Solr Zookeeper ACL权限配置

首先注意：在配置ACL的时候，请关闭solr运行实例！！否则可能对集群造成不可恢复的损坏

开始：

1.修改solr.xml,在solrCloud节点添加，告诉solr要使用的provider：

    <!--zkACL-->
    <str name="zkCredientialsProvider">org.apache.solr.common.cloud.VMParamsSingleSetCredentialsDigestZkCredentialsProvider</str>
    <str name="zkACLProvider">org.apache.solr.common.cloud.VMParamsAllAndReadonlyDigestZkACLProvider</str>

2.给zkcli.sh添加两个变量，并把变量加到PATH变量中，这样使用zkcli.sh访问zk的时候，就提供了provider和相关用户名密码

添加的内容：

#ZK_ACLS
SOLR_ZK_CREDS_AND_ACLS="-DzkDigestUsername=admin-user -DzkDigestPassword=admin-password -DzkDigestReadonlyUsername=readonly-user -DzkDigestReadonlyPassword=readonly-password"
SOLR_ZK_PROVIDERS="-DzkACLProvider=org.apache.solr.common.cloud.VMParamsAllAndReadonlyDigestZkACLProvider -DzkCredentialsProvider=org.apache.solr.common.cloud.VMParamsSingleSetCredentialsDigestZkCredentialsProvider"

修改的内容：

3.在bin/solr.in.sh底部添加如下用户名密码的配置，目的是为了让bin/solr 脚本能够有访问zk配置文件的权限(也就是说让solr的web界面里能够显示zk配置文件)

#ZK ACLS
SOLR_ZK_CREDS_AND_ACLS="-DzkDigestUsername=admin-user -DzkDigestPassword=admin-password -DzkDigestReadonlyUsername=readonly-user -DzkDigestReadonlyPassword=readonly-password"
SOLR_OPTS="$SOLR_OPTS $SOLR_ZK_CREDS_AND_ACLS"

好了，配置完成。

下面我们来测试一下，

假设我们原本的zk里面文件夹节点/collections,我们来给它添加权限，执行：

sh zkcli.sh -zkhost 10.172.85.105 -cmd updateacls /collections

执行完成后我们进入zk客户端命令行，执行：

ls /collections，结果如下：

证明我们成功给/collections这个节点添加了权限。

我们来查看一下/collections这个节点的权限设置：

如图中所示，代表有两个用户admin-user和readonly-user拥有这个节点的权限，admin-user的权限是cdrwa,readonly-user的权限是r。

我们授予权限admin-user,然后再查看，这时候就可以查看了：

接下来我们启动solr,在solr admin的管理页面里查看zk的配置文件：

如图，查看成功，这说明之前我们配置的solr.xml和solr.in.sh成功的在solr启动时给予solr集群访问zk的权限。

备注：

1.上述我们是手动给/collections添加了权限，对于solr自动创建的文件，如果是在我们配置ACL之前已经生成的文件，都需要我们手动添加权限，对于配置ACL之后生成的文件，全部会自动添加solr.in.sh中配置的权限。

2.zk的权限设置是非继承的，也就是说如果A文件夹节点里有子文件夹节点B,我们在zk的客户端命令行中给A设置权限，那么B不会受影响，任意用户都可以访问B。然而上述我们用zkcli.sh的updateacls命令给/collections目录节点设置权限时，实际上solr内部的org.apache.solr.cloud.ZkCLI 会递归地将collections下的全部文件夹节点/文件节点都设置上权限。