Ubuntu 24.04.1 SOLR 9.6.1 ja Zookeeper 3.8.1 SSL-i konfiguratsiooniprobleemide lahendamine

Väljakutsed SSL-i lubamisel SOLR-i jaoks koos Zookeeperi integratsiooniga

SSL-i lubamine SOLR-Zookeeperi seadistuses võib olla keeruline, eriti kui töötate Ubuntu 24.04.1 serveritega. See konfiguratsiooniprotsess tagab turvalise suhtluse sõlmede vahel, kuid isegi väike vale konfiguratsioon võib takistada selliste teenuste nagu SOLR Admin UI korrektset toimimist. Kui olete hiljuti proovinud SSL-i lubada ja teil tekkis probleeme, pole te üksi.

Selles artiklis käsitleme levinud probleemi, millega SSL-i aktiveerimisel SOLR 9.6.1-s kokku puututakse, kui see on integreeritud kohaliku Ubuntu serveri versiooniga Zookeeper 3.8.1. Kõnealune seadistus hõlmab SOLR-i ja Zookeeperi käitamist ühes serveris ühe killu, mitme koopia ja põhiautentimisega. Keskendutakse pärast SSL-i sätete värskendamist ilmnevate vigade lahendamisele.

SSL-i väärkonfiguratsioonid põhjustavad sageli logifailides tõrketeateid, nagu „Administraatori kasutajaliides ei käivitu” või „Katkestatud toru”, mille tõrkeotsing võib olla keeruline. Need vead tulenevad tavaliselt sertifikaadiprobleemidest või SSL-ühenduse tõrgetest SOLR- või Zookeeperi sõlmedes, mis põhjustavad teenustevahelise side katkemise.

Järgmistes jaotistes sukeldume logifailidesse, analüüsime nende SSL-iga seotud vigade võimalikke põhjuseid ja pakume samm-sammult lahendusi, et tagada teie SOLR-i ja Zookeeperi seadistuste sujuv SSL-i konfiguratsioon.

SSL-i konfiguratsiooni ja skriptimise analüüsimine SOLR-i ja Zookeeperi jaoks

Esimene skript automatiseerib SOLR-i ja Zookeeperi taaskäivitamise protsessi, tagades samal ajal SSL-i konfiguratsioonide õige rakendamise. See kasutab Bashi skriptimist Zookeeperi eksemplaride läbimiseks ja nende taaskäivitamiseks värskendatud SSL-i sätetega. Selle skripti tähtsus seisneb mitme Zookeeperi sõlme haldamises, kuna SSL-i konfiguratsioone tuleb rakendada ühtlaselt kogu klastris. Funktsiooni "zkServer.sh restart" kasutamine tagab, et iga Zookeeperi sõlm taaskäivitatakse õigesti oma vastava konfiguratsioonifailiga, muutes skripti tõhusaks klastri haldamiseks mitme sõlmega seadistuses.

Skript käsitleb ka SOLR-i eksemplari taaskäivitamist, kasutades käsku "solr restart". SOLR tugineb HTTPS-i päringute käsitlemisel Jettyle ja skript tagab, et SSL-iga seotud sätted, nagu võtme- ja usaldussalve teed, laaditakse õigesti uuesti. See hoiab ära võimalikud SSL-i käepigistuse tõrked SOLR-i administraatoriliidese kasutamisel, mis võivad tuleneda aegunud või valesti konfigureeritud SSL-sertifikaatidest. Neid toiminguid automatiseerides minimeerib skript käsitsi vead, eriti kui haldate SSL-sertifikaate mitme teenuse samas serveris.

Teist skripti kasutatakse SSL-i jaoks mõeldud Java KeyStoresi loomiseks ja haldamiseks nii SOLR-is kui ka Zookeeperis. Java Keytool utiliiti kasutatakse võtmepaaride genereerimiseks ja sertifikaatide importimiseks võtmehoidlasse. Käsk "keytool -genkeypair" genereerib vajalikud SSL-sertifikaadid, samas kui "keytool -import" kasutatakse usaldusväärsete juur- ja vahesertifikaatide lisamiseks. Need sertifikaadid tagavad, et sõlmedevaheline SSL-side on usaldusväärne ja turvaline. See skript on ülioluline SSL-sertifikaatide korrektseks seadistamiseks ja haldamiseks, mis mängivad keskset rolli teenustevahelise turvalise suhtluse võimaldamisel.

Lõpuks toimib Pythoni skript logide jälgimise tööriistana, mis on spetsiaalselt loodud SSL-i käepigistuse vigade tuvastamiseks. Pidevalt reaalajas SSL-i logisid lugedes saab see skript tuvastada SSL-iga seotud probleemid, näiteks SSL-i käepigistus ebaõnnestus. See logimise tase on oluline probleemide diagnoosimiseks keerulistes keskkondades, kus sellised teenused nagu Zookeeper ja SOLR suhtlevad krüpteeritud kanalite kaudu. Reaalajas jälgimine aitab kiiresti tuvastada SSL-i tõrgete algpõhjuse, mis võib tuleneda sertifikaatide mittevastavusest, valest konfiguratsioonist või aegunud sertifikaatidest. See tõrkeotsingu tööriist on eriti väärtuslik keskkondades, kus on mitu sõlme ja SSL-i keerukus.

