Zookeeper权限管理与Quota管理

Zookeeper 的 ACL 机制和 Quota 机制网上资料较少，这里做一个总结，以供大家参考。

1 Zookeeper ACL

ZooKeeper 的权限管理亦即 ACL 控制功能通过 Server 、 Client 两端协调完成：

Server 端：

一个 ZooKeeper 的节点（ znode ）存储两部分内容：数据和状态，状态中包含 ACL 信息。创建一个 znode 会产生一个 ACL 列表，列表中每个 ACL 包括：

l   验证模式 (scheme)

l   具体内容 (Id) （当 scheme=“digest” 时， Id 为用户名密码，例如 “root ： J0sTy9BCUKubtK1y8pkbL7qoxSw=” ）

l   权限 (perms)

1.1 scheme

ZooKeeper 提供了如下几种验证模式（ scheme ）：

l   digest ： Client 端由用户名和密码验证，譬如 user:password ， digest 的密码生成方式是 Sha1 摘要的 base64 形式

l   auth ： 不使用任何 id ，代表任何已确认用户。

l   ip ： Client 端由 IP 地址验证，譬如 172.2.0.0/24

l   world ：固定用户为 anyone ，为所有 Client 端开放权限

l   super ：在这种 scheme 情况下，对应的 id 拥有超级权限，可以做任何事情 (cdrwa ）

注意的是， exists 操作和 getAcl 操作并不受 ACL 许可控制，因此任何客户端可以查询节点的状态和节点的 ACL 。

节点的权限（ perms ）主要有以下几种：

l   Create 允许对子节点 Create 操作

l   Read 允许对本节点 GetChildren 和 GetData 操作

l   Write 允许对本节点 SetData 操作

l   Delete 允许对子节点 Delete 操作

l   Admin 允许对本节点 setAcl 操作

Znode ACL 权限用一个 int 型数字 perms 表示， perms 的 5 个二进制位分别表示 setacl 、 delete 、 create 、 write 、 read 。比如 0x1f=adcwr ， 0x1=----r ， 0x15=a-c-r 。

1.1.1 world scheme 固定 id 为 anyone ，表示对所有 Client 端开放权限：

[zk: localhost:2181(CONNECTED) 13] create /123 "123"

Created /123

[zk: localhost:2181(CONNECTED) 14] getAcl /123

'world,'anyone

: cdrwa

1.1.2 ip scheme 设置可以访问的 ip 地址（比如 127.0.0.1 ）或 ip 地址段（比如 192.168.1.0/16 ）

10.194.157.58 这台机器上创建 /test 并设置 ip 访问权限

[zk: 10.194.157.58:2181(CONNECTED) 0] create /test "123"

Created /test

[zk: 10.194.157.58:2181(CONNECTED) 1] setAcl /test ip:10.194.157.58:crwda

cZxid = 0x740021e467

ctime = Wed Dec 02 18:09:09 CST 2015

mZxid = 0x740021e467

mtime = Wed Dec 02 18:09:09 CST 2015

pZxid = 0x740021e467

cversion = 0

dataVersion = 0

aclVersion = 1

ephemeralOwner = 0x0

dataLength = 5

numChildren = 0

[zk: 10.194.157.58:2181(CONNECTED) 2] ls /test

[]

可以看到，本机是可以访问的。

在 10.205.148.152 上登陆

[zk: 10.194.157.58:2181(CONNECTED) 1] ls /test

Authentication is not valid : /test

可以看到，连接的 ip 不在授权中，提示访问错误。

1.1.3 digest scheme 的 id 表示为 username:BASE64(SHA1(password))

[root@rocket zookeeper-server1]# cd /usr/local/zookeeper-server1/

[root@rocket zookeeper-server1]# pwd

/usr/local/zookeeper-server1

# 生成密文

[root@rocket zookeeper-server1]# java -cp ./zookeeper-3.4.6.jar:./lib/log4j-1.2.16.jar:./lib/slf4j-log4j12-1.6.1.jar:./lib/slf4j-api-1.6.1.jar org.apache.zookeeper.server.auth.DigestAuthenticationProvider test:test

test:test->test:V28q/NynI4JI3Rk54h0r8O5kMug=

创建 acl

通过认证后，可以访问数据：

[zk: localhost:2181(CONNECTED) 0]

[zk: localhost:2181(CONNECTED) 0] ls /test_acl

Authentication is not valid : /test_acl

[zk: localhost:2181(CONNECTED) 1] getAcl /test_acl

'digest,'test:V28q/NynI4JI3Rk54h0r8O5kMug=

: cdrwa

[zk: localhost:2181(CONNECTED) 2] addauth digest test:test

[zk: localhost:2181(CONNECTED) 3] ls /test_acl

[]

