使用zookeeper管理多个hbase集群
- d0ngd0ng - 蓝色时分 zookeeper是hbase集群的"协调器". 由于zookeeper的轻量级特性,因此我们可以将多个hbase集群共用一个zookeeper集群,以节约大量的服务器. 多个hbase集群共用zookeeper集群的方法是使用同一组ip,修改不同hbase集群的"zookeeper.znode.parent"属性,让它们使用不同的根目录.
使用zookeeper管理多个hbase集群
标签:
zookeeper
管理
hbase
| 发表时间:2011-08-16 15:30 | 作者:(author unknown) d0ngd0ng
出处:http://koven2049.iteye.com
zookeeper是hbase集群的"协调器"。由于zookeeper的轻量级特性,因此我们可以将多个hbase集群共用一个zookeeper集群,以节约大量的服务器。多个hbase集群共用zookeeper集群的方法是使用同一组ip,修改不同hbase集群的"zookeeper.znode.parent"属性,让它们使用不同的根目录。比如cluster1使用/hbase-c1,cluster2使用/hbase-c2,等等。
使用以上方法有一个现实的问题:如何避免各集群的相互干扰?因为client的配置权是在用户手上,并不能保证用户永远是配置正确的,那么会产生某个用户访问了不该他访问的hbase集群。此时数据安全性成了很大的问题,甚至可能出现误删除数据。我们需要在zookeeper层屏弊掉该问题。
zookeeper3.x版本起自带了简单的ACL功能(注意3.3.x版本起不再支持按hostname来分配权限)。见:http://zookeeper.apache.org/doc/r3.3.2/zookeeperProgrammers.html#sc_ZooKeeperAccessControl。进行权限配置主要使用digest和ip两种方法。其中digest是用户密码方式,对用户来说使用上并不透明。ip配置最简单,对用户也是透明的,用户并不知道的情况下就能限制它的访问权限。
zookeeper将访问权限分为了五类:READ/WRITE/DELETE/CREATE/ADMIN,其中admin为最高权限。zookeeper的权限是到znode级别的,限制了某一个node的权限并不能限制它的子节点权限。
不过使用IP做权限配置方案有一个缺陷:必须指定具体的ip,而不能使用通配符或者范围一类的。这样对于大规模的权限设置是非常不方便的一件事,因此作者略调整了一下zookeeper的代码:
IPAuthenticationProvider.java
支持了使用/做为范围标识,比如进入hbase zkcli,执行:setAcl /test ip:192.168.0.3/10:cd,则将读写权限赋给了192.168.0.3-192.168.0.10这8台机器,其它机器将没有任何权限。
这样用同一个zookeeper管理多个集群、海量机器将不再有困扰。
最后写了一个帮助运维同学自动化管理zookeeper集群下多个hbase集群的ACL权限的工具,像以下这样:
补充:多集群共用zk后,每个集群的启动和停止不应该影响zk的稳定。因此请配置hbase-env.sh中export HBASE_MANAGES_ZK=false
已有 4 人发表留言,猛击->>这里<<-参与讨论
ITeye推荐
使用以上方法有一个现实的问题:如何避免各集群的相互干扰?因为client的配置权是在用户手上,并不能保证用户永远是配置正确的,那么会产生某个用户访问了不该他访问的hbase集群。此时数据安全性成了很大的问题,甚至可能出现误删除数据。我们需要在zookeeper层屏弊掉该问题。
zookeeper3.x版本起自带了简单的ACL功能(注意3.3.x版本起不再支持按hostname来分配权限)。见:http://zookeeper.apache.org/doc/r3.3.2/zookeeperProgrammers.html#sc_ZooKeeperAccessControl。进行权限配置主要使用digest和ip两种方法。其中digest是用户密码方式,对用户来说使用上并不透明。ip配置最简单,对用户也是透明的,用户并不知道的情况下就能限制它的访问权限。
zookeeper将访问权限分为了五类:READ/WRITE/DELETE/CREATE/ADMIN,其中admin为最高权限。zookeeper的权限是到znode级别的,限制了某一个node的权限并不能限制它的子节点权限。
不过使用IP做权限配置方案有一个缺陷:必须指定具体的ip,而不能使用通配符或者范围一类的。这样对于大规模的权限设置是非常不方便的一件事,因此作者略调整了一下zookeeper的代码:
IPAuthenticationProvider.java
/**
* Licensed to the Apache Software Foundation (ASF) under one
* or more contributor license agreements. See the NOTICE file
* distributed with this work for additional information
* regarding copyright ownership. The ASF licenses this file
* to you under the Apache License, Version 2.0 (the
* "License"); you may not use this file except in compliance
* with the License. You may obtain a copy of the License at
*
* http://www.apache.org/licenses/LICENSE-2.0
*
* Unless required by applicable law or agreed to in writing, software
* distributed under the License is distributed on an "AS IS" BASIS,
* WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
* See the License for the specific language governing permissions and
* limitations under the License.
