Løsning af SSL-konfigurationsproblemer i Ubuntu 24.04.1's SOLR 9.6.1 og Zookeeper 3.8.1

Udfordringer ved at aktivere SSL til SOLR med Zookeeper-integration

Det kan være vanskeligt at aktivere SSL i en SOLR-Zookeeper-opsætning, især når du arbejder med Ubuntu 24.04.1-servere. Denne konfigurationsproces sikrer sikker kommunikation mellem noder, men selv en mindre fejlkonfiguration kan forhindre tjenester som SOLR Admin UI i at fungere korrekt. Hvis du for nylig har prøvet at aktivere SSL og stødt på problemer, er du ikke alene.

I denne artikel vil vi gennemgå et almindeligt problem, man står over for under SSL-aktivering i SOLR 9.6.1, når det er integreret med Zookeeper 3.8.1 på en lokal Ubuntu-server. Den pågældende opsætning involverer at køre SOLR og Zookeeper på den samme server med et enkelt shard, flere replikaer og grundlæggende godkendelse. Fokus vil være på at løse de fejl, der opstår efter opdatering af SSL-indstillinger.

SSL-fejlkonfigurationer resulterer ofte i fejl som "Admin UI starter ikke" eller "Broken pipe"-meddelelser i logfiler, hvilket kan være udfordrende at fejlfinde. Disse fejl opstår typisk som følge af certifikatproblemer eller SSL-forbindelsesfejl i SOLR- eller Zookeeper-knuderne, hvilket fører til brudt kommunikation mellem tjenester.

I de følgende afsnit vil vi dykke dybere ned i logfilerne, analysere de potentielle årsager til disse SSL-relaterede fejl og tilbyde trinvise løsninger for at sikre en jævn SSL-konfiguration til din SOLR- og Zookeeper-opsætning.

Analyse af SSL-konfiguration og scripting til SOLR og Zookeeper

Det første script automatiserer processen med at genstarte SOLR og Zookeeper, mens det sikres, at SSL-konfigurationer anvendes korrekt. Den bruger Bash-scripting til at gå gennem Zookeeper-forekomsterne og genstarte dem med opdaterede SSL-indstillinger. Betydningen af ​​dette script ligger i at administrere flere Zookeeper-noder, da SSL-konfigurationer skal anvendes ensartet på tværs af hele klyngen. Brugen af ​​`zkServer.sh genstart` sikrer, at hver Zookeeper-node genstartes korrekt med dens respektive konfigurationsfil, hvilket gør scriptet effektivt til klyngestyring i en multi-node opsætning.

Scriptet adresserer også genstarten af ​​SOLR-forekomsten ved hjælp af 'solr restart'. SOLR er afhængig af Jetty til at håndtere HTTPS-anmodninger, og scriptet sikrer, at SSL-relaterede indstillinger såsom nøglelager- og truststore-stier genindlæses korrekt. Dette forhindrer potentielle SSL-handshake-fejl ved adgang til SOLR Admin UI, som kan opstå fra forældede eller forkert konfigurerede SSL-certifikater. Ved at automatisere disse opgaver minimerer scriptet manuelle fejl, især når der administreres SSL-certifikater på tværs af flere tjenester på den samme server.

Det andet script bruges til at oprette og administrere Java KeyStores til SSL i både SOLR og Zookeeper. Javas Keytool-værktøj bruges til at generere nøglepar og importere certifikater til nøglelageret. Kommandoen `keytool -genkeypair` genererer de nødvendige SSL-certifikater, mens `keytool -import` bruges til at tilføje pålidelige rod- og mellemcertifikater. Disse certifikater sikrer, at SSL-kommunikation mellem noder er pålidelig og sikker. Dette script er afgørende for korrekt opsætning og styring af SSL-certifikater, som spiller en central rolle i at muliggøre sikker kommunikation mellem tjenesterne.

Endelig fungerer Python-scriptet som et logovervågningsværktøj, der er specielt designet til at opdage SSL-håndtrykfejl. Ved kontinuerligt at læse SSL-logfiler i realtid, kan dette script identificere SSL-relaterede problemer såsom "SSL-håndtryk mislykkedes". Dette niveau af logning er afgørende for at diagnosticere problemer i komplekse miljøer, hvor tjenester som Zookeeper og SOLR kommunikerer over krypterede kanaler. Realtidsovervågning hjælper med hurtigt at identificere årsagen til SSL-fejl, som kan stamme fra certifikatuoverensstemmelser, forkert konfiguration eller udløbne certifikater. Dette fejlfindingsværktøj er særligt værdifuldt i miljøer med flere noder og SSL-kompleksiteter.