[zk: localhost:2181(CONNECTED) 4] get /test_acl

"test"

cZxid = 0x33

ctime = Wed Dec 02 00:10:47 PST 2015

mZxid = 0x33

mtime = Wed Dec 02 00:10:47 PST 2015

pZxid = 0x33

cversion = 0

dataVersion = 0

aclVersion = 1

ephemeralOwner = 0x0

dataLength = 6

numChildren = 0

1.2 SuperDigest 超级管理员

当设置了 znode 权限，但是密码忘记了怎么办？还好 Zookeeper 提供了超级管理员机制。

一次 Client 对 znode 进行操作的验证 ACL 的方式为：

a) 遍历 znode 的所有 ACL ：

i. 对于每一个 ACL ，首先操作类型与权限（ perms ）匹配

ii. 只有匹配权限成功才进行 session 的 auth 信息与 ACL 的用户名、密码匹配

b) 如果两次匹配都成功，则允许操作；否则，返回权限不够 error （ rc=-102 ）

备注：如果 znode ACL List 中任何一个 ACL 都没有 setAcl 权限，那么就算 superDigest 也修改不了它的权限；再假如这个 znode 还不开放 delete 权限，那么它的所有子节点都将不会被删除。唯一的办法是通过手动删除 snapshot 和 log 的方法，将 ZK 回滚到一个以前的状态，然后重启，当然这会影响到该 znode 以外其它节点的正常应用。

superDigest 设置的步骤

修改 zkServer.sh ，加入 super 权限设置

-Dzookeeper.DigestAuthenticationProvider.superDigest=super:gG7s8t3oDEtIqF6DM9LlI/R+9Ss=

重新启动 Zookeeper

# ./zkServer.sh restart

这时候

不使用 test:test 进行认证，而是使用 super:super 进行认证：

[zk: localhost:2181(CONNECTED) 0] ls /test_acl

Authentication is not valid : /test_acl

[zk: localhost:2181(CONNECTED) 1] addauth digest super:super

[zk: localhost:2181(CONNECTED) 2] ls /test_acl

[]

[zk: localhost:2181(CONNECTED) 3] get /test_acl

"test"

cZxid = 0x33

ctime = Wed Dec 02 00:10:47 PST 2015

mZxid = 0x33

mtime = Wed Dec 02 00:10:47 PST 2015

pZxid = 0x33

cversion = 0

dataVersion = 0

aclVersion = 1

ephemeralOwner = 0x0

dataLength = 6

numChildren = 0

1.3 ACL 机制的缺陷

然而， ACL 毕竟仅仅是访问控制，并非完善的权限管理，通过这种方式做多集群隔离，还有很多局限性：

ACL 并无递归机制，任何一个 znode 创建后，都需要单独设置 ACL ，无法继承父节点的 ACL 设置。

除了 ip 这种 scheme ， digest 和 auth 的使用对用户都不是透明的，这也给使用带来了很大的成本，很多依赖 zookeeper 的开源框架也没有加入对 ACL 的支持，例如 hbase ， storm 。

2 Zookeeper quota

ZooKeeper quota 机制支持节点个数（ znode ）和空间大小（字节数）。

[zk: localhost:2181(CONNECTED) 2] create /test_quota "12345"

Created /test_quota

[zk: localhost:2181(CONNECTED) 3] listquota /test_quota

absolute path is /zookeeper/quota/test_quota/zookeeper_limits

quota for /test_quota does not exist.

# 这里看到 quota 还没有设置

[zk: localhost:2181(CONNECTED) 4] setquota -n 5 /test_quota

Comment: the parts are option -n val 5 path /test_quota

# -n 表示设置 znode count 限制，这里表示 /test_quota 这个 path 下的 znode count 个数限制为 5 （包括 /test_quota 本身）

# -b 表示设置 znode 数据的字节大小限制，这里不做演示了，有兴趣的同学下去自己实验

[zk: localhost:2181(CONNECTED) 5] listquota /test_quota

absolute path is /zookeeper/quota/test_quota/zookeeper_limits

Output quota for /test_quota count=5,bytes=-1    # 限制 znode count 为 5

Output stat for /test_quota count=1,bytes=7      # 目前 znode count 为 1

[zk: localhost:2181(CONNECTED) 3] create /test_quota/0 "0"

Created /test_quota/0

[zk: localhost:2181(CONNECTED) 6] create /test_quota/1 "1"

Created /test_quota/1

[zk: localhost:2181(CONNECTED) 7] create /test_quota/2 "2"

Created /test_quota/2

[zk: localhost:2181(CONNECTED) 8] create /test_quota/3 "3"

Created /test_quota/3

[zk: localhost:2181(CONNECTED) 9] create /test_quota/4 "4"

Created /test_quota/4

# 上面新建了多个 znode

看 zookeeper 的日志，发现有 Quota exceeded 的日志， 这里要说明一下 zookeeper 的 Quota 机制是比较温和的，即使超限了，只是在日志中报告一下，并不会限制 Client 的行为， Client 可以继续操作 znode 。

在实际项目中， Client 可以查看 /zookeeper/quota 目录下的数据来确定是否超出 quota 限制，由此来做一些告警。

[zk: localhost:2181(CONNECTED) 4] get /zookeeper/quota/test_quota/zookeeper_limits

count=5,bytes=-1

[zk: localhost:2181(CONNECTED) 5] get /zookeeper/quota/test_quota/zookeeper_stats

count=7,bytes=25