ÙØ§ ÙÙ Ø§ÙØºØ±Ø¶ ÙÙ ÙØ®Ø²Ù Ø§ÙÙÙØ§ØªÙØ SOLRØ

ÙÙÙ ÙÙÙÙÙÙ Ø¥Ø¹Ø§Ø¯Ø© ØªØ´ØºÙÙ Zookeeper Ø¨Ø¹Ø¯ ØªØºÙÙØ±Ø§Øª ØªÙÙÙÙ SSLØ

ÙØªØ·Ø¨ÙÙ ØªØºÙÙØ±Ø§Øª SSLØ Ø£Ø¹Ø¯ ØªØ´ØºÙÙ Zookeeper Ø¨Ø§Ø³ØªØ®Ø¯Ø§Ù Ø§ÙØ£ÙØ± /bin/bash zkServer.sh restart zoo.cfg ÙÙÙ Ø¹ÙØ¯Ø© ÙÙ Ø§ÙÙØªÙØ©.

ÙØ§Ø°Ø§ ÙÙØ¹Ù ssl.client.enable=true ÙÙ ZookeeperØ

ÙØ¹ÙÙ ÙØ°Ø§ Ø§ÙØ¥Ø¹Ø¯Ø§Ø¯ ÙÙ `zoo.cfg` Ø¹ÙÙ ØªÙÙÙÙ Ø§ØªØµØ§Ù SSL Ø¨ÙÙ Ø¹ÙÙÙ Zookeeper ÙØ®Ø§Ø¯Ù Zookeeper.

ÙÙØ§Ø°Ø§ ÙØ§ ÙØªÙ ØªØÙÙÙ ÙØ§Ø¬ÙØ© ÙØ³ØªØ®Ø¯Ù SOLR Admin Ø¨Ø¹Ø¯ ØªÙÙÙÙ SSLØ

ÙÙÙ ÙÙÙÙÙÙ ØÙ Ø£Ø®Ø·Ø§Ø¡ ÙÙØ³ Ø³Ø¬Ù SSL/TLSØ

ÙØØ¯Ø« ÙØ°Ø§ Ø§ÙØ®Ø·Ø£ Ø¹ÙØ¯ Ø¥Ø±Ø³Ø§Ù Ø¨ÙØ§ÙØ§Øª Ø¨Ø®ÙØ§Ù SSL Ø¹Ø¨Ø± Ø§ØªØµØ§Ù SSL. ØªØÙÙ ÙÙ ØªÙÙÙÙ ÙÙ ÙÙ SOLR ÙZookeeper Ø¨Ø´ÙÙ ØµØÙØ ÙØ§Ø³ØªØ®Ø¯Ø§Ù ÙÙØ³ Ø¨Ø±ÙØªÙÙÙÙ SSLØ ÙØ«Ù TLSv1.2.

ÙØ¹ØªÙØ¯ Ø´Ø±Ø ØªÙÙÙÙ SSL ÙÙ SOLR ÙZookeeper Ø¹ÙÙ ÙØ«Ø§Ø¦Ù Solr Ø§ÙØ±Ø³ÙÙØ©: Ø¯ÙÙÙ Ø£Ø¨Ø§ØªØ´Ù Ø³ÙÙØ±

إصلاح مشكلات تكوين SSL في Ubuntu 24.04.1

Daniel Marino

الخميس، ٢٤ أكتوبر ٢٠٢٤ ٢:٣٨:٤١ م

التحديات في تمكين SSL لـ SOLR مع تكامل Zookeeper

قد يكون تمكين SSL في إعداد SOLR-Zookeeper أمرًا صعبًا، خاصة عند العمل مع خوادم Ubuntu 24.04.1. تضمن عملية التكوين هذه الاتصال الآمن بين العقد، ولكن حتى التكوين الخاطئ البسيط يمكن أن يمنع خدمات مثل SOLR Admin UI من العمل بشكل صحيح. إذا حاولت مؤخرًا تمكين SSL وواجهت مشكلات، فأنت لست وحدك.

