标签：权限 Zookeeper 模式 zkCli 基础教程 mynode znode 节点

　　上一篇介绍Zookeeper的安装，并介绍了使用ZooInspector连接Zookeeper，这里主要介绍以命令行的形式介绍Zookeeper

　　假如我们已经安装了Zookeeper集群，集群中的安装目录都是/opt/zookeeper-3.4.14，集群地址：　　

　　# 192.168.209.133 test1
　　# 192.168.209.134 test2
　　# 192.168.209.135 test3 

　　端口都是默认的，客户端连接使用2182端口，节点间通信端口是2888，选举端口是3888

　　zkCli

　　介绍Zookeeper安装的时候，使用zkServer去启动Zookeeper，而启动了，我们是采用zkCli去连接Zookeeper，我们进入Zookeeper安装的根目录，我这里是/opt/zookeeper-3.4.14，输入：　　

   # zkCli.sh -server host:port # 指定连接节点，默认host=localhost，port=2181，如：zkCli.sh -server test2:2181，表示连接test2节点 
　　./bin/zkCli.sh　　

 　　可以看到已连接Zookeeper，默认连接本地的（localhost:2181）

　　

 　　直接输入help命令

　　

　　使用zkCli连接上Zookeeper后，就可以在zk的命令行进行操作了。整理一下，可分成4个部分来说明。

　　znode节点操作

 　　znode是Zookeeper的数据节点，znode之间是类似于目录树的结构关系，对Zookeeper的操作一般都是对znode的操作，而对znode节点操作就是一般的crud操作　　

    # znode节点操作部分
　　create [-s] [-e] path data acl　　# 创建一个znode节点，同时设置节点权限acl，-s表示创建有序节点，-e创建临时节点，如创建一个/mynode节点：create /mynode hello，另外znode需要按照层级去创建，如创建/node1/node2，需要县创建/node1再创建/node1/node2
　　stat path [watch]　　# 查看znode状态，如数据长度，时间戳等等，同时可以注册一个监听器
　　get path [watch]　　# 获取znode节点的数据，同时可以注册一个监听器，如：get /mynode
　　set path data [version]　　# 设置znode的数据，同时可以设置一个监听器，如：set /mynode "hello world"
　　ls path [watch]　　#列出znode的子节点，同时可以设置一个监听器，如：ls /
　　ls2 path [watch]　　#列出znode的子节点，同时可以设置一个监听器，如：ls2 /，与ls的区别是ls2还可以获取到子节点个数等等状态信息
　　delete path [version]　　#删除znode节点，注意路径为绝对路径，且不可删除拥有子节点的znode
　　rmr path　　#递归删除znode节点，与delete的区别是可以删除拥有子节点的znode

　　quota配额操作

　　quota配额机制就是对znode做一些限制，支持节点个数和空间大小（字节数）两种方式，不过貌似quota配额并不会阻止操作的进行，而只是抛出警告　　

    # quota配额
　　setquota -n|-b val path　　#增加配额，-n是设置子节点的配额数量，-b是设置节点内容的长度
　　listquota path    #列出节点配额信息
　　delquota [-n|-b] path    #删除节点配额

　　ACL权限控制

　　当使用zkCli连接Zookeeper时，就是和Zookeeper集群开启了一次会话，而acl操作就是对会话权限进行控制的操作　　

    #ACL权限控制
    setAcl path acl　　#给已有节点赋予权限，其中acl是权限
　　 getAcl path　　#查看节点的权限
　　 # 在上面的创建节点操作中，我们也可以给节点赋予权限，如：

　　Zookeeper的acl权限由[scheme : id :permissions]三部分组成，其中scheme是认证类型，id一般指的是账号，也就是权限所针对的对象，permissions表示对节点的空权限类型，而scheme和permissions有以下可选项：　　

