SSL-määritysongelmien korjaaminen Ubuntu 24.04.1:n SOLR 9.6.1:ssä ja Zookeeper 3.8.1:ssä

Haasteet SSL:n käyttöönotossa SOLR:lle Zookeeper-integraation kanssa

SSL:n ottaminen käyttöön SOLR-Zookeeper-asetuksissa voi olla hankalaa, varsinkin kun työskentelet Ubuntu 24.04.1 -palvelimien kanssa. Tämä määritysprosessi varmistaa turvallisen tiedonsiirron solmujen välillä, mutta pienikin virheellinen määritys voi estää palveluita, kuten SOLR Admin UI, toimimasta kunnolla. Jos olet äskettäin yrittänyt ottaa SSL:n käyttöön ja kohtasit ongelmia, et ole yksin.

Tässä artikkelissa käydään läpi yleinen ongelma SSL-aktivoinnin aikana SOLR 9.6.1:ssä, kun se on integroitu Zookeeper 3.8.1:een paikallisessa Ubuntu-palvelimessa. Kyseinen asennus sisältää SOLR:n ja Zookeeperin käyttämisen samalla palvelimella yhdellä sirpaleella, useilla replikoilla ja perustodennusta. Pääpaino on SSL-asetusten päivityksen jälkeen ilmenevien virheiden ratkaisemisessa.

SSL-määritykset aiheuttavat usein virheitä, kuten "Järjestelmänvalvojan käyttöliittymä ei käynnisty" tai "Broken pipe" -sanomia lokitiedostoissa, joiden vianetsintä voi olla haastavaa. Nämä virheet johtuvat tyypillisesti varmenneongelmista tai SSL-yhteyshäiriöistä SOLR- tai Zookeeper-solmuissa, mikä johtaa katkeamaan palveluiden välillä.

Seuraavissa osioissa sukeltamme syvemmälle lokitiedostoihin, analysoimme näiden SSL-virheiden mahdollisia syitä ja tarjoamme vaiheittaisia ​​ratkaisuja varmistaaksemme sujuvan SSL-määrityksen SOLR- ja Zookeeper-asetuksissa.

Analysoidaan SSL-määrityksiä ja komentosarjoja SOLR:lle ja Zookeeperille

Ensimmäinen komentosarja automatisoi SOLR:n ja Zookeeperin uudelleenkäynnistyksen varmistaen samalla, että SSL-määritykset käytetään oikein. Se käyttää Bash-komentosarjaa Zookeeper-esiintymien läpikäymiseen ja käynnistämiseen uudelleen päivitetyillä SSL-asetuksilla. Tämän komentosarjan merkitys on useiden Zookeeper-solmujen hallinnassa, koska SSL-määrityksiä on sovellettava yhtenäisesti koko klusterissa. "zkServer.sh restart" -komennolla varmistetaan, että jokainen Zookeeper-solmu käynnistetään uudelleen oikein vastaavan määritystiedoston kanssa, mikä tekee komentosarjasta tehokkaan klusterin hallinnassa usean solmun asetuksissa.

Komentosarja käsittelee myös SOLR-ilmentymän uudelleenkäynnistystä käyttämällä "solr restart". SOLR luottaa Jettyyn HTTPS-pyyntöjen käsittelyssä, ja komentosarja varmistaa, että SSL:ään liittyvät asetukset, kuten avainsäilö ja luotettavuussäilön polut, ladataan oikein. Tämä estää mahdolliset SSL-kättelyhäiriöt käytettäessä SOLR Admin UI:ta, jotka voivat johtua vanhentuneista tai väärin määritetyistä SSL-varmenteista. Automatisoimalla nämä tehtävät komentosarja minimoi manuaaliset virheet, varsinkin kun hallitaan SSL-varmenteita useissa saman palvelimen palveluissa.

Toista komentosarjaa käytetään luomaan ja hallitsemaan Java KeyStores for SSL:ää sekä SOLR:ssä että Zookeeperissa. Javan Keytool-apuohjelmaa käytetään avainparien luomiseen ja sertifikaattien tuomiseen avainsäilöön. Komento "keytool -genkeypair" luo tarvittavat SSL-sertifikaatit, kun taas "keytool -import" -komentoa käytetään luotettujen juuri- ja välisertifikaattien lisäämiseen. Nämä sertifikaatit varmistavat, että solmujen välinen SSL-viestintä on luotettavaa ja turvallista. Tämä komentosarja on ratkaisevan tärkeä SSL-sertifikaattien oikein määrittämisessä ja hallinnassa, sillä niillä on keskeinen rooli turvatun viestinnän mahdollistamisessa palveluiden välillä.

Lopuksi toimitettu Python-skripti toimii lokinvalvontatyökaluna, joka on erityisesti suunniteltu havaitsemaan SSL-kättelyvirheet. Lukemalla SSL-lokeja jatkuvasti reaaliajassa tämä skripti voi tunnistaa SSL:ään liittyvät ongelmat, kuten "SSL-kättely epäonnistui". Tämän tasoinen kirjaaminen on välttämätöntä ongelmien diagnosoimiseksi monimutkaisissa ympäristöissä, joissa palvelut, kuten Zookeeper ja SOLR, kommunikoivat salattujen kanavien kautta. Reaaliaikainen seuranta auttaa tunnistamaan nopeasti SSL-virheiden perimmäiset syyt, jotka voivat johtua sertifikaattien yhteensopimattomuudesta, virheellisestä määrityksestä tai vanhentuneista varmenteista. Tämä vianetsintätyökalu on erityisen arvokas ympäristöissä, joissa on useita solmuja ja SSL-monimutkaisuus.