*/
package org.apache.zookeeper.server.auth;
import org.apache.zookeeper.data.Id;
import org.apache.zookeeper.server.ServerCnxn;
import org.apache.zookeeper.KeeperException;
public class IPAuthenticationProvider implements AuthenticationProvider {
public String getScheme() {
return "ip";
}
public KeeperException.Code
handleAuthentication(ServerCnxn cnxn, byte[] authData)
{
String id = cnxn.getRemoteAddress().getAddress().getHostAddress();
cnxn.getAuthInfo().add(new Id(getScheme(), id));
return KeeperException.Code.OK;
}
// This is a bit weird but we need to return the address and the number of
// bytes (to distinguish between IPv4 and IPv6
private byte[] addr2Bytes(String addr) {
byte b[] = v4addr2Bytes1(addr);
// TODO Write the v6addr2Bytes
return b;
}
private byte v4addr2Bytes(String part) throws NumberFormatException{
try {
int v = Integer.parseInt(part);
if (v >= 0 && v <= 255) {
byte b = (byte) v;
return b;
} else {
throw new NumberFormatException("v < 0 or v > 255!");
}
} catch (NumberFormatException e) {
throw e;
}
}
private byte[] v4addr2Bytes1(String addr) {
String parts[] = addr.split("\\.", -1);
if (parts.length != 4) {
return null;
}
byte b[] = new byte[4];
for (int i = 0; i < 4; i++) {
try {
if(parts[i].split("/").length == 2){
v4addr2Bytes(parts[i].split("/")[0]);
v4addr2Bytes(parts[i].split("/")[1]);
continue;
}else{
b[i] = v4addr2Bytes(parts[i]);
}
} catch (NumberFormatException e) {
return null;
}
}
return b;
}
public boolean matches(String id, String aclExpr) {
String parts[] = aclExpr.split("/", 2);
byte aclAddr[] = addr2Bytes(parts[0]);
if (aclAddr == null) {
return false;
}
byte endAclAddr[] = new byte[aclAddr.length];
for(int i = 0; i < aclAddr.length; i ++){
endAclAddr[i] = aclAddr[i];
}
if (parts.length == 2) {
try {
int end = Integer.parseInt(parts[1]);
int e = endAclAddr[endAclAddr.length-1]<=0?endAclAddr[endAclAddr.length-1]+256:endAclAddr[endAclAddr.length-1];
if(end < e|| end < 0 || end > 255)
return false;
endAclAddr[endAclAddr.length-1] = (byte)end;
} catch (NumberFormatException e) {
return false;
}
}
byte remoteAddr[] = addr2Bytes(id);
if (remoteAddr == null) {
return false;
}
for (int i = 0; i < remoteAddr.length; i++) {
int r = remoteAddr[i]<=0?(int)remoteAddr[i]+256:remoteAddr[i];
int a = aclAddr[i]<=0?(int)aclAddr[i]+256:aclAddr[i];
int e = endAclAddr[i]<=0?(int)endAclAddr[i]+256:endAclAddr[i];
if (r < a || r > e) {
return false;
}
}
return true;
}
public boolean isAuthenticated() {
return false;
}
public boolean isValid(String id) {
return addr2Bytes(id) != null;
}
}
支持了使用/做为范围标识,比如进入hbase zkcli,执行:setAcl /test ip:192.168.0.3/10:cd,则将读写权限赋给了192.168.0.3-192.168.0.10这8台机器,其它机器将没有任何权限。
这样用同一个zookeeper管理多个集群、海量机器将不再有困扰。
最后写了一个帮助运维同学自动化管理zookeeper集群下多个hbase集群的ACL权限的工具,像以下这样:
java -Djava.ext.dirs=libs/ -cp hbase-tools.jar dwbasis.hbase.tools.client.ZookeeperAcl aclFile.json Usage: ZookeeperAcl acljsonfile [-plan] /test/t ==> 'ip,'192.168.0.1 :cdrwa /test ==> 'ip,'192.168.0.1/3 :cdrwa /test ==> 'ip,'192.168.0.5 :cdrwa do you really setAcl as above?(y/n)
补充:多集群共用zk后,每个集群的启动和停止不应该影响zk的稳定。因此请配置hbase-env.sh中export HBASE_MANAGES_ZK=false
已有 4 人发表留言,猛击->>这里<<-参与讨论
ITeye推荐
相关 [zookeeper 管理 hbase] 推荐:
ZooKeeper管理员指南——部署与管理ZooKeeper
- - 淘宝网综合业务平台团队博客本文以ZooKeeper3.4.3版本的官方指南为基础: http://zookeeper.apache.org/doc/r3.4.3/zookeeperAdmin.html,补充一些作者运维实践中的要点,围绕ZK的部署和运维两个方面讲一些管理员需要知道的东西. 本文并非一个ZK搭建的快速入门,关于这方面,可以查看《 ZooKeeper快速搭建》.