في هذه المقالة، سنتعرف على مشكلة شائعة تمت مواجهتها أثناء تنشيط SSL في SOLR 9.6.1 عند التكامل مع Zookeeper 3.8.1 على خادم Ubuntu المحلي. يتضمن الإعداد المعني تشغيل SOLR وZookeeper على نفس الخادم بجزء واحد ونسخ متماثلة متعددة ومصادقة أساسية. سيتم التركيز على حل الأخطاء التي تحدث بعد تحديث إعدادات SSL.

غالبًا ما تؤدي التكوينات الخاطئة لطبقة المقابس الآمنة (SSL) إلى حدوث أخطاء مثل "عدم تشغيل واجهة المستخدم الإدارية" أو رسائل "القناة المعطلة" في ملفات السجل، والتي قد يكون من الصعب استكشاف الأخطاء وإصلاحها. تنشأ هذه الأخطاء عادةً بسبب مشكلات في الشهادات أو فشل اتصال SSL داخل عقد SOLR أو Zookeeper، مما يؤدي إلى انقطاع الاتصال بين الخدمات.

في الأقسام التالية، سنتعمق أكثر في ملفات السجل، ونحلل الأسباب المحتملة لهذه الأخطاء المتعلقة بـ SSL، ونقدم حلولًا خطوة بخطوة لضمان تكوين SSL سلس لإعداد SOLR وZookeeper.

يأمر	مثال للاستخدام
keytool -genkeypair	يُستخدم هذا الأمر لإنشاء زوج مفاتيح (المفاتيح العامة والخاصة) في مخزن المفاتيح. يعد ذلك ضروريًا لإنشاء شهادات SSL لـ SOLR وZookeeper، مما يضمن الاتصال الآمن.
keytool -import -trustcacerts	يؤدي هذا إلى استيراد شهادات CA (المرجع المصدق) الموثوق بها إلى مخزن المفاتيح. وهو خاص بإعداد SSL، مما يمكّن النظام من الوثوق بالشهادات الجذرية والوسيطة.
echo "ssl.client.enable=true"	صدى وإلحاق التكوينات الخاصة بـ SSL إلى ملف تكوين Zookeeper. يُستخدم هذا لتمكين اتصال عميل SSL في Zookeeper.
keytool -list	يسرد هذا الأمر كافة الإدخالات الموجودة في مخزن المفاتيح. إنه خاص بالتحقق من أن جميع الشهادات (الجذر والوسيط والخادم) تمت إضافتها بشكل صحيح ومتاحة لاستخدام SSL.
zkServer.sh restart	إعادة تشغيل خادم Zookeeper بالتكوينات المحدثة، خاصة بعد التغييرات المتعلقة بـ SSL. يضمن هذا الأمر تفعيل إعدادات SSL الجديدة.
ssl.quorum.keyStore.location	تمت إضافة إعداد خاص بـ Zookeeper إلى Zoo.cfg، للإشارة إلى ملف تخزين المفاتيح. فهو يضمن الإشارة بشكل صحيح إلى شهادات SSL لاتصال النصاب القانوني بين عقد Zookeeper.
ssl.quorum.trustStore.location	تكوين آخر خاص بـ Zookeeper يحدد موقع ملف Truststore، مما يسمح للنظام بالثقة في العقد الأخرى في النصاب القانوني لـ Zookeeper.
jetty-ssl.xml	ملف تكوين خاص بـ Jetty يستخدمه SOLR. فهو يقوم بتكوين إعدادات SSL مثل مسارات تخزين المفاتيح ومخزن الثقة، مما يضمن اتصال SOLR بشكل آمن عبر HTTPS.
monitor_ssl_logs()	تقوم وظيفة Python هذه بمراقبة سجلات SSL بشكل مستمر بحثًا عن أخطاء مثل المصافحة الفاشلة. إنه محدد للغاية لتشخيص مشكلات اتصال SSL في SOLR وZookeeper.

