docker |
您所在的位置:网站首页 › rocketmq 集群密码 › docker |
|
一、前言
在上篇文章 docker-compose 搭建RocketMQ 5.1.0 集群(双主双从模式) | Spring Cloud 28 中对于RocketMQ 5.1.0 集群的搭建进行完整的介绍,本章结合上章内容对于开启权限控制(ACL)和使用中的注意事项进行介绍。 更多官方介绍:https://github.com/apache/rocketmq/tree/master/docs/cn 二、权限控制特性介绍权限控制(ACL)主要为RocketMQ提供Topic资源级别的用户访问控制。 用户在使用RocketMQ权限控制时,可以在Client客户端通过 RPCHook注入AccessKey和SecretKey签名;同时,将对应的权限控制属性(包括:Topic访问权限、IP白名单和AccessKey和SecretKey签名等)设置在distribution/conf/plain_acl.yml的配置文件中。 Broker端对AccessKey所拥有的权限进行校验,校验不过,抛出异常. ACL客户端可以参考:org.apache.rocketmq.example.simple包下面的AclClient代码。 三、权限控制的定义与属性值 3.1权限定义对RocketMQ的Topic资源访问权限控制定义主要如下表所示,分为以下四种: 权限含义DENY拒绝ANYPUB 或者 SUB 权限PUB发送权限SUB订阅权限 3.2 权限定义的关键属性 字段取值含义globalWhiteRemoteAddresses*;192.168.*.*;192.168.0.1全局IP白名单accessKey字符串Access KeysecretKey字符串Secret KeywhiteRemoteAddress*;192.168.*.*;192.168.0.1用户IP白名单admintrue;false是否管理员账户defaultTopicPermDENY;PUB;SUB;PUB|SUB默认的Topic权限defaultGroupPermDENY;PUB;SUB;PUB|SUB默认的ConsumerGroup权限topicPermstopic=权限各个Topic的权限groupPermsgroup=权限各个ConsumerGroup的权限 四、权限控制主要流程ACL主要流程分为两部分,主要包括:权限解析和权限校验。 4.1 权限解析Broker端对客户端的RequestCommand请求进行解析,拿到需要鉴权的属性字段。 主要包括: AccessKey:类似于用户名,代指用户主体,权限数据与之对应;Signature:客户根据 SecretKey 签名得到的串,服务端再用SecretKey进行签名验证; 4.2 权限校验Broker端对权限的校验逻辑主要分为以下几步: (1)检查是否命中全局 IP 白名单;如果是,则认为校验通过;否则走 2; (2)检查是否命中用户 IP 白名单;如果是,则认为校验通过;否则走 3; (3)校验签名,校验不通过,抛出异常;校验通过,则走 4; (4)对用户请求所需的权限 和 用户所拥有的权限进行校验;不通过,抛出异常; 用户所需权限的校验需要注意已下内容: (1)特殊的请求例如 UPDATE_AND_CREATE_TOPIC 等,只能由 admin 账户进行操作; (2)对于某个资源,如果有显性配置权限,则采用配置的权限;如果没有显性配置权限,则采用默认的权限; 五、热加载修改后权限控制定义RocketMQ的权限控制存储的默认实现是基于yml配置文件。用户可以动态修改权限控制定义的属性,而不需重新启动Broker服务节点。 六、权限控制的使用限制(1)如果ACL与高可用部署(Master/Slave架构)同时启用,那么需要在Broker Master节点的distribution/conf/plain_acl.yml配置文件中需设置全局白名单信息,即为将Slave节点的ip地址设置至Master节点plain_acl.yml配置文件的全局白名单中。 (2)如果ACL与高可用部署(多副本Dledger架构)同时启用,由于出现节点宕机时,Dledger Group组内会自动选主,那么就需要将Dledger Group组内所有Broker节点的plain_acl.yml配置文件的白名单设置所有Broker节点的ip地址。 七、开启集群权限控制根据上章上述的内容介绍,结合上篇文章 docker-compose 搭建RocketMQ 5.1.0 集群(双主双从模式) | Spring Cloud 28 对集群中所有的Broker端开启ACL特性: 7.1 192.168.0.31配置改造对192.168.0.31的文件: broker-a.properties broker-b-s.properties追加以下内容: # 权限控制 aclEnable=true开启ACL特性。 7.2 192.168.0.31配置改造对192.168.0.41的文件: broker-b.properties broker-a-s.properties追加以下内容: # 权限控制 aclEnable=true开启ACL特性。 7.3 编辑plain_acl.yml配置文件plain_acl.yml中定义权限属性: # 设置全局白名单信息 globalWhiteRemoteAddresses: - 192.168.0.* - 172.30.1.* accounts: - accessKey: RocketMQ secretKey: 12345678 whiteRemoteAddress: admin: false defaultTopicPerm: DENY defaultGroupPerm: SUB topicPerms: - topicA=DENY - topicB=PUB|SUB - topicC=SUB groupPerms: # the group should convert to retry topic - groupA=DENY - groupB=PUB|SUB - groupC=SUB - accessKey: RocketMQAdmin secretKey: 1qaz@WSX whiteRemoteAddress: # if it is admin, it could access all resources admin: true需要自行将此plain_acl.yml分发至192.168.0.31和 192.168.0.41集群中所有的Broker端。 