zookeeper是hbase集群的"协调器"。由于zookeeper的轻量级特性,因此我们可以将多个hbase集群共用一个zookeeper集群,以节约大量的服务器。多个hbase集群共用zookeeper集群的方法是使用同一组ip,修改不同hbase集群的"zookeeper.znode.parent"属性,让它们使用不同的根目录。比如cluster1使用/hbase-c1,cluster2使用/hbase-c2,等等。

 

    使用以上方法有一个现实的问题:如何避免各集群的相互干扰?因为client的配置权是在用户手上,并不能保证用户永远是配置正确的,那么会产生某个用户访问了不该他访问的hbase集群。此时数据安全性成了很大的问题,甚至可能出现误删除数据。我们需要在zookeeper层屏弊掉该问题。

 

    zookeeper3.x版本起自带了简单的ACL功能(注意3.3.x版本起不再支持按hostname来分配权限)。见:http://zookeeper.apache.org/doc/r3.3.2/zookeeperProgrammers.html#sc_ZooKeeperAccessControl。进行权限配置主要使用digest和ip两种方法。其中digest是用户密码方式,对用户来说使用上并不透明。ip配置最简单,对用户也是透明的,用户并不知道的情况下就能限制它的访问权限。

 

    zookeeper将访问权限分为了五类:READ/WRITE/DELETE/CREATE/ADMIN,其中admin为最高权限。zookeeper的权限是到znode级别的,限制了某一个node的权限并不能限制它的子节点权限。



    不过使用IP做权限配置方案有一个缺陷:必须指定具体的ip,而不能使用通配符或者范围一类的。这样对于大规模的权限设置是非常不方便的一件事,因此作者略调整了一下zookeeper的代码:

  IPAuthenticationProvider.java

  1. /**
  2. * Licensed to the Apache Software Foundation (ASF) under one
  3. * or more contributor license agreements.  See the NOTICE file
  4. * distributed with this work for additional information
  5. * regarding copyright ownership.  The ASF licenses this file
  6. * to you under the Apache License, Version 2.0 (the
  7. * "License"); you may not use this file except in compliance
  8. * with the License.  You may obtain a copy of the License at
  9. *
  10. *     http://www.apache.org/licenses/LICENSE-2.0
  11. *
  12. * Unless required by applicable law or agreed to in writing, software
  13. * distributed under the License is distributed on an "AS IS" BASIS,
  14. * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
  15. * See the License for the specific language governing permissions and
  16. * limitations under the License.
  17. */
  18. package org.apache.zookeeper.server.auth;
  19. import org.apache.zookeeper.data.Id;
  20. import org.apache.zookeeper.server.ServerCnxn;
  21. import org.apache.zookeeper.KeeperException;
  22. public class IPAuthenticationProvider implements AuthenticationProvider {
  23. public String getScheme() {
  24. return "ip";
  25. }
  26. public KeeperException.Code
  27. handleAuthentication(ServerCnxn cnxn, byte[] authData)
  28. {
  29. String id = cnxn.getRemoteAddress().getAddress().getHostAddress();
  30. cnxn.getAuthInfo().add(new Id(getScheme(), id));
  31. return KeeperException.Code.OK;
  32. }
  33. // This is a bit weird but we need to return the address and the number of
  34. // bytes (to distinguish between IPv4 and IPv6
  35. private byte[] addr2Bytes(String addr) {
  36. byte b[] = v4addr2Bytes1(addr);
  37. // TODO Write the v6addr2Bytes
  38. return b;
  39. }
  40. private byte v4addr2Bytes(String part) throws NumberFormatException{
  41. try {
  42. int v = Integer.parseInt(part);
  43. if (v >= 0 && v <= 255) {
  44. byte  b = (byte) v;
  45. return b;
  46. } else {
  47. throw new NumberFormatException("v < 0 or v > 255!");
  48. }
  49. } catch (NumberFormatException e) {
  50. throw e;
  51. }
  52. }
  53. private byte[] v4addr2Bytes1(String addr) {
  54. String parts[] = addr.split("\\.", -1);
  55. if (parts.length != 4) {
  56. return null;
  57. }
  58. byte b[] = new byte[4];
  59. for (int i = 0; i < 4; i++) {
  60. try {
  61. if(parts[i].split("/").length == 2){
  62. v4addr2Bytes(parts[i].split("/")[0]);
  63. v4addr2Bytes(parts[i].split("/")[1]);
  64. continue;
  65. }else{
  66. b[i] = v4addr2Bytes(parts[i]);
  67. }
  68. } catch (NumberFormatException e) {
  69. return null;
  70. }
  71. }
  72. return b;
  73. }
  74. public boolean matches(String id, String aclExpr) {
  75. String parts[] = aclExpr.split("/", 2);
  76. byte aclAddr[] = addr2Bytes(parts[0]);
  77. if (aclAddr == null) {
  78. return false;
  79. }
  80. byte endAclAddr[] = new byte[aclAddr.length];
  81. for(int i = 0; i < aclAddr.length; i ++){
  82. endAclAddr[i] = aclAddr[i];
  83. }
  84. if (parts.length == 2) {
  85. try {
  86. int end = Integer.parseInt(parts[1]);
  87. int e = endAclAddr[endAclAddr.length-1]<=0?endAclAddr[endAclAddr.length-1]+256:endAclAddr[endAclAddr.length-1];
  88. if(end <  e|| end < 0 || end > 255)
  89. return false;
  90. endAclAddr[endAclAddr.length-1] = (byte)end;
  91. } catch (NumberFormatException e) {
  92. return false;
  93. }
  94. }
  95. byte remoteAddr[] = addr2Bytes(id);
  96. if (remoteAddr == null) {
  97. return false;
  98. }
  99. for (int i = 0; i < remoteAddr.length; i++) {
  100. int r = remoteAddr[i]<=0?(int)remoteAddr[i]+256:remoteAddr[i];
  101. int a = aclAddr[i]<=0?(int)aclAddr[i]+256:aclAddr[i];
  102. int e = endAclAddr[i]<=0?(int)endAclAddr[i]+256:endAclAddr[i];
  103. if (r < a || r > e) {
  104. return false;
  105. }
  106. }
  107. return true;
  108. }
  109. public boolean isAuthenticated() {
  110. return false;
  111. }
  112. public boolean isValid(String id) {
  113. return addr2Bytes(id) != null;
  114. }
  115. }