#!/bin/bash
# Script to automate SOLR and Zookeeper restart with SSL configuration
# Paths to configuration files
ZOOKEEPER_DIR="/opt/zookeeper"
SOLR_DIR="/opt/solr"
SSL_KEYSTORE="/opt/solr-9.6.1/server/etc/solr-ssl.jks"
ZOOKEEPER_CONFIG="$ZOOKEEPER_DIR/conf/zoo.cfg"
SOLR_CONFIG="$SOLR_DIR/server/etc/jetty-ssl.xml"

# Restart Zookeeper with SSL configuration
echo "Restarting Zookeeper..."
for i in {1..3}; do
    /bin/bash $ZOOKEEPER_DIR/bin/zkServer.sh restart $ZOOKEEPER_DIR/data/z$i/zoo.cfg
done

# Restart SOLR with SSL configuration
echo "Restarting SOLR..."
/bin/bash $SOLR_DIR/bin/solr restart -c -p 8983 -z localhost:2181,localhost:2182,localhost:2183 -m 5g -force

#!/bin/bash
# Generate a keystore with a self-signed certificate
keytool -genkeypair -alias solr -keyalg RSA -keystore /opt/solr-9.6.1/server/etc/solr-ssl.jks

# Import intermediate and root certificates
keytool -import -trustcacerts -alias root -file /path/to/rootCA.pem -keystore /opt/solr-9.6.1/server/etc/solr-ssl.jks
keytool -import -trustcacerts -alias intermediate -file /path/to/intermediateCA.pem -keystore /opt/solr-9.6.1/server/etc/solr-ssl.jks

# Configure Zookeeper SSL settings
echo "ssl.client.enable=true" >> $ZOOKEEPER_DIR/conf/zoo.cfg
echo "ssl.quorum.keyStore.location=/opt/solr-9.6.1/server/etc/solr-ssl.jks" >> $ZOOKEEPER_DIR/conf/zoo.cfg
echo "ssl.quorum.trustStore.location=/opt/solr-9.6.1/server/etc/solr-ssl.jks" >> $ZOOKEEPER_DIR/conf/zoo.cfg

import subprocess
import time

def monitor_ssl_logs(log_file):
    with open(log_file, 'r') as f:
        f.seek(0, 2)  # Move to the end of file
        while True:
            line = f.readline()
            if not line:
                time.sleep(0.1)
                continue
            if "SSL handshake failed" in line:
                print(f"Error: {line.strip()}")

# Start monitoring Zookeeper SSL logs
monitor_ssl_logs("/opt/zookeeper/logs/zookeeper.log")

SSL-kättelyn ja konfiguroinnin monimutkaisuudet SOLR:ssä ja Zookeeperissa

Yksi kriittinen näkökohta, joka on otettava huomioon, kun SSL otetaan käyttöön SOLR:ssä ja Zookeeperissa, on se, miten SSL-kättely prosessi toimii. Kättelyyn kuuluu varmenteiden vaihto asiakkaan ja palvelimen välillä, mikä varmistaa luottamuksen ennen salatun tiedonsiirron alkamista. Ongelmia ilmenee usein, jos varmenteita ei ole asetettu oikein sekä SOLR- että Zookeeper-kokoonpanoissa. Esimerkiksi yhteensopimattomat varmenneketjut tai avainsäilön salasanat voivat estää järjestelmää käynnistämästä SSL-yhteyttä. SOLR luottaa Jettyyn SSL-viestinnän hallinnassa, joten on tärkeää varmistaa, että Jetty-kokoonpano on synkronoitu avainsäilön asetusten kanssa.

Toinen yleinen haaste on SSL:n määrittäminen useille solmuille, erityisesti Zookeeper-koorumissa. Useita Zookeeper-solmuja käytettäessä SSL-määrityksen on oltava johdonmukainen kaikissa palvelimissa, jotta asiakas-palvelin- ja palvelin-palvelin-kommunikaatio on turvallista. Jokaisella solmulla on oltava sama avainsäilö ja luotettavuussäilön asetukset sekä identtiset SSL-protokollat, kuten TLSv1.2. Nämä määritykset löytyvät `zoo.cfg`-tiedostosta. Mikä tahansa solmujen välinen ristiriita voi johtaa ongelmiin, kuten "putken rikki" tai "pistoke on kiinni" -virheisiin, kuten ongelmaskenaariossa näkyy.

On myös tärkeää pohtia, kuinka Zookeeper käsittelee koorumiviestintää SSL:n ollessa käytössä. Asettamalla `ssl.quorum.enabledProtocols' varmistat, että Zookeeper-solmujen välinen suojattu tiedonsiirto tapahtuu luotettavan protokollan, kuten TLS:n, kautta. Lisäksi `ssl.quorum.hostnameVerification=false` voi olla tarpeen, jos Zookeeper-solmuihin viitataan IP:llä isäntänimien sijaan, koska isäntänimien yhteensopimattomuus voi keskeyttää SSL-kättelyn. Näiden asetusten hienosäätö voi parantaa merkittävästi suojattua viestintää hajautetun asennuksen välillä.