Zookeeper权限管理怎么做

Zookeeper权限管理核心方案：ACL（访问控制列表）
Zookeeper的权限管理主要依赖**ACL（Access Control Lists）**机制，通过定义认证方式、用户/组及操作权限，实现对节点的精细化访问控制。以下是具体实施步骤：

一、准备工作：配置Zookeeper认证提供者

在zoo.cfg配置文件中添加SASL认证相关配置，启用ACL功能：

authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
requireClientAuthScheme=sasl
jaasLoginRenew=3600000  # JAAS配置刷新间隔（毫秒）

若使用Digest认证（推荐），还需创建JAAS配置文件（如/etc/zookeeper/jaas.conf），定义用户凭证：

Server {
    org.apache.zookeeper.server.auth.DigestLoginModule required
    user_super="super_secret"  # 用户名:密码（明文）
    user_admin="admin_secret";
};

在zoo.cfg中指定JAAS文件路径：

jaasLoginPath=/etc/zookeeper/jaas.conf

重启Zookeeper服务使配置生效：

systemctl restart zookeeper

二、常用ACL操作命令（通过zkCli.sh）

Zookeeper提供了丰富的命令行工具管理权限，以下是核心操作：

1. 添加认证信息

客户端连接后，需通过addauth命令提交认证信息（如Digest认证）：

./zkCli.sh -server localhost:2181 addauth digest username:password

例如：

./zkCli.sh -server localhost:2181 addauth digest admin:admin_secret

2. 创建节点并设置ACL

创建节点时直接指定ACL（格式：schema:id:permissions）：

./zkCli.sh -server localhost:2181 create /secure_node "secure_data" digest:admin:admin_secret:cdrwa

• schema：认证类型（如digest、ip、world）；
• id：用户（digest）或IP（ip）；
• permissions：权限组合（c=创建、r=读取、w=写入、d=删除、a=管理ACL）。

3. 查看节点ACL

使用getAcl命令查看节点的权限设置：

./zkCli.sh -server localhost:2181 getAcl /secure_node

输出示例：

'digest,'admin:base64_encoded_password': cdrwa

4. 修改节点ACL

使用setAcl命令更新节点权限：

./zkCli.sh -server localhost:2181 setAcl /secure_node digest:admin:new_secret:cdrwa

5. 删除节点ACL

使用deleteAcl命令清除节点的所有权限：

./zkCli.sh -server localhost:2181 deleteAcl /secure_node

三、常见认证类型及示例

Zookeeper支持多种认证方式，适配不同场景：

1. World认证（默认）

允许任何客户端访问（相当于“公开”），权限为cdrwa：

./zkCli.sh -server localhost:2181 setAcl /public_node world:anyone:cdrwa

2. Digest认证（推荐）

通过用户名+密码哈希值认证，安全性高：

# 添加认证信息
./zkCli.sh -server localhost:2181 addauth digest user1:password123
# 设置节点权限（仅user1可读写）
./zkCli.sh -server localhost:2181 setAcl /user1_node digest:user1:base64_encoded_hash:cdrw

注：base64_encoded_hash可通过echo -n "user1:password123" | openssl dgst -sha1 -binary | base64生成。

3. IP认证

限制特定IP地址访问：

# 允许192.168.1.100访问/test_node
./zkCli.sh -server localhost:2181 setAcl /test_node ip:192.168.1.100:cdrwa

4. Super认证（超级管理员）

创建无需认证的超级管理员账户（慎用）：

# 生成super用户的base64哈希
echo -n "super:super_secret" | openssl dgst -sha1 -binary | base64
# 设置super ACL
./zkCli.sh -server localhost:2181 setAcl / super:base64_encoded_hash:cdrwa
# 启动时指定super用户（JVM参数）
-Dzookeeper.DigestAuthenticationProvider.superDigest=super:base64_encoded_hash

四、注意事项

1. 权限顺序：Zookeeper按ACL列表顺序匹配权限，第一条匹配的规则生效，建议将具体用户权限置于world:anyone之前。
2. 权限继承：Zookeeper不支持节点权限继承，需为每个节点单独设置ACL。
3. 敏感信息保护：Digest认证的密码需以哈希值存储，避免明文泄露；定期更换密码。
4. 防火墙配合：即使设置了ACL，仍需通过防火墙限制Zookeeper端口（默认2181）的访问，仅允许可信IP连接：

   firewall-cmd --permanent --zone=public --add-port=2181/tcp
   firewall-cmd --reload
   

通过以上步骤，可实现Zookeeper的精细化权限管理，确保数据访问的安全性。