支持了使用/做为范围标识,比如进入hbase zkcli,执行:setAcl /test ip:192.168.0.3/10:cd,则将读写权限赋给了192.168.0.3-192.168.0.10这8台机器,其它机器将没有任何权限。

    这样用同一个zookeeper管理多个集群、海量机器将不再有困扰。

    最后写了一个帮助运维同学自动化管理zookeeper集群下多个hbase集群的ACL权限的工具,像以下这样:

  1. java -Djava.ext.dirs=libs/ -cp hbase-tools.jar dwbasis.hbase.tools.client.ZookeeperAcl aclFile.json
  2. Usage: ZookeeperAcl acljsonfile [-plan]
  3. /test/t ==> 'ip,'192.168.0.1
  4. :cdrwa
  5. /test ==> 'ip,'192.168.0.1/3
  6. :cdrwa
  7. /test ==> 'ip,'192.168.0.5
  8. :cdrwa
  9. do you really setAcl as above?(y/n)

补充:多集群共用zk后,每个集群的启动和停止不应该影响zk的稳定。因此请配置hbase-env.sh中export HBASE_MANAGES_ZK=false

Zookeeper管理多个HBase集群的更多相关文章

  1. 在python中使用zookeeper管理你的应用集群

    http://www.zlovezl.cn/articles/40/ 简介: Zookeeper 分布式服务框架是 Apache Hadoop 的一个子项目,它主要是用来解决分布式应用中经常遇到的一些 ...

  2. Kubernetes+Flannel 环境中部署HBase集群

    2015-12-14注:加入新节点不更改运行节点参数需求已满足,将在后续文章中陆续总结. 注:目前方案不满足加入新节点(master节点或regionserver节点)而不更改已运行节点的参数的需求, ...

  3. Zookeeper集群和HBase集群

    1.部署Zookeeper集群(hadoop0\hadoop1\hadoop2) 1.1.在hadoop0上解压缩Zookeeper-3.4.5.tar.gz 1.2.执行命令 cp conf/zoo ...