    Permissions可选项，在使用时，可以使用首字母进行简写（crwda）：
    CREATE：允许创建子节点；
    READ：允许从节点获取数据并列出其子节点；
    WRITE：允许为节点设置数据；
    DELETE：允许删除子节点；
    ADMIN：允许为节点设置权限。
　　 
　　 Scheme可选项：
　　 world：默认模式，所有客户端都拥有指定的权限。world下只有一个id选项，就是anyone，通常组合写法为world:anyone:[permissons]；比如：setAcl /mynode world:anyone:crwda
　　 auth：只有经过认证的用户才拥有指定的权限。通常组合写法为auth:user:password:[permissons]，使用这种模式时，你需要先进行登录，之后采用auth模式设置权限时，user和password都将使用登录的用户名和密码；比如：setAcl /mynode auth:feng:123456:crwda
　　 digest：只有经过认证的用户才拥有指定的权限。通常组合写法为digest:user:BASE64(SHA1(password)):[permissons]，这种形式下的密码必须通过SHA1和BASE64进行双重加密；比如：setAcl /mynode digest:feng:xHBaNtDKjaz0G0F0dq11735c9r8=:crwda
　　 ip：限制只有特定IP的客户端才拥有指定的权限。通常组成写法为ip:182.168.0.168:[permissions]；比如：setAcl /mynode ip:192.168.28.213:crwda
　　 super：代表超级管理员，拥有所有的权限，需要修改Zookeeper启动脚本进行配置。

　　 # auth模式和digest模式其实是一样的，区别可以理解为，auth模式使用的是明文密码，而digest使用的是密文密码（SHA1和BASE64）,比如下面两种方式是等价的
　　 setAcl /mynode auth:feng:123456:crwda
　　 setAcl /mynode digest:feng:xHBaNtDKjaz0G0F0dq11735c9r8=:crwda
　　 #这里说的等级是在使用setAcl命令为znode添加权限控制时，并非在使用addauth添加认证时

　　一般的，权限是给znode节点设置的，当使用zkCli连接到Zookeeper开启一个会话时，默认情况下是world认证模式，该模式下只能操作那些world认证模式权限的znode节点，要访问某个特定模式下的节点，就需要满足节点上设置的认证模式。

　　super模式用的少，一般可以忽略，ip模式即指定客户端，比如：　　

    setAcl /mynode ip:192.168.209.134:crwda

　　这个表示当我们从192.168.209.134访问时才能访问到/mynode节点，否则会提示Authentication is not valid

　　

 

 　　然后我们到192.168.209.134上使用zkCli连接Zookeeper，发现成功访问到/mynode节点

　　

　　对于auth模式和digest模式，就需要修改当前会话的认证模式，修改认证模式使用addauth命令：　　

    addauth scheme auth        #scheme是认证模式（貌似只能是digest），auth是认证信息，格式：user:password

　　 例如：
    addauth digest feng:123456　　#添加auth模式，后面携带的参数是user:password模式
　　 #如果要退出认证，只需要使用close关闭连接，再使用connect重新连接就好了　　

　　简单解释一下acl权限的auth模式（digest模式）设置过程，假如我们开启一个新的会话，我们有一个/mynode节点：

　　

 　　可以看到，/mynode节点默认模式是world:anyone:cdrwa，然后我们修改它的权限：

　　

 　　从上面可以看到，只有feng:123456这个用户可以读（r），还可以管理权限（a），其他认证都不能操作数据节点，

　　注意，当我们需要修改znode节点的acl时，需要确认我们当前会话已使用addauth命令添加了认证信息，否则会提示设置acl权限失败（所以上图第一行命令addauth就是添加认证信息）

　　

　　接着，我们使用close命令关闭连接，使用connect命令重新连接，这时会话就变成了无认证状态，使用get获取/mynode节点数据时就会提示认证错误：

　　

 

 

 　　接着我们添加认证信息，然后再使用get命令就可能获取到数据了

　　

 

 

 　　总结：acl权限控制可以理解为，在创建znode节点时或者使用setAcl命令为已存在的znode添加Scheme模式（world，auth，digest，ip，super）和权限（crdwa），Scheme模式作为匹配条件，当客户端连接Zookeeper的会话满足Scheme模式的条件，就会具有此znode节点上设置的权限

　　

标签：权限,Zookeeper,模式,zkCli,基础教程,mynode,znode,节点
来源： https://www.cnblogs.com/shanfeng1000/p/12700144.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。