mtime = Wed Dec 02 18:09:09 CST 2015
pZxid = 0x740021e467
cversion = 0
dataVersion = 0
aclVersion = 1
ephemeralOwner = 0x0
dataLength = 5
numChildren = 0
[zk: 10.194.157.58:2181(CONNECTED) 2] ls /test
[]
可以看到,本机是可以访问的。
在10.205.148.152上登陆
[zk: 10.194.157.58:2181(CONNECTED) 1] ls /test
Authentication is not valid : /test
可以看到,连接的ip不在授权中,提示访问错误。
[root@rocket zookeeper-server1]# cd /usr/local/zookeeper-server1/
[root@rocket zookeeper-server1]# pwd
/usr/local/zookeeper-server1
# 生成密文
[root@rocket zookeeper-server1]# java -cp ./zookeeper-3.4.6.jar:./lib/log4j-1.2.16.jar:./lib/slf4j-log4j12-1.6.1.jar:./lib/slf4j-api-1.6.1.jar org.apache.zookeeper.server.auth.DigestAuthenticationProvider test:test
test:test->test:V28q/NynI4JI3Rk54h0r8O5kMug=
创建acl
通过认证后,可以访问数据:
[zk: localhost:2181(CONNECTED) 0]
[zk: localhost:2181(CONNECTED) 0] ls /test_acl
Authentication is not valid : /test_acl
[zk: localhost:2181(CONNECTED) 1] getAcl /test_acl
'digest,'test:V28q/NynI4JI3Rk54h0r8O5kMug=
: cdrwa
[zk: localhost:2181(CONNECTED) 2] addauth digest test:test
[zk: localhost:2181(CONNECTED) 3] ls /test_acl
[]
[zk: localhost:2181(CONNECTED) 4] get /test_acl
"test"
cZxid = 0x33
ctime = Wed Dec 02 00:10:47 PST 2015
mZxid = 0x33
mtime = Wed Dec 02 00:10:47 PST 2015
pZxid = 0x33
cversion = 0
dataVersion = 0
aclVersion = 1
ephemeralOwner = 0x0
dataLength = 6
numChildren = 0
当设置了znode权限,但是密码忘记了怎么办?还好Zookeeper提供了超级管理员机制。
一次Client对znode进行操作的验证ACL的方式为:
a) 遍历znode的所有ACL:
i. 对于每一个ACL,首先操作类型与权限(perms)匹配
ii. 只有匹配权限成功才进行session的auth信息与ACL的用户名、密码匹配
b) 如果两次匹配都成功,则允许操作;否则,返回权限不够error(rc=-102)
备注:如果znode ACL List中任何一个ACL都没有setAcl权限,那么就算superDigest也修改不了它的权限;再假如这个znode还不开放delete权限,那么它的所有子节点都将不会被删除。唯一的办法是通过手动删除snapshot和log的方法,将ZK回滚到一个以前的状态,然后重启,当然这会影响到该znode以外其它节点的正常应用。
superDigest设置的步骤
修改zkServer.sh,加入super权限设置
-Dzookeeper.DigestAuthenticationProvider.superDigest=super:gG7s8t3oDEtIqF6DM9LlI/R+9Ss=
重新启动Zookeeper
# ./zkServer.sh restart
这时候
不使用test:test进行认证,而是使用super:super进行认证:
[zk: localhost:2181(CONNECTED) 0] ls /test_acl
Authentication is not valid : /test_acl
[zk: localhost:2181(CONNECTED) 1] addauth digest super:super
[zk: localhost:2181(CONNECTED) 2] ls /test_acl
[]
[zk: localhost:2181(CONNECTED) 3] get /test_acl
"test"
cZxid = 0x33
ctime = Wed Dec 02 00:10:47 PST 2015
mZxid = 0x33
mtime = Wed Dec 02 00:10:47 PST 2015
pZxid = 0x33
cversion = 0
dataVersion = 0
aclVersion = 1
ephemeralOwner = 0x0
dataLength = 6
numChildren = 0
然而,ACL毕竟仅仅是访问控制,并非完善的权限管理,通过这种方式做多集群隔离,还有很多局限性:
ACL并无递归机制,任何一个znode创建后,都需要单独设置ACL,无法继承父节点的ACL设置。
除了ip这种scheme,digest和auth的使用对用户都不是透明的,这也给使用带来了很大的成本,很多依赖zookeeper的开源框架也没有加入对ACL的支持,例如hbase,storm。
ZooKeeper quota机制支持节点个数(znode)和空间大小(字节数)。
[zk: localhost:2181(CONNECTED) 2] create /test_quota "12345"
Created /test_quota
[zk: localhost:2181(CONNECTED) 3] listquota /test_quota
absolute path is /zookeeper/quota/test_quota/zookeeper_limits
quota for /test_quota does not exist.
# 这里看到quota还没有设置
[zk: localhost:2181(CONNECTED) 4] setquota -n 5 /test_quota
Comment: the parts are option -n val 5 path /test_quota
# -n表示设置znode count限制,这里表示/test_quota这个path下的znode count个数限制为5(包括/test_quota本身)
# -b 表示设置znode数据的字节大小限制,这里不做演示了,有兴趣的同学下去自己实验
[zk: localhost:2181(CONNECTED) 5] listquota /test_quota
absolute path is /zookeeper/quota/test_quota/zookeeper_limits
Output quota for /test_quota count=5,bytes=-1 # 限制znode count为5
Output stat for /test_quota count=1,bytes=7 # 目前znode count为1
[zk: localhost:2181(CONNECTED) 3] create /test_quota/0 "0"
Created /test_quota/0
[zk: localhost:2181(CONNECTED) 6] create /test_quota/1 "1"
Created /test_quota/1
[zk: localhost:2181(CONNECTED) 7] create /test_quota/2 "2"
Created /test_quota/2
[zk: localhost:2181(CONNECTED) 8] create /test_quota/3 "3"
Created /test_quota/3
[zk: localhost:2181(CONNECTED) 9] create /test_quota/4 "4"
Created /test_quota/4
# 上面新建了多个znode
看zookeeper的日志,发现有Quota exceeded的日志,这里要说明一下zookeeper的Quota机制是比较温和的,即使超限了,只是在日志中报告一下,并不会限制Client的行为,Client可以继续操作znode。
在实际项目中,Client可以查看/zookeeper/quota目录下的数据来确定是否超出quota限制,由此来做一些告警。
[zk: localhost:2181(CONNECTED) 4] get /zookeeper/quota/test_quota/zookeeper_limits
count=5,bytes=-1
[zk: localhost:2181(CONNECTED) 5] get /zookeeper/quota/test_quota/zookeeper_stats
count=7,bytes=25
如有对这方面感兴趣的同学,欢迎扫描下方二维码关注公众号“微IT之blog”
转载地址:https://www.cnblogs.com/linuxbug/p/5023677.html
文章浏览阅读10w+次,点赞173次,收藏149次。接着上一篇OCR所说的,上一篇给大家介绍了tesseract 在命令行的简单用法,当然了要继承到我们的程序中,还是需要代码实现的,下面给大家分享下java实现的例子。拿代码扫描上面的图片,然后输出结果。主要思想就是利用Java调用系统任务。下面是核心代码:package com.zhy.test;import java.io.BufferedReader;import_tesocr jave
文章浏览阅读519次,点赞2次,收藏2次。图片来源:互联网众所周知,中国是智利车厘子最主要的出口对象,占据了其95%的市场份额。智利驻华大使馆商务参赞娜塔曾表示:“2020-2021产季车厘子实现了丰收,预计今年有50万吨左右的车厘子进入中国市场。”自2020年12月中旬开始,智利海运车厘子陆续到达中国,运输成本较此前空运方式大幅下滑。这意味着,国内消费者将能以更低的价格买到车厘子。然而,近日国内已有多地进口车厘子核酸检测结果为阳性,在这种情况下,你还敢大呼“车厘子自由”吗?01 数据获取本文利用Python采集了淘宝网1585.._爬虫 淘宝车厘子
文章浏览阅读1.1k次。OLAP中数据存储的问题OLAP 需要队列进行选择,行式存储按行存数据,使用索引加快对数据的查找(索引包括聚集索引(表记录的排列顺序与索引的排列顺序一致)和非聚簇索引(非聚集索引指定了表中记录的逻辑顺序,但记录的物理顺序和索引的顺序不一致))。这种方式对按列的存储和检索不是很高效,查询某一列数据需要将所有行的数据扫描一次,而且对统计分析也不友好。列式存储原理若使用列式存储可以只用扫描出需要的列,行、列存储的对比。文件格式parquet 文件格式:如下图所示:parquet file = hea_列式存储
文章浏览阅读4.3w次,点赞184次,收藏1.2k次。我们可以把字符串储存在char类型的数组中,如果char类型的数组末尾包含一个表示字符串末尾的空字符\0,则该数组中的内容就构成了一个字符串因为字符串需要用\0结尾,所以在定义字符串的时候,字符数组的长度要预留多一个字节用来存放\0,\0就是数字0例如。_c语言字符串
文章浏览阅读2k次,点赞8次,收藏15次。后台管理项目免不了要做权限控制,常见的分为路由级别和按钮级别,在此主要针对于按钮权限,比如说某个用户或者角色对数据有没有增删改查的权限,例如以下功能,巡查人员可以点击导入和新建,而一般用户只能选择下载模板。在 directives文件夹下分别创建permission、debounce、throttle三个ts文件,分别用于存放权限控制,防抖和节流的业务逻辑,结构清晰,方便维护以及更低的耦合度。在index.ts文件中分别导入每个自定义指令对象,再遍历注册每一个指令。_vue3 v-permission
文章浏览阅读553次。1、maven-dependency-versions-check-plugin, Maven 插件查找依赖版本冲突转载于:https://www.cnblogs.com/yixiu868/p/11583582.html_maven-dependency-versions-check-plugin
文章浏览阅读57次。【1】windows下php运行环境安装【2】php连接MySQL【3】centos7下用yum的方式安装php7.2【4】编译式安装php【5】php日志文件【6】php.ini配置【7】php-fpm.conf重要参数详解【8】扩展mysql【1】windows下php运行环境安装参考连接#下载地址https://windows.php.net/download#php-7.3#解压安装包至任意目录#结合apache或nginx进行配置即可###名词解释...
文章浏览阅读1.3k次。前后端分离之Spring Security Api验证实践为什么需要RESTful重定向问题为什么需要RESTful使用RESTful之前,会发现各种奇葩的url命名,对url的功能经常需要结合源代码来确认,让人头痛,使用RESTful规范之后,很多问题得以解决。仅仅依靠URL和Method就能定为功能。重定向问题需要重新定义逻辑(JDK8推荐使用Lambda表达式)登录 ,默认下..._spring security api
文章浏览阅读10w+次,点赞25次,收藏117次。图像处理之常见二值化方法汇总图像二值化是图像分析与处理中最常见最重要的处理手段,二值处理方法也非常多。越精准的方法计算量也越大。本文主要介绍四种常见的二值处理方法,通常情况下可以满足大多数图像处理的需要。主要本文讨论的方法仅针对RGB色彩空间。 方法一:该方法非常简单,对RGB彩色图像灰度化以后,扫描图像的每个像素值,值小于127的将像素值设为0(黑色),值大于等于12_二值化
文章浏览阅读1.9k次。JAVA程序设计与应用开发(第2版)——《GUI清华大学出版社》_gui开发
文章浏览阅读491次。大家好,给大家分享一下PYTHON实训总结及体会1500字,很多人还不知道这一点。这将使你在做实验时的难度加大。然后两下子就将实验报告做完。但学到的知识与难度成正比。一定要将课本上的知识吃透。【篇一:实验心得体会】就像以前做物理实验一样。在老师讲解时就会听不懂。你要清楚电桥的各种接法。这将使你极大地浪费时间。在做测试技术的实验前。因为这是做实验的基础。_python实验体会
文章浏览阅读9.6k次,点赞9次,收藏117次。特性或指标总述本文将从以下特性进行简单的叙述。结合了《ADC设计基础》和TI的一些教学视频。分辨率转换误差转换速度采样率奈奎斯特采样准则混叠和抗混叠滤波器DNLINL热噪声谐波失真THDSNRENOBSFDRIMD孔径抖动孔径延迟奈奎斯特区补充分辨率一般ADC都说注明是8bit,16bit或者是24bit。这里的数值也就是分辨率的意思。分辨率是衡量A..._adc电流电压零漂值