Apache zookeeper 动物园管理员安全问题_Apache Zookeeper

Apache zookeeper 动物园管理员安全问题

apache-zookeeper

Apache zookeeper 动物园管理员安全问题,apache-zookeeper,Apache Zookeeper,下面是一个众所周知的关于动物园管理员保护的问题。我可能知识有限，或者是动物园管理员，或者可能是xy问题的经典例子中的陷阱。所以我愿意接受各种建议，请不要提任何想法如果我想在3台具有静态IP的服务器上运行Zoookeeper仲裁。我已经完成了所有的配置和测试 My quorum are distributed over 3 server which static ip , lets say server.1=xx.xx.x1:2888:3888 server.2=xx.xx.x2:2889

下面是一个众所周知的关于动物园管理员保护的问题。我可能知识有限，或者是动物园管理员，或者可能是xy问题的经典例子中的陷阱。所以我愿意接受各种建议，请不要提任何想法

如果我想在3台具有静态IP的服务器上运行Zoookeeper仲裁。我已经完成了所有的配置和测试

My quorum are distributed over 3 server which static ip , lets say 


server.1=xx.xx.x1:2888:3888
server.2=xx.xx.x2:2889:3889
server.3=xx.xx.x3:2890:3890


My concern is how should I protect it to other unauthorized zkClient to connect above quorum.

我可以想到的一种方法是，不要为客户端打开端口，但应用程序将如何打开（我用这个来表示solr）solr connect

另一个问题是如何保障定额互连。我观察到一种奇怪的行为，我可以指出第四个动物园管理员，从我的本地人到上述法定人数（我必须只知道ip和端口，这并不难查找），它将被吸收为仲裁的一部分，然后我可以使用本地zkClient连接本地 zoookeeper并有权访问我们不想要的quorum。

我想以一种外国zookeeper服务器无法成为其一部分的方式定义仲裁

查看zookeeper程序员指南：

特别是关于ACL的部分：

Zookeeper具有以下内置方案：

世界只有一个id，即代表任何人的任何人。auth没有使用任何id，表示任何经过身份验证的用户。摘要使用用户名：用于生成MD5哈希的密码字符串，然后将其用作 ACL ID标识。通过发送用户名：明文密码。在ACL中使用时，表达式将是用户名：base64编码的SHA1密码摘要。ip使用客户端主机IP作为ACL ID标识。ACL表达式是表格addr/匹配addr最高有效位的位针对客户端主机IP的最高有效位

尚未使用，但以下是使用指南：

我明天就试试看

以下是馆长使用本手册的指南：