تحليل تكوين SSL والبرمجة النصية لـ SOLR وZookeeper

يقوم البرنامج النصي الأول بأتمتة عملية إعادة تشغيل SOLR وZookeeper مع ضمان تطبيق تكوينات SSL بشكل صحيح. يستخدم البرمجة النصية Bash للتكرار عبر مثيلات Zookeeper وإعادة تشغيلها باستخدام إعدادات SSL المحدثة. تكمن أهمية هذا البرنامج النصي في إدارة عقد Zookeeper المتعددة، حيث يجب تطبيق تكوينات SSL بشكل موحد عبر المجموعة بأكملها. يضمن استخدام `zkServer.sh Restart` إعادة تشغيل كل عقدة Zookeeper بشكل صحيح باستخدام ملف التكوين الخاص بها، مما يجعل البرنامج النصي فعالاً لإدارة المجموعة في إعداد متعدد العقد.

يعالج البرنامج النصي أيضًا إعادة تشغيل مثيل SOLR باستخدام `solr Restart`. يعتمد SOLR على Jetty لمعالجة طلبات HTTPS، ويضمن البرنامج النصي إعادة تحميل الإعدادات المتعلقة بـ SSL مثل مسارات تخزين المفاتيح ومخزن الثقة بشكل صحيح. وهذا يمنع حالات فشل مصافحة SSL المحتملة عند الوصول إلى واجهة مستخدم SOLR Admin، والتي يمكن أن تنشأ من شهادات SSL قديمة أو تم تكوينها بشكل خاطئ. من خلال أتمتة هذه المهام، يقلل البرنامج النصي من الأخطاء اليدوية، خاصة عند إدارة شهادات SSL عبر خدمات متعددة على نفس الخادم.

يتم استخدام البرنامج النصي الثاني لإنشاء وإدارة Java KeyStores لـ SSL في كل من SOLR وZookeeper. يتم استخدام الأداة المساعدة Keytool في Java لإنشاء أزواج المفاتيح واستيراد الشهادات إلى مخزن المفاتيح. ينشئ الأمر `keytool -genkeypair` شهادات SSL الضرورية، بينما يُستخدم `keytool -import` لإضافة الشهادات الجذرية والوسيطة الموثوقة. تضمن هذه الشهادات أن اتصال SSL بين العقد موثوق به وآمن. يعد هذا البرنامج النصي ضروريًا لإعداد شهادات SSL وإدارتها بشكل صحيح، والتي تلعب دورًا مركزيًا في تمكين الاتصال الآمن بين الخدمات.

أخيرًا، يعمل البرنامج النصي Python المقدم كأداة لمراقبة السجل مصممة خصيصًا لاكتشاف أخطاء مصافحة SSL. من خلال قراءة سجلات SSL بشكل مستمر في الوقت الفعلي، يمكن لهذا البرنامج النصي تحديد المشكلات المتعلقة بـ SSL مثل "فشل تأكيد اتصال SSL". يعد هذا المستوى من التسجيل ضروريًا لتشخيص المشكلات في البيئات المعقدة حيث تتواصل خدمات مثل Zookeeper وSOLR عبر القنوات المشفرة. تساعد المراقبة في الوقت الفعلي في تحديد السبب الجذري لفشل طبقة المقابس الآمنة (SSL) بسرعة، والذي قد ينجم عن عدم تطابق الشهادات، أو التكوين غير الصحيح، أو الشهادات منتهية الصلاحية. تعتبر أداة استكشاف الأخطاء وإصلاحها هذه ذات قيمة خاصة في البيئات ذات العقد المتعددة وتعقيدات SSL.

التعامل مع مشكلات تكوين SSL في SOLR وZookeeper

استخدام البرمجة النصية لـ Bash لأتمتة إعادة تشغيل SOLR وZookeeper باستخدام تكوينات SSL على Ubuntu

#!/bin/bash
# Script to automate SOLR and Zookeeper restart with SSL configuration
# Paths to configuration files
ZOOKEEPER_DIR="/opt/zookeeper"
SOLR_DIR="/opt/solr"
SSL_KEYSTORE="/opt/solr-9.6.1/server/etc/solr-ssl.jks"
ZOOKEEPER_CONFIG="$ZOOKEEPER_DIR/conf/zoo.cfg"
SOLR_CONFIG="$SOLR_DIR/server/etc/jetty-ssl.xml"