针对RocketMQ 5.1.0版本的accessKey属性长度需大于6 因部署的rocketmq-dashboard与集群中所有的Broker端在同一网段内,故配置globalWhiteRemoteAddresses属性为IP段后无需对rocketmq-dashboard进行修改,否则需对rocketmq-dashboard添加accessKey和secretKey属性。对应修改方法可见配置文件:application.yml 或可通过以下设置容器环境变量方式实现: environment: JAVA_OPTS: -Drocketmq.namesrv.addr=rmqnamesrv:9876 -Dcom.rocketmq.sendMessageWithVIPChannel=false -Drocketmq.config.accessKey=RocketMQAdmin -Drocketmq.config.secretKey=1qaz@WSX更多关于rocketmq-dashboard的使用请见: https://github.com/apache/rocketmq-dashboard/blob/master/docs/1_0_0/UserGuide_CN.md 更多关于Spring Boot集成RocketMQ开启ACL的使用示例请见:https://github.com/apache/rocketmq-spring/tree/master/rocketmq-spring-boot-samples 更多官网ACL的Java客户端使用示例请见: https://github.com/apache/rocketmq/blob/release-5.1.0/example/src/main/java/org/apache/rocketmq/example/benchmark/AclClient.java 八、Java访问开启ACL集群未进行ACL配置的Java客户端访问已开启ACL集群的集群出现以下异常: Exception in thread "main" org.apache.rocketmq.client.exception.MQClientException: Send [3] times, still failed, cost [140]ms, Topic: TopicTest, BrokersSent: [broker-a, broker-a, broker-a] See http://rocketmq.apache.org/docs/faq/ for further details. at org.apache.rocketmq.client.impl.producer.DefaultMQProducerImpl.sendDefaultImpl(DefaultMQProducerImpl.java:688) at org.apache.rocketmq.client.impl.producer.DefaultMQProducerImpl.send(DefaultMQProducerImpl.java:1398) at org.apache.rocketmq.client.impl.producer.DefaultMQProducerImpl.send(DefaultMQProducerImpl.java:1342) at org.apache.rocketmq.client.producer.DefaultMQProducer.send(DefaultMQProducer.java:330) at com.gm.demo.rocketmq.test1.SyncProducer.main(SyncProducer.java:23) Caused by: org.apache.rocketmq.client.exception.MQBrokerException: CODE: 1 DESC: org.apache.rocketmq.acl.common.AclException: No accessKey is configured, org.apache.rocketmq.acl.plain.PlainPermissionManager.validate(PlainPermissionManager.java:614) BROKER: 192.168.0.31:10911 For more information, please visit the url, http://rocketmq.apache.org/docs/faq/ at org.apache.rocketmq.client.impl.MQClientAPIImpl.processSendResponse(MQClientAPIImpl.java:666) at org.apache.rocketmq.client.impl.MQClientAPIImpl.sendMessageSync(MQClientAPIImpl.java:505) at org.apache.rocketmq.client.impl.MQClientAPIImpl.sendMessage(MQClientAPIImpl.java:487) at org.apache.rocketmq.client.impl.MQClientAPIImpl.sendMessage(MQClientAPIImpl.java:431) at org.apache.rocketmq.client.impl.producer.DefaultMQProducerImpl.sendKernelImpl(DefaultMQProducerImpl.java:877) at org.apache.rocketmq.client.impl.producer.DefaultMQProducerImpl.sendDefaultImpl(DefaultMQProducerImpl.java:607) ... 4 more 九、ACL mqadmin配置管理此部分请见官网介绍:https://github.com/apache/rocketmq/blob/master/docs/cn/acl/user_guide.md |
今日新闻 |
推荐新闻 |
| CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |