Zookeeper管理多个HBase集群

zookeeper是hbase集群的"协调器"。由于zookeeper的轻量级特性，因此我们可以将多个hbase集群共用一个zookeeper集群，以节约大量的服务器。多个hbase集群共用zookeeper集群的方法是使用同一组ip，修改不同hbase集群的"zookeeper.znode.parent"属性，让它们使用不同的根目录。比如cluster1使用/hbase-c1,cluster2使用/hbase-c2，等等。

 

    使用以上方法有一个现实的问题：如何避免各集群的相互干扰？因为client的配置权是在用户手上，并不能保证用户永远是配置正确的，那么会产生某个用户访问了不该他访问的hbase集群。此时数据安全性成了很大的问题，甚至可能出现误删除数据。我们需要在zookeeper层屏弊掉该问题。

 

    zookeeper3.x版本起自带了简单的ACL功能(注意3.3.x版本起不再支持按hostname来分配权限)。见：http://zookeeper.apache.org/doc/r3.3.2/zookeeperProgrammers.html#sc_ZooKeeperAccessControl。进行权限配置主要使用digest和ip两种方法。其中digest是用户密码方式，对用户来说使用上并不透明。ip配置最简单，对用户也是透明的，用户并不知道的情况下就能限制它的访问权限。

 

    zookeeper将访问权限分为了五类:READ/WRITE/DELETE/CREATE/ADMIN，其中admin为最高权限。zookeeper的权限是到znode级别的，限制了某一个node的权限并不能限制它的子节点权限。



    不过使用IP做权限配置方案有一个缺陷：必须指定具体的ip，而不能使用通配符或者范围一类的。这样对于大规模的权限设置是非常不方便的一件事，因此作者略调整了一下zookeeper的代码：

  IPAuthenticationProvider.java

1. /**
2. * Licensed to the Apache Software Foundation (ASF) under one
3. * or more contributor license agreements.  See the NOTICE file
4. * distributed with this work for additional information
5. * regarding copyright ownership.  The ASF licenses this file
6. * to you under the Apache License, Version 2.0 (the
7. * "License"); you may not use this file except in compliance
8. * with the License.  You may obtain a copy of the License at
9. *
10. *     http://www.apache.org/licenses/LICENSE-2.0
11. *
12. * Unless required by applicable law or agreed to in writing, software
13. * distributed under the License is distributed on an "AS IS" BASIS,
14. * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
15. * See the License for the specific language governing permissions and
16. * limitations under the License.
17. */
18. package org.apache.zookeeper.server.auth;
19. import org.apache.zookeeper.data.Id;
20. import org.apache.zookeeper.server.ServerCnxn;
21. import org.apache.zookeeper.KeeperException;
22. public class IPAuthenticationProvider implements AuthenticationProvider {
23. public String getScheme() {
24. return "ip";
25. }
26. public KeeperException.Code
27. handleAuthentication(ServerCnxn cnxn, byte[] authData)
28. {
29. String id = cnxn.getRemoteAddress().getAddress().getHostAddress();
30. cnxn.getAuthInfo().add(new Id(getScheme(), id));
31. return KeeperException.Code.OK;
32. }
33. // This is a bit weird but we need to return the address and the number of
34. // bytes (to distinguish between IPv4 and IPv6
35. private byte[] addr2Bytes(String addr) {
36. byte b[] = v4addr2Bytes1(addr);
37. // TODO Write the v6addr2Bytes
38. return b;
39. }
40. private byte v4addr2Bytes(String part) throws NumberFormatException{
41. try {
42. int v = Integer.parseInt(part);
43. if (v >= 0 && v <= 255) {
44. byte  b = (byte) v;
45. return b;
46. } else {
47. throw new NumberFormatException("v < 0 or v > 255!");
48. }
49. } catch (NumberFormatException e) {
50. throw e;
51. }
52. }
53. private byte[] v4addr2Bytes1(String addr) {
54. String parts[] = addr.split("\\.", -1);
55. if (parts.length != 4) {
56. return null;
57. }
58. byte b[] = new byte[4];
59. for (int i = 0; i < 4; i++) {
60. try {
61. if(parts[i].split("/").length == 2){
62. v4addr2Bytes(parts[i].split("/")[0]);
63. v4addr2Bytes(parts[i].split("/")[1]);
64. continue;
65. }else{
66. b[i] = v4addr2Bytes(parts[i]);
67. }
68. } catch (NumberFormatException e) {
69. return null;
70. }
71. }
72. return b;
73. }
74. public boolean matches(String id, String aclExpr) {
75. String parts[] = aclExpr.split("/", 2);
76. byte aclAddr[] = addr2Bytes(parts[0]);
77. if (aclAddr == null) {
78. return false;
79. }
80. byte endAclAddr[] = new byte[aclAddr.length];
81. for(int i = 0; i < aclAddr.length; i ++){
82. endAclAddr[i] = aclAddr[i];
83. }
84. if (parts.length == 2) {
85. try {
86. int end = Integer.parseInt(parts[1]);
87. int e = endAclAddr[endAclAddr.length-1]<=0?endAclAddr[endAclAddr.length-1]+256:endAclAddr[endAclAddr.length-1];
88. if(end <  e|| end < 0 || end > 255)
89. return false;
90. endAclAddr[endAclAddr.length-1] = (byte)end;
91. } catch (NumberFormatException e) {
92. return false;
93. }
94. }
95. byte remoteAddr[] = addr2Bytes(id);
96. if (remoteAddr == null) {
97. return false;
98. }
99. for (int i = 0; i < remoteAddr.length; i++) {
100. int r = remoteAddr[i]<=0?(int)remoteAddr[i]+256:remoteAddr[i];
101. int a = aclAddr[i]<=0?(int)aclAddr[i]+256:aclAddr[i];
102. int e = endAclAddr[i]<=0?(int)endAclAddr[i]+256:endAclAddr[i];
103. if (r < a || r > e) {
104. return false;
105. }
106. }
107. return true;
108. }
109. public boolean isAuthenticated() {
110. return false;
111. }
112. public boolean isValid(String id) {
113. return addr2Bytes(id) != null;
114. }
115. }

支持了使用/做为范围标识，比如进入hbase zkcli，执行：setAcl /test ip:192.168.0.3/10:cd，则将读写权限赋给了192.168.0.3-192.168.0.10这8台机器，其它机器将没有任何权限。

    这样用同一个zookeeper管理多个集群、海量机器将不再有困扰。

    最后写了一个帮助运维同学自动化管理zookeeper集群下多个hbase集群的ACL权限的工具，像以下这样：

1. java -Djava.ext.dirs=libs/ -cp hbase-tools.jar dwbasis.hbase.tools.client.ZookeeperAcl aclFile.json
2. Usage: ZookeeperAcl acljsonfile [-plan]
3. /test/t ==> 'ip,'192.168.0.1
4. :cdrwa
5. /test ==> 'ip,'192.168.0.1/3
6. :cdrwa
7. /test ==> 'ip,'192.168.0.5
8. :cdrwa
9. do you really setAcl as above?(y/n)

补充：多集群共用zk后，每个集群的启动和停止不应该影响zk的稳定。因此请配置hbase-env.sh中export HBASE_MANAGES_ZK=false