# Restart Zookeeper with SSL configuration
echo "Restarting Zookeeper..."
for i in {1..3}; do
    /bin/bash $ZOOKEEPER_DIR/bin/zkServer.sh restart $ZOOKEEPER_DIR/data/z$i/zoo.cfg
done

# Restart SOLR with SSL configuration
echo "Restarting SOLR..."
/bin/bash $SOLR_DIR/bin/solr restart -c -p 8983 -z localhost:2181,localhost:2182,localhost:2183 -m 5g -force

تكوين Java Keystores لـ SSL في SOLR وZookeeper

استخدام Java KeyStore (JKS) وKeytool لإنشاء شهادات SSL وتكوينها

#!/bin/bash
# Generate a keystore with a self-signed certificate
keytool -genkeypair -alias solr -keyalg RSA -keystore /opt/solr-9.6.1/server/etc/solr-ssl.jks

# Import intermediate and root certificates
keytool -import -trustcacerts -alias root -file /path/to/rootCA.pem -keystore /opt/solr-9.6.1/server/etc/solr-ssl.jks
keytool -import -trustcacerts -alias intermediate -file /path/to/intermediateCA.pem -keystore /opt/solr-9.6.1/server/etc/solr-ssl.jks

# Configure Zookeeper SSL settings
echo "ssl.client.enable=true" >> $ZOOKEEPER_DIR/conf/zoo.cfg
echo "ssl.quorum.keyStore.location=/opt/solr-9.6.1/server/etc/solr-ssl.jks" >> $ZOOKEEPER_DIR/conf/zoo.cfg
echo "ssl.quorum.trustStore.location=/opt/solr-9.6.1/server/etc/solr-ssl.jks" >> $ZOOKEEPER_DIR/conf/zoo.cfg

أتمتة استكشاف أخطاء مصافحة SSL وإصلاحها

استخدام Python لمراقبة سجلات مصافحة SSL لاستكشاف الأخطاء وإصلاحها

import subprocess
import time

def monitor_ssl_logs(log_file):
    with open(log_file, 'r') as f:
        f.seek(0, 2)  # Move to the end of file
        while True:
            line = f.readline()
            if not line:
                time.sleep(0.1)
                continue
            if "SSL handshake failed" in line:
                print(f"Error: {line.strip()}")

# Start monitoring Zookeeper SSL logs
monitor_ssl_logs("/opt/zookeeper/logs/zookeeper.log")

تعقيدات مصافحة SSL والتكوين في SOLR وZookeeper

أحد الجوانب المهمة التي يجب معالجتها عند تمكين SSL في SOLR وZookeeper هو كيفية مصافحة SSL تعمل العملية. تتضمن المصافحة تبادل الشهادات بين العميل والخادم، والتحقق من الثقة قبل بدء نقل البيانات المشفرة. غالبًا ما تنشأ المشكلات إذا لم يتم تعيين الشهادات بشكل صحيح في تكوينات SOLR وZookeeper. على سبيل المثال، يمكن لسلاسل الشهادات غير المتطابقة أو كلمات مرور مخزن المفاتيح أن تمنع النظام من بدء اتصال SSL بنجاح. تعتمد SOLR على Jetty لإدارة اتصالات SSL، مما يجعل من المهم التأكد من مزامنة تكوين Jetty مع إعدادات تخزين المفاتيح الخاصة بك.

التحدي الشائع الآخر هو إعداد SSL عبر عقد متعددة، خاصة في نصاب Zookeeper. مع عقد Zookeeper المتعددة، يجب أن يكون تكوين SSL متسقًا عبر جميع الخوادم لتمكين الاتصال الآمن من عميل إلى خادم ومن خادم إلى خادم. يجب أن يكون لكل عقدة نفس إعداد مخزن المفاتيح ومخزن الثقة، بالإضافة إلى بروتوكولات SSL متطابقة مثل TLSv1.2. تم العثور على هذه التكوينات في ملف "zoo.cfg". يمكن أن يؤدي أي تناقض بين العقد إلى مشكلات مثل أخطاء "الأنبوب المكسور" أو "المقبس مغلق"، كما هو موضح في سيناريو المشكلة.

