使用zookeeper管理多个hbase集群
来源:互联网 发布:tv365网络电视手机版 编辑:程序博客网 时间:2024/05/18 03:57
zookeeper是hbase集群的"协调器"。由于zookeeper的轻量级特性,因此我们可以将多个hbase集群共用一个zookeeper集群,以节约大量的服务器。多个hbase集群共用zookeeper集群的方法是使用同一组ip,修改不同hbase集群的"zookeeper.znode.parent"属性,让它们使用不同的根目录。比如cluster1使用/hbase-c1,cluster2使用/hbase-c2,等等。
使用以上方法有一个现实的问题:如何避免各集群的相互干扰?因为client的配置权是在用户手上,并不能保证用户永远是配置正确的,那么会产生某个用户访问了不该他访问的hbase集群。此时数据安全性成了很大的问题,甚至可能出现误删除数据。我们需要在zookeeper层屏弊掉该问题。
zookeeper3.x版本起自带了简单的ACL功能(注意3.3.x版本起不再支持按hostname来分配权限)。见:http://zookeeper.apache.org/doc/r3.3.2/zookeeperProgrammers.html#sc_ZooKeeperAccessControl。进行权限配置主要使用digest和ip两种方法。其中digest是用户密码方式,对用户来说使用上并不透明。ip配置最简单,对用户也是透明的,用户并不知道的情况下就能限制它的访问权限。
zookeeper将访问权限分为了五类:READ/WRITE/DELETE/CREATE/ADMIN,其中admin为最高权限。zookeeper的权限是到znode级别的,限制了某一个node的权限并不能限制它的子节点权限。
不过使用IP做权限配置方案有一个缺陷:必须指定具体的ip,而不能使用通配符或者范围一类的。这样对于大规模的权限设置是非常不方便的一件事,因此作者略调整了一下zookeeper的代码:
IPAuthenticationProvider.java
/** * Licensed to the Apache Software Foundation (ASF) under one * or more contributor license agreements. See the NOTICE file * distributed with this work for additional information * regarding copyright ownership. The ASF licenses this file * to you under the Apache License, Version 2.0 (the * "License"); you may not use this file except in compliance * with the License. You may obtain a copy of the License at * * http://www.apache.org/licenses/LICENSE-2.0 * * Unless required by applicable law or agreed to in writing, software * distributed under the License is distributed on an "AS IS" BASIS, * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. * See the License for the specific language governing permissions and * limitations under the License. */ package org.apache.zookeeper.server.auth; import org.apache.zookeeper.data.Id; import org.apache.zookeeper.server.ServerCnxn; import org.apache.zookeeper.KeeperException; public class IPAuthenticationProvider implements AuthenticationProvider { public String getScheme() { return "ip"; } public KeeperException.Code handleAuthentication(ServerCnxn cnxn, byte[] authData) { String id = cnxn.getRemoteAddress().getAddress().getHostAddress(); cnxn.getAuthInfo().add(new Id(getScheme(), id)); return KeeperException.Code.OK; } // This is a bit weird but we need to return the address and the number of // bytes (to distinguish between IPv4 and IPv6 private byte[] addr2Bytes(String addr) { byte b[] = v4addr2Bytes1(addr); // TODO Write the v6addr2Bytes return b; } private byte v4addr2Bytes(String part) throws NumberFormatException{ try { int v = Integer.parseInt(part); if (v >= 0 && v <= 255) { byte b = (byte) v; return b; } else { throw new NumberFormatException("v < 0 or v > 255!"); } } catch (NumberFormatException e) { throw e; } } private byte[] v4addr2Bytes1(String addr) { String parts[] = addr.split("\\.", -1); if (parts.length != 4) { return null; } byte b[] = new byte[4]; for (int i = 0; i < 4; i++) { try { if(parts[i].split("/").length == 2){ v4addr2Bytes(parts[i].split("/")[0]); v4addr2Bytes(parts[i].split("/")[1]); continue; }else{ b[i] = v4addr2Bytes(parts[i]); } } catch (NumberFormatException e) { return null; } } return b; } public boolean matches(String id, String aclExpr) { String parts[] = aclExpr.split("/", 2); byte aclAddr[] = addr2Bytes(parts[0]); if (aclAddr == null) { return false; } byte endAclAddr[] = new byte[aclAddr.length]; for(int i = 0; i < aclAddr.length; i ++){ endAclAddr[i] = aclAddr[i]; } if (parts.length == 2) { try { int end = Integer.parseInt(parts[1]); int e = endAclAddr[endAclAddr.length-1]<=0?endAclAddr[endAclAddr.length-1]+256:endAclAddr[endAclAddr.length-1]; if(end < e|| end < 0 || end > 255) return false; endAclAddr[endAclAddr.length-1] = (byte)end; } catch (NumberFormatException e) { return false; } } byte remoteAddr[] = addr2Bytes(id); if (remoteAddr == null) { return false; } for (int i = 0; i < remoteAddr.length; i++) { int r = remoteAddr[i]<=0?(int)remoteAddr[i]+256:remoteAddr[i]; int a = aclAddr[i]<=0?(int)aclAddr[i]+256:aclAddr[i]; int e = endAclAddr[i]<=0?(int)endAclAddr[i]+256:endAclAddr[i]; if (r < a || r > e) { return false; } } return true; } public boolean isAuthenticated() { return false; } public boolean isValid(String id) { return addr2Bytes(id) != null; } }
支持了使用/做为范围标识,比如进入hbase zkcli,执行:setAcl /test ip:192.168.0.3/10:cd,则将读写权限赋给了192.168.0.3-192.168.0.10这8台机器,其它机器将没有任何权限。
这样用同一个zookeeper管理多个集群、海量机器将不再有困扰。
最后写了一个帮助运维同学自动化管理zookeeper集群下多个hbase集群的ACL权限的工具,像以下这样:
java -Djava.ext.dirs=libs/ -cp hbase-tools.jar dwbasis.hbase.tools.client.ZookeeperAcl aclFile.json Usage: ZookeeperAcl acljsonfile [-plan] /test/t ==> 'ip,'192.168.0.1 :cdrwa /test ==> 'ip,'192.168.0.1/3 :cdrwa /test ==> 'ip,'192.168.0.5 :cdrwa do you really setAcl as above?(y/n)
补充:多集群共用zk后,每个集群的启动和停止不应该影响zk的稳定。因此请配置hbase-env.sh中export HBASE_MANAGES_ZK=false
源自:http://koven2049.iteye.com/blog/1150484
- 使用zookeeper管理多个hbase集群
- 使用zookeeper管理多个hbase集群
- 使用zookeeper管理多个hbase集群
- Zookeeper管理多个HBase集群
- hbase+zookeeper集群搭建
- hbase+zookeeper集群搭建
- ZooKeeper 、HBase集群搭建
- HBase集群+Zookeeper集群安装
- 关于能否使用2个zookeeper管理3节点storm集群的测试
- hadoop, hbase, zookeeper集群搭建
- Hadoop+ZooKeeper+HBase集群配置
- hadoop, hbase, zookeeper集群搭建
- Hadoop+Hbase+zooKeeper 集群验证
- Hadoop+Hbase+Zookeeper集群部署
- hadoop、zookeeper、hbase集群安装
- Zookeeper 集群管理应用
- 利用zookeeper管理集群
- zookeeper--分布式集群管理
- nyoj 32 组合数(dfs)
- java多线程:synchronized和lock比较浅析
- java无源码怎么办
- Storm配置项详解
- MDK调试watch、memory窗口不能显示问题
- 使用zookeeper管理多个hbase集群
- 【Linux基础】常用基本命令(上)
- 八皇后问题
- 蜗牛爬墙
- 猴子选大王
- java 判断两个时间相差的天数
- Java Thread State 分析
- 狼追兔子
- libevent介绍和安装