分布式集群环境hadoop、hbase、zookeeper搭建(全)
- - CSDN博客云计算推荐文章集群环境至少需要3个节点(也就是3台服务器设备):1个Master,2个Slave,节点之间局域网连接,可以相互ping通,下面举例说明,配置节点IP分配如下:. 三个节点均使用centos 6.3系统,为了便于维护,集群环境配置项最好使用相同用户名、用户密码、相同hadoop、hbase、zookeeper目录结构.
HBase表管理系统
- - CSDN博客推荐文章源码下载: https://github.com/fansy1990/ssh_v3/releases. 部署参考: http://blog.csdn.net/fansy1990/article/details/51356583. HBase表管理系统主要是对表以及表数据的相关操作;. 直接打开Table管理界面,即可看到所有表的简要信息,包括数据库(namspace)、表名、简单表描述等;.
在 python 中使用 zookeeper 管理你的应用集群
- Ken - python.cn(jobs, news)Zookeeper 分布式服务框架是 Apache Hadoop 的一个子项目,它主要是用来解决分布式应用中经常遇到的一些数据管理问题,如:统一命名服务、状态同步服务、集群管理、分布式应用配置项的管理等. python中有一个zkpython的包,是基于zookeeper的c-client开发的,所以安装的时候需要先安装zookeeper的c客户端.
ZooKeeper-- 管理分布式环境中的数据
- - 互联网 - ITeye博客1.随着分布式应用的不断深入,需要对集群管理逐步透明化. 监控集群和作业状态;可以充分的利用ZK的独有特性,熟悉程度决定应用高度. 2.Service端具有fast fail特性,非常健壮,无单点,不超过半数Server挂掉不会影响提供服务. 3.zookeeper名字空间由节点znode构成,其组织方式类似于文件系统, 其各个节点相当于目录和文件,通 过路径作为唯一标示.
zookeeper( 转)
- - 企业架构 - ITeye博客转自:http://qindongliang.iteye.com/category/299318. 分布式助手Zookeeper(一). Zookeeper最早是Hadoop的一个子项目,主要为Hadoop生态系统中一些列组件提供统一的分布式协作服务,在2010年10月升级成Apache Software .
ZooKeeper监控
- - 淘宝网通用产品团队博客 在公司内部,有不少应用已经强依赖zookeeper,比如meta和精卫系统,zookeeper的工作状态直接影响它们的正常工作. 目前开源世界中暂没有一个比较成熟的zk-monitor,公司内部的各个zookeeper运行也都是无监控,无报表状态. 目前zookeeper-monitor能做哪些事情,讲到这个,首先来看看哪些因素对zookeeper正常工作比较大的影响:.
zookeeper原理
- - CSDN博客云计算推荐文章1.为了解决分布式事务性一致的问题. 2.文件系统也是一个树形的文件系统,但比linux系统简单,不区分文件和文件夹,所有的文件统一称为znode. 3.znode的作用:存放数据,但上限是1M ;存放ACL(access control list)访问控制列表,每个znode被创建的时候,都会带有一个ACL,身份验证方式有三种:digest(用户名密码验证),host(主机名验证),ip(ip验证) ,ACL到底有哪些权限呢.
Zookeeper Client简介
- - zzm直接使用zk的api实现业务功能比较繁琐. 因为要处理session loss,session expire等异常,在发生这些异常后进行重连. 又因为ZK的watcher是一次性的,如果要基于wather实现发布/订阅模式,还要自己包装一下,将一次性订阅包装成持久订阅. 另外如果要使用抽象级别更高的功能,比如分布式锁,leader选举等,还要自己额外做很多事情.