من الضروري أيضًا مراعاة كيفية تعامل Zookeeper مع اتصالات النصاب القانوني مع تمكين SSL. من خلال تعيين `ssl.quorum.enabledProtocols`، فإنك تضمن أن الاتصال الآمن بين عقد Zookeeper يحدث عبر بروتوكول موثوق به مثل TLS. بالإضافة إلى ذلك، قد يكون الاحتفاظ بـ "ssl.quorum.hostnameVerification=false" ضروريًا في الحالات التي تتم فيها الإشارة إلى عقد Zookeeper بواسطة IP بدلاً من أسماء المضيفين، حيث يمكن أن يؤدي عدم تطابق اسم المضيف إلى مقاطعة مصافحة SSL. يمكن أن يؤدي ضبط هذه الإعدادات إلى تحسين الاتصال الآمن بشكل كبير عبر الإعداد الموزع لديك.

الأسئلة الشائعة واستكشاف الأخطاء وإصلاحها لتكوين SOLR وZookeeper SSL

ما هو الغرض من مخزن المفاتيح SOLR؟
يحتوي مخزن المفاتيح في SOLR على شهادات SSL ومفاتيح خاصة تستخدم للاتصال المشفر بين الخادم والعملاء. يمكن إنشاؤه باستخدام keytool.
كيف يمكنني إعادة تشغيل Zookeeper بعد تغييرات تكوين SSL؟
لتطبيق تغييرات SSL، أعد تشغيل Zookeeper باستخدام الأمر /bin/bash zkServer.sh restart zoo.cfg لكل عقدة في الكتلة.
ماذا يفعل "ssl.client.enable=true" في Zookeeper؟
يعمل هذا الإعداد في `zoo.cfg` على تمكين اتصال SSL بين عميل Zookeeper وخادم Zookeeper.
لماذا لا يتم تحميل واجهة مستخدم SOLR Admin بعد تمكين SSL؟
أحد الأسباب الشائعة هو عدم التطابق في سلسلة شهادات SSL. تأكد من تكوين مخزن المفاتيح ومخزن الثقة الصحيحين solr.in.sh وملفات تكوين Jetty.
كيف يمكنني حل أخطاء "ليس سجل SSL/TLS"؟
يحدث هذا الخطأ عند إرسال بيانات بخلاف SSL عبر اتصال SSL. تحقق من تكوين كل من SOLR وZookeeper بشكل صحيح لاستخدام نفس بروتوكول SSL، مثل TLSv1.2.

الأفكار النهائية حول تأمين SOLR وZookeeper

لحل مشكلات SSL في SOLR باستخدام Zookeeper، ركز على تكوين معلمات SSL بشكل صحيح مثل بروتوكولات keystore وtruststore وSSL. تضمن هذه الخطوات استقرار الاتصال الآمن عبر جميع العقد والعملاء.

من الضروري مراقبة ملفات السجل بحثًا عن الأخطاء والتحذيرات أثناء العملية. قم بمعالجة مشكلات مثل "الأنبوب المكسور" وفشل مصافحة SSL من خلال التأكد من أن جميع التكوينات المتعلقة بـ SSL متسقة عبر عقد المجموعة وتلتزم بمعايير SSL.

المراجع والمصادر

يعتمد شرح تكوين SSL في SOLR وZookeeper على وثائق Solr الرسمية: دليل أباتشي سولر
تم اشتقاق خطوات استكشاف أخطاء مشكلات SSL وإصلاحها من وثائق Zookeeper: الوثائق الرسمية لـ Zookeeper
تمت الإشارة إلى تفاصيل إضافية حول تكوينات مقبس Java SSL من: الدليل المرجعي لأوراكل JSSE

إصلاح مشكلات تكوين SSL في Ubuntu 24.04.1 وSOLR 9.6.1 وZookeeper 3.8.1