CentOS下Zookeeper权限管理详解

一、权限管理基础：ACL概述

Zookeeper的权限管理核心是ACL（Access Control Lists，访问控制列表），通过定义认证模式（Schema）、**用户/组标识（ID）和权限（Permissions）**组合，实现对节点（znode）的细粒度访问控制。常见认证模式包括：

• world：仅anyone（任何人），权限固定为cdrwa（创建、读、删、写、管理ACL）；
• auth：无需指定ID，任何通过认证的用户（如addauth添加的账号）均有权限；
• digest：基于username:password的加密认证（密码经SHA1+BASE64处理），安全性最高；
• ip：基于客户端IP地址的访问控制，支持IP段（如192.168.1.*）；
• super：超级管理员模式，拥有所有节点的完全控制权（需服务器端配置）。

二、准备工作：环境配置

1. 用户与目录权限

Zookeeper需以非特权用户（如zookeeper）运行，避免权限过高导致安全风险。

# 创建zookeeper用户及组
sudo useradd -r -s /sbin/nologin zookeeper

# 设置数据目录与日志目录权限（以默认路径为例）
sudo chown -R zookeeper:zookeeper /var/lib/zookeeper  # 数据目录
sudo chmod -R 750 /var/lib/zookeeper
sudo chown -R zookeeper:zookeeper /var/log/zookeeper  # 日志目录
sudo chmod -R 750 /var/log/zookeeper

2. SELinux设置（可选）

若系统启用SELinux，需调整策略允许Zookeeper访问资源：

# 临时关闭SELinux（测试用）
sudo setenforce 0

# 永久关闭（需修改/etc/selinux/config文件，设为disabled）
# 注意：生产环境建议通过策略调整而非完全关闭

3. 防火墙配置

开放Zookeeper默认端口（2181），限制访问IP（可选）：

# 开放2181端口
sudo firewall-cmd --permanent --zone=public --add-port=2181/tcp
sudo firewall-cmd --reload

# 限制仅特定IP访问（如192.168.1.100）
sudo firewall-cmd --permanent --zone=trusted --add-source=192.168.1.100
sudo firewall-cmd --reload

三、核心操作：ACL权限管理

1. 连接Zookeeper客户端

使用zkCli.sh工具连接Zookeeper服务器（默认端口2181）：

./zkCli.sh -server localhost:2181

2. 添加认证信息（digest模式必用）

若使用digest认证，需先通过addauth命令添加账号密码：

addauth digest zkuser:zkpassword

3. 创建节点并设置ACL

方式1：创建节点时直接指定ACL

# 创建节点/test，使用digest模式，账号zkuser拥有cdrwa权限
create /test "testdata" digest:zkuser:BASE64ENCODED_PASSWORD:cdrwa

其中BASE64ENCODED_PASSWORD为zkuser:zkpassword的SHA1哈希值的BASE64编码（可通过echo -n "zkuser:zkpassword" | sha1sum | base64生成）。

方式2：先创建节点后设置ACL

# 创建节点（无ACL）
create /test1 "testdata1"

# 设置ACL（digest模式，账号zkuser拥有读写权限）
setAcl /test1 digest:zkuser:BASE64ENCODED_PASSWORD:rw

4. 查看节点ACL

使用getAcl命令查看节点的当前权限设置：

getAcl /test

输出示例：

'digest,'zkuser:BASE64ENCODED_PASSWORD': cdrwa

5. 修改节点ACL

使用setAcl命令修改已有节点的权限（如将/test的权限改为仅zkuser可读）：

setAcl /test digest:zkuser:BASE64ENCODED_PASSWORD:r

6. 删除节点ACL

使用clearAcl命令清除节点的所有权限（慎用，会导致节点完全开放）：

clearAcl /test

7. 超级管理员配置（可选）

若需创建超级管理员账号（拥有所有节点的完全控制权），需修改Zookeeper启动参数：

# 编辑zoo.cfg，添加以下配置
-Dzookeeper.DigestAuthenticationProvider.superDigest=super:BASE64ENCODED_PASSWORD

其中BASE64ENCODED_PASSWORD为super:superpassword的SHA1哈希值的BASE64编码。超级管理员可直接访问所有节点，无需额外认证。

四、其他权限管理方式

1. 基于IP的访问控制

通过setAcl命令限制特定IP地址的访问：

# 限制192.168.0.33对/test-node-ip节点的读写权限
setAcl /test-node-ip ip:192.168.0.33:cdwr

2. 集成Apache Ranger（集中式管理）

对于企业级场景，可使用Apache Ranger实现Zookeeper的集中式权限管理：

1. 安装并配置Ranger；
2. 在Ranger中添加Zookeeper连接信息；
3. 通过Ranger界面创建策略（如限制某用户组对某路径的读权限）；
4. 同步策略到Zookeeper集群。

五、注意事项

1. 权限优先级：ACL规则的顺序很重要，Zookeeper会按列表顺序匹配权限，第一条匹配的规则生效；
2. digest模式安全性：密码需使用SHA1+BASE64加密，避免明文存储；
3. 生产环境建议：
   • 使用digest模式替代world模式；
   • 限制Zookeeper端口访问范围（如仅允许可信IP访问）；
   • 定期审计ACL设置，及时回收不必要的权限。