ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件。它是一个为分布式应用提供一致性服务的软件,提供的功能包括:配置维护、域名服务、分布式同步、组服务等。
ZooKeeper的目标就是封装好复杂易出错的关键服务,将简单易用的接口和性能高效、功能稳定的系统提供给用户。
在通常情况下,zookeeper允许未经授权的访问。
zookeeper有三个端口(可以修改),默认端口作用:
1、2181:对cline端提供服务
2、3888:选举leader使用
3、2888:集群内机器通讯使用(Leader监听此端口)
修复办法一(推荐):
1、登陆zookeeper
1 | ./zkCli.sh -server <IP>:<port> |
2、查看当前权限:
1 | getAcl / |
3、添加可访问IP
1 | setAcl / ip:192.168.1.xx:cdrwa,ip:192.168.1.xx:cdrwa |
4、查看是否正常添加
1 | getAcl / |
未授权也可以连接,但是查看节点时会报错”KeeperErrorCode = NoAuth for /“,localhost都不行,必须填可访问IP,才能访问。
1 | [zk: localhost:2181(CONNECTED) 0] ls / |
回退办法:
使用之前设置的IP进行访问:
1 | ./zkCli.sh -server <IP>:<port> |
设置为所有人可访问:
1 | setAcl / world:anyone:cdrwa |
修复办法二:
配置防火墙策略,只允许指定IP访问2181端口。
Linux 6:
1 | iptables -I INPUT -p tcp --dport 2181 -j DROP |
Linux 7:
1 | firewall-cmd --zone=public --remove-port=2181/tcp --permanent |
修复办法三(需要改程序):
为ZooKeeper配置相应的访问权限。
方式一:
1)增加一个认证用户
addauth digest 用户名:密码明文
1 | addauth digest user1:password1 |
2)设置权限
setAcl /path auth:用户名:密码明文:权限
setAcl /path digest:用户名:密码密文:权限
1 | setAcl /test auth:user1:password1:cdrwa |
3)查看Acl设置
1 | getAcl /path |