  4. 基于zookeeper+mesos+marathon的docker集群管理平台

    参考文档: mesos:http://mesos.apache.org/ mesosphere社区版:https://github.com/mesosphere/open-docs mesospher ...

  5. 五、Zookeeper、Hbase集群搭建

    一.前提 1.安装JDK 2.安装Hadoop 3.安装zoookeeper 1.加入zookeeper包,并解压tar -zxvf zookeeper-3.4.9.tar.gz 2.去/etc/pr ...

  6. ZooKeeper之(五)集群管理

    在一台机器上运营一个ZooKeeper实例,称之为单机(Standalone)模式.单机模式有个致命的缺陷,一旦唯一的实例挂了,依赖ZooKeeper的应用全得完蛋. 实际应用当中,一般都是采用集群模 ...

  7. hbase集群的启动,注意几个问题

    1.hbase的改的会影响器他的组件的使用, 故而, 在修改 hadoop的任何组件后, 一定要记得其它的组件也能受到影响, 一下是我在将hadoop的集群改了之后 , 再次运行hbase的时候, 就 ...

  8. hbase单机环境的搭建和完全分布式Hbase集群安装配置

    HBase 是一个开源的非关系(NoSQL)的可伸缩性分布式数据库.它是面向列的,并适合于存储超大型松散数据.HBase适合于实时,随机对Big数据进行读写操作的业务环境. @hbase单机环境的搭建 ...

  9. HBase集群安装部署

    0x01 软件环境 OS: CentOS6.5 x64 java: jdk1.8.0_111 hadoop: hadoop-2.5.2 hbase: hbase-0.98.24 0x02 集群概况 I ...

随机推荐

  1. Dynamics CRM2016 业务流程之Task Flow(二)

    接上篇,Page页设置完后,按照业务流程管理也可以继续设置Insert page after branch 或者 Add branch,我这里选择后者,并设置了条件,如果Pipeline Phase ...

  2. Dynamics CRM2015 on-premises直接升级Dynamics CRM2016 on-premises

    Dynamics crm2016 on-premises版本已与12月14日开放下载,下载地址:https://www.microsoft.com/zh-cn/download/details.asp ...

  3. spring源码系列(一)sring源码编译 spring源码下载 spring源码阅读

    想对spring框架进行深入的学习一下,看看源代码,提升和沉淀下自己,工欲善其事必先利其器,还是先搭建环境吧. 环境搭建 sping源码之前是svn管理,现在已经迁移到了github中了,新版本基于g ...

  4. Android下拉列表控件spinner-andoid学习之旅(十一)

    废话不多说,下拉列表常用的就是spinner控件. 直接上代码: package peng.liu.testview; import android.app.Activity; import andr ...

  5. android之.9.png详解

    .9.PNG是安卓开发里面的一种特殊的图片,这种格式的图片通过ADT自带的编辑工具生成,使用九宫格切分的方法,使图片支持在android 环境下的自适应展示. PNG,是一种非失真性压缩位图图形文件格 ...

  6. iOS中 语音识别功能/语音转文字教程详解 韩俊强的博客

    每日更新关注:http://weibo.com/hanjunqiang  新浪微博 原文地址:http://blog.csdn.net/qq_31810357/article/details/5111 ...

  7. 【Unity技巧】调整画质(贴图)质量

    写在前面 当我们在Unity中,使用图片进行2D显示时,会发现显示出来的画面有明显的模糊或者锯齿,但是美术给的原图却十分清晰. 要改善这一状况实际上很简单. 造成这样的原因,是Unity在导入图片(或 ...

  8. 调试bootmgr&winload vista&win7 x86&x64

    设置调试bootmgr 1.以管理员权限运行cmd.exe 2.执行以下命令 3.  参照我的另一篇文章<win8 + vmware + windbg 双机调试 >中的第1.3步,建立wi ...

  9. STL:vector容器用法详解

    vector类称作向量类,它实现了动态数组,用于元素数量变化的对象数组.像数组一样,vector类也用从0开始的下标表示元素的位置:但和数组不同的是,当vector对象创建后,数组的元素个数会随着ve ...

  10. DB 查询分析器 方便地创建DB2自定义函数

    DB 查询分析器 方便地创建DB2自定义函数                           马根峰            (广东联合电子服务股份有限公司, 广州 510300) 摘要       ...