#!/bin/bash
# Script to automate SOLR and Zookeeper restart with SSL configuration
# Paths to configuration files
ZOOKEEPER_DIR="/opt/zookeeper"
SOLR_DIR="/opt/solr"
SSL_KEYSTORE="/opt/solr-9.6.1/server/etc/solr-ssl.jks"
ZOOKEEPER_CONFIG="$ZOOKEEPER_DIR/conf/zoo.cfg"
SOLR_CONFIG="$SOLR_DIR/server/etc/jetty-ssl.xml"

# Restart Zookeeper with SSL configuration
echo "Restarting Zookeeper..."
for i in {1..3}; do
    /bin/bash $ZOOKEEPER_DIR/bin/zkServer.sh restart $ZOOKEEPER_DIR/data/z$i/zoo.cfg
done

# Restart SOLR with SSL configuration
echo "Restarting SOLR..."
/bin/bash $SOLR_DIR/bin/solr restart -c -p 8983 -z localhost:2181,localhost:2182,localhost:2183 -m 5g -force

#!/bin/bash
# Generate a keystore with a self-signed certificate
keytool -genkeypair -alias solr -keyalg RSA -keystore /opt/solr-9.6.1/server/etc/solr-ssl.jks

# Import intermediate and root certificates
keytool -import -trustcacerts -alias root -file /path/to/rootCA.pem -keystore /opt/solr-9.6.1/server/etc/solr-ssl.jks
keytool -import -trustcacerts -alias intermediate -file /path/to/intermediateCA.pem -keystore /opt/solr-9.6.1/server/etc/solr-ssl.jks

# Configure Zookeeper SSL settings
echo "ssl.client.enable=true" >> $ZOOKEEPER_DIR/conf/zoo.cfg
echo "ssl.quorum.keyStore.location=/opt/solr-9.6.1/server/etc/solr-ssl.jks" >> $ZOOKEEPER_DIR/conf/zoo.cfg
echo "ssl.quorum.trustStore.location=/opt/solr-9.6.1/server/etc/solr-ssl.jks" >> $ZOOKEEPER_DIR/conf/zoo.cfg

import subprocess
import time

def monitor_ssl_logs(log_file):
    with open(log_file, 'r') as f:
        f.seek(0, 2)  # Move to the end of file
        while True:
            line = f.readline()
            if not line:
                time.sleep(0.1)
                continue
            if "SSL handshake failed" in line:
                print(f"Error: {line.strip()}")

# Start monitoring Zookeeper SSL logs
monitor_ssl_logs("/opt/zookeeper/logs/zookeeper.log")

SSL-håndtryk og konfigurationskompleksiteter i SOLR og Zookeeper

Et kritisk aspekt at tage fat på, når du aktiverer SSL i SOLR og Zookeeper, er, hvordan SSL håndtryk processen virker. Håndtrykket involverer udveksling af certifikater mellem klient og server, verificering af tillid, før krypteret datatransmission begynder. Der opstår ofte problemer, hvis certifikaterne ikke er korrekt indstillet i både SOLR- og Zookeeper-konfigurationer. For eksempel kan uoverensstemmende certifikatkæder eller nøglelageradgangskoder forhindre systemet i at starte en SSL-forbindelse. SOLR er afhængig af Jetty til styring af SSL-kommunikation, hvilket gør det vigtigt at sikre, at Jetty-konfigurationen er synkroniseret med dine nøglelagerindstillinger.

En anden almindelig udfordring er at opsætte SSL på tværs af flere noder, især i et Zookeeper-kvorum. Med flere Zookeeper-noder skal SSL-konfigurationen være konsistent på tværs af alle servere for at muliggøre sikker klient-til-server- og server-til-server-kommunikation. Hver node skal have samme keystore og truststore opsætning, samt identiske SSL-protokoller som f.eks. TLSv1.2. Disse konfigurationer findes i filen `zoo.cfg`. Enhver uoverensstemmelse mellem noderne kan føre til problemer som "brudt rør" eller "socket er lukket" fejl, som det ses i problemscenariet.

Det er også vigtigt at overveje, hvordan Zookeeper håndterer quorum-kommunikationen med SSL aktiveret. Ved at indstille `ssl.quorum.enabledProtocols` sikrer du, at den sikre kommunikation mellem Zookeeper-noder sker over en betroet protokol som TLS. Derudover kan det være nødvendigt at beholde `ssl.quorum.hostnameVerification=false` i tilfælde, hvor Zookeeper-knudepunkter henvises til af IP i stedet for værtsnavne, da hostname-uoverensstemmelser kan afbryde SSL-håndtrykket. Finjustering af disse indstillinger kan markant forbedre sikker kommunikation på tværs af din distribuerede opsætning.