在CentOS上配置Zookeeper的安全设置主要包括以下几个方面:启用SSL/TLS加密通信、配置认证和授权。以下是一个详细的步骤指南:
首先,你需要生成SSL/TLS证书和密钥。可以使用OpenSSL来生成自签名证书。
# 创建一个目录来存放证书和密钥 mkdir -p /etc/zookeeper/ssl # 生成私钥 openssl genrsa -out /etc/zookeeper/ssl/zookeeper.key 2048 # 生成证书签名请求(CSR) openssl req -new -key /etc/zookeeper/ssl/zookeeper.key -out /etc/zookeeper/ssl/zookeeper.csr -subj "/CN=localhost" # 生成自签名证书 openssl x509 -req -days 365 -in /etc/zookeeper/ssl/zookeeper.csr -signkey /etc/zookeeper/ssl/zookeeper.key -out /etc/zookeeper/ssl/zookeeper.crt 编辑Zookeeper的配置文件/etc/zookeeper/conf/zoo.cfg,添加以下配置:
# 启用SSL ssl=true # SSL相关配置 ssl.keystore.location=/etc/zookeeper/ssl/zookeeper.jks ssl.keystore.password=your_keystore_password ssl.truststore.location=/etc/zookeeper/ssl/zookeeper.jks ssl.truststore.password=your_truststore_password # 客户端认证模式 ssl.clientAuth=need # SSL协议版本 ssl.protocol=TLSv1.2 将生成的证书和密钥导入到Java KeyStore中。
# 创建KeyStore文件 keytool -importkeystore -srckeystore /etc/zookeeper/ssl/zookeeper.jks -destkeystore /etc/zookeeper/ssl/zookeeper.jks -srcstoretype JKS -deststoretype JKS # 导入证书到TrustStore keytool -import -alias zookeeper -file /etc/zookeeper/ssl/zookeeper.crt -keystore /etc/zookeeper/ssl/zookeeper.jks -storepass your_keystore_password 编辑Zookeeper的zoo.cfg文件,添加以下配置来启用认证和授权:
# 启用认证 authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider # SASL配置 jaasLoginRenew=3600000 创建JAAS配置文件/etc/zookeeper/conf/zookeeper_jaas.conf,内容如下:
Server { org.apache.zookeeper.server.auth.DigestLoginModule required user_super="super_password" user_admin="admin_password"; }; Client { org.apache.zookeeper.server.auth.DigestLoginModule required; }; 最后,重启Zookeeper服务以应用所有配置更改。
systemctl restart zookeeper 你可以使用zkCli.sh脚本来验证配置是否正确。首先,确保你已经设置了环境变量:
export ZOOCFGDIR=/etc/zookeeper/conf export ZOO_LOG_DIR=/var/log/zookeeper 然后,使用以下命令连接到Zookeeper并验证认证:
./zkCli.sh -server localhost:2181 -auth digest user_super:super_password 如果一切配置正确,你应该能够成功连接并执行一些操作。
通过以上步骤,你可以在CentOS上为Zookeeper配置SSL/TLS加密通信以及认证和授权设置。