#!/bin/bash
# Script to automate SOLR and Zookeeper restart with SSL configuration
# Paths to configuration files
ZOOKEEPER_DIR="/opt/zookeeper"
SOLR_DIR="/opt/solr"
SSL_KEYSTORE="/opt/solr-9.6.1/server/etc/solr-ssl.jks"
ZOOKEEPER_CONFIG="$ZOOKEEPER_DIR/conf/zoo.cfg"
SOLR_CONFIG="$SOLR_DIR/server/etc/jetty-ssl.xml"

# Restart Zookeeper with SSL configuration
echo "Restarting Zookeeper..."
for i in {1..3}; do
    /bin/bash $ZOOKEEPER_DIR/bin/zkServer.sh restart $ZOOKEEPER_DIR/data/z$i/zoo.cfg
done

# Restart SOLR with SSL configuration
echo "Restarting SOLR..."
/bin/bash $SOLR_DIR/bin/solr restart -c -p 8983 -z localhost:2181,localhost:2182,localhost:2183 -m 5g -force

#!/bin/bash
# Generate a keystore with a self-signed certificate
keytool -genkeypair -alias solr -keyalg RSA -keystore /opt/solr-9.6.1/server/etc/solr-ssl.jks

# Import intermediate and root certificates
keytool -import -trustcacerts -alias root -file /path/to/rootCA.pem -keystore /opt/solr-9.6.1/server/etc/solr-ssl.jks
keytool -import -trustcacerts -alias intermediate -file /path/to/intermediateCA.pem -keystore /opt/solr-9.6.1/server/etc/solr-ssl.jks

# Configure Zookeeper SSL settings
echo "ssl.client.enable=true" >> $ZOOKEEPER_DIR/conf/zoo.cfg
echo "ssl.quorum.keyStore.location=/opt/solr-9.6.1/server/etc/solr-ssl.jks" >> $ZOOKEEPER_DIR/conf/zoo.cfg
echo "ssl.quorum.trustStore.location=/opt/solr-9.6.1/server/etc/solr-ssl.jks" >> $ZOOKEEPER_DIR/conf/zoo.cfg

import subprocess
import time

def monitor_ssl_logs(log_file):
    with open(log_file, 'r') as f:
        f.seek(0, 2)  # Move to the end of file
        while True:
            line = f.readline()
            if not line:
                time.sleep(0.1)
                continue
            if "SSL handshake failed" in line:
                print(f"Error: {line.strip()}")

# Start monitoring Zookeeper SSL logs
monitor_ssl_logs("/opt/zookeeper/logs/zookeeper.log")

SSL-i käepigistuse ja seadistamise keerukus SOLR-is ja Zookeeperis

Üks kriitiline aspekt, mida SSL-i lubamisel SOLR-is ja Zookeeperis käsitleda, on see, kuidas SSL-käepigistus protsess toimib. Käepigistus hõlmab sertifikaatide vahetamist kliendi ja serveri vahel, usaldusväärsuse kontrollimist enne krüpteeritud andmeedastuse algust. Sageli tekivad probleemid, kui sertifikaadid pole nii SOLR-i kui ka Zookeeperi konfiguratsioonis õigesti seadistatud. Näiteks võivad mittevastavad sertifikaadiahelad või võtmesalve paroolid takistada süsteemil edukalt SSL-ühendust luua. SOLR tugineb SSL-suhtluse haldamisel Jettyle, mistõttu on oluline tagada, et Jetty konfiguratsioon oleks sünkroonis teie võtmesalve sätetega.

Teine levinud väljakutse on SSL-i seadistamine mitme sõlme vahel, eriti Zookeeperi kvoorumis. Mitme Zookeeperi sõlme korral peab SSL-i konfiguratsioon olema kõigis serverites ühtne, et võimaldada turvalist klientide ja serverite ning serverite vahelist suhtlust. Igal sõlmel peab olema sama võtme- ja usaldussalve seadistus, samuti identsed SSL-protokollid, näiteks TLSv1.2. Need konfiguratsioonid leiate failist "zoo.cfg". Mis tahes lahknevus sõlmede vahel võib põhjustada selliseid probleeme nagu "toru katki" või "pistikupesa on suletud", nagu on näha probleemistsenaariumist.

Samuti on oluline kaaluda, kuidas Zookeeper haldab kvoorumi suhtlust, kui SSL on lubatud. Seadistades `ssl.quorum.enabledProtocols', tagate, et Zookeeperi sõlmede vaheline turvaline side toimub usaldusväärse protokolli, nagu TLS, kaudu. Lisaks võib `ssl.quorum.hostnameVerification=false` hoidmine olla vajalik juhtudel, kui Zookeeperi sõlmedele viidatakse IP asemel, mitte hostinimede järgi, kuna hostinimede mittevastavus võib SSL-i käepigistuse katkestada. Nende seadete peenhäälestus võib teie hajutatud seadistuses märkimisväärselt parandada turvalist suhtlust.