09-Zookeeper权限控制

zookeeper 的 ACL（Access Control List，访问控制表）权限在生产环境是特别重要的，所以本章节特别介绍一下。

ACL 权限可以针对节点设置相关读写等权限，保障数据安全性。

permissions 可以指定不同的权限范围及角色。

# ACL 命令行

*   **getAcl 命令**：获取某个节点的 acl 权限信息。
*   **setAcl 命令**：设置某个节点的 acl 权限信息。
*   **addauth 命令**：输入认证授权信息，注册时输入明文密码，加密形式保存。

# ACL 构成

zookeeper 的 acl 通过 **[scheme:id:permissions]** 来构成权限列表。

*   1、**scheme**：代表采用的某种权限机制，包括 world、auth、digest、ip、super 几种。
*   2、**id**：代表允许访问的用户。
*   3、**permissions**：权限组合字符串，由 cdrwa 组成，其中每个字母代表支持不同权限， 创建权限 create(c)、删除权限 delete(d)、读权限 read(r)、写权限 write(w)、管理权限 admin(a)。

# world 实例

查看默认节点权限，再更新节点 permissions 权限部分为 crwa，结果删除节点失败。其中 world 代表开放式权限。

```bash
[zk: localhost:2181(CONNECTED) 18] create /nbu
[zk: localhost:2181(CONNECTED) 19] create /nbu/child
[zk: localhost:2181(CONNECTED) 20] getAcl /nbu/child
[zk: localhost:2181(CONNECTED) 21] setAcl /nbu/child world:anyone:crwa
[zk: localhost:2181(CONNECTED) 22] getAcl /nbu/child
```

![](https://hexo-img.obs.cn-east-3.myhuaweicloud.com/img/202210192027047.png)

# auth 实例

auth 用于授予权限，注意需要先创建用户。

```bash
$ setAcl /nbu/child auth:user1:123456:cdrwa
$ addauth digest user1:123456
$ setAcl /nbu/child auth:user1:123456:cdrwa
$ getAcl /nbu/child
```

![](https://hexo-img.obs.cn-east-3.myhuaweicloud.com/img/202210171102047.png)

# digest 实例

退出当前用户，重新连接终端，digest 可用于账号密码登录和验证。。

```bash
[zk: localhost:2181(CONNECTED) 0] ls /nbu
[zk: localhost:2181(CONNECTED) 1] create /nbu/child01 nbu
[zk: localhost:2181(CONNECTED) 2] getAcl /nbu/child01
[zk: localhost:2181(CONNECTED) 3] setAcl /nbu/child01 digest:user1:HYGxY2pPP/s=:cdra
[zk: localhost:2181(CONNECTED) 4] getAcl /nbu/child01
[zk: localhost:2181(CONNECTED) 5] addauth digest user1:123456
[zk: localhost:2181(CONNECTED) 6] getAcl /nbu/child01
```

**提示：**加密密码是上一步创建的。

![](https://hexo-img.obs.cn-east-3.myhuaweicloud.com/img/202210192152572.png)
# IP 实例

限制 IP 地址的访问权限，把权限设置给 IP 地址为 192.168.0.48 后，IP 为 192.168.0.49 已经没有访问权限。
> 本教程主机ip是 192.168.0.48，实验时需要根据自己的ip进行测试

```bash
[zk: localhost:2181(CONNECTED) 0] create /nbu/ip 0
[zk: localhost:2181(CONNECTED) 1] getAcl /nbu/ip
[zk: localhost:2181(CONNECTED) 2] setAcl /nbu/ip ip:192.168.0.49:cdrwa
[zk: localhost:2181(CONNECTED) 3] get /nbu/ip
```

![](https://hexo-img.obs.cn-east-3.myhuaweicloud.com/img/202210192156671.png)

大数据学习

导航

最近发表

友情链接