Ubuntu 24.04.1 के SOLR 9.6.1 और Zookeeper 3.8.1 में SSL कॉन्फ़िगरेशन समस्याओं को ठीक करना

ज़ूकीपर एकीकरण के साथ एसओएलआर के लिए एसएसएल को सक्षम करने में चुनौतियाँ

एसओएलआर-ज़ूकीपर सेटअप में एसएसएल को सक्षम करना मुश्किल हो सकता है, खासकर जब उबंटू 24.04.1 सर्वर के साथ काम कर रहा हो। यह कॉन्फ़िगरेशन प्रक्रिया नोड्स के बीच सुरक्षित संचार सुनिश्चित करती है, लेकिन एक छोटी सी गलत कॉन्फ़िगरेशन भी SOLR एडमिन यूआई जैसी सेवाओं को ठीक से काम करने से रोक सकती है। यदि आपने हाल ही में एसएसएल सक्षम करने का प्रयास किया है और समस्याओं का सामना किया है, तो आप अकेले नहीं हैं।

इस लेख में, हम स्थानीय उबंटू सर्वर पर ज़ूकीपर 3.8.1 के साथ एकीकृत होने पर एसओएलआर 9.6.1 में एसएसएल सक्रियण के दौरान आने वाली एक आम समस्या के बारे में जानेंगे। विचाराधीन सेटअप में एक ही सर्वर पर एक ही शार्ड, एकाधिक प्रतिकृतियां और बुनियादी प्रमाणीकरण के साथ एसओएलआर और ज़ूकीपर चलाना शामिल है। एसएसएल सेटिंग्स को अपडेट करने के बाद होने वाली त्रुटियों को हल करने पर ध्यान केंद्रित किया जाएगा।

एसएसएल गलत कॉन्फ़िगरेशन के परिणामस्वरूप अक्सर लॉग फ़ाइलों में "एडमिन यूआई लॉन्च नहीं हो रहा है" या "टूटा पाइप" संदेश जैसी त्रुटियां होती हैं, जिनका समस्या निवारण करना चुनौतीपूर्ण हो सकता है। ये त्रुटियाँ आम तौर पर एसओएलआर या ज़ूकीपर नोड्स के भीतर प्रमाणपत्र समस्याओं या एसएसएल कनेक्शन विफलताओं से उत्पन्न होती हैं, जिससे सेवाओं के बीच संचार टूट जाता है।

निम्नलिखित अनुभागों में, हम लॉग फ़ाइलों में गहराई से उतरेंगे, इन एसएसएल-संबंधित त्रुटियों के संभावित कारणों का विश्लेषण करेंगे, और आपके एसओएलआर और ज़ूकीपर सेटअप के लिए एक सुचारू एसएसएल कॉन्फ़िगरेशन सुनिश्चित करने के लिए चरण-दर-चरण समाधान प्रदान करेंगे।

एसओएलआर और ज़ूकीपर के लिए एसएसएल कॉन्फ़िगरेशन और स्क्रिप्टिंग का विश्लेषण

पहली स्क्रिप्ट एसएसएल कॉन्फ़िगरेशन ठीक से लागू होने को सुनिश्चित करते हुए एसओएलआर और ज़ूकीपर को पुनरारंभ करने की प्रक्रिया को स्वचालित करती है। यह ज़ूकीपर इंस्टेंसेस के माध्यम से लूप करने और अद्यतन एसएसएल सेटिंग्स के साथ उन्हें पुनः आरंभ करने के लिए बैश स्क्रिप्टिंग का उपयोग करता है। इस स्क्रिप्ट का महत्व कई ज़ूकीपर नोड्स को प्रबंधित करने में निहित है, क्योंकि एसएसएल कॉन्फ़िगरेशन को पूरे क्लस्टर में समान रूप से लागू किया जाना चाहिए। `zkServer.sh restart` का उपयोग यह सुनिश्चित करता है कि प्रत्येक ज़ूकीपर नोड को उसकी संबंधित कॉन्फ़िगरेशन फ़ाइल के साथ सही ढंग से पुनरारंभ किया गया है, जिससे मल्टी-नोड सेटअप में क्लस्टर प्रबंधन के लिए स्क्रिप्ट कुशल हो जाती है।

स्क्रिप्ट `solr restart` का उपयोग करके SOLR इंस्टेंस के पुनरारंभ को भी संबोधित करती है। एसओएलआर HTTPS अनुरोधों को संभालने के लिए जेट्टी पर निर्भर करता है, और स्क्रिप्ट यह सुनिश्चित करती है कि एसएसएल-संबंधित सेटिंग्स जैसे कि कीस्टोर और ट्रस्टस्टोर पथ सही ढंग से पुनः लोड किए गए हैं। यह एसओएलआर एडमिन यूआई तक पहुