概述
ACL全称为Access Control List(访问控制列表),用于控制资源的访问权限。zk利用ACL策略控制节点的访问权限,如节点数据读写、节点创建、节点删除、读取子节点列表、设置节点权限等。
在传统的文件系统中,ACL分为两个维度,一个是属组,一个是权限,一个属组包含多个权限,一个文件或目录拥有某个组的权限即拥有了组里的所有权限,文件或子目录默认会继承自父目录的ACL。而在Zookeeper中,znode的ACL是没有继承关系的,每个znode的权限都是独立控制的,只有客户端满足znode设置的权限要求时,才能完成相应的操作。Zookeeper的ACL,分为三个维度:scheme、id、permission,通常表示为:scheme:id:permission,schema代表授权策略,id代表用户,permission代表权限。下面从这三个维度分别来介绍。
一、scheme
scheme即采取的授权策略,每种授权策略对应不同的权限校验方式。下面是zk常用的几种scheme:
1> digest
语法:digest:username:BASE64(SHA1(password)):cdrwa
digest:是授权方式
username:BASE64(SHA1(password)):是id部分
cdrwa:权限部份
用户名+密码授权访问方式,也是常用的一种授权策略。id部份是用户名和密码做sha1加密再做BASE64加密后的组合,比如设置一个节点的用户名为yangxin,密码为123456,则表示方式为:yangxin:BASE64(SHA1(123456))
⇒ yangxin:ACFm5rWnnKn9K9RN/Oc8qEYGYDs=
。密码加密需要用到zk的一个工具类来生成,如下所示:
- 1
- 2
- 3
本文的Zookeeper安装在:
/usr/local/zookeeper
下面是演示创建节点,并添加授权信息操作节点的示例:
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
2> ip
基于客户端IP地址校验,限制只允许指定的客户端能操作znode。
比如,设置某个节点只允许IP为192.168.1.100
的客户端能读写该写节点的数据:ip:192.168.1.100:rw
- 1
3> world
语法:world:anyone:cdrwa
创建节点默认的scheme,所有人都可以访问。如下所示:
- 1
- 2
- 3
- 4
- 5
上面主要介绍了平时常用的三种scheme,除此之外,还有host、super、auth授权策略。
二、id
id是验证模式,不同的scheme,id的值也不一样。scheme为digest时,id的值为:username:BASE64(SHA1(password))
,scheme为ip时,id的值为客户端的ip地址。scheme为world时,id的值为anyone
。
三、permission
在介绍scheme的时候,提到了acl的权限,如:digest:username:BASE64(SHA1(password)):cdrwa
中的cdrwa即是permission。
1> CREATE(r):创建子节点的权限
2> DELETE(d):删除节点的权限
3> READ(r):读取节点数据的权限
4> WRITE(w):修改节点数据的权限
5> ADMIN(a):设置子节点权限的权限
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
注意:cd权限用于控制子节点,rwa权限用于控制节点本身
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
文章由极客之音整理,本文链接:https://www.bmabk.com/index.php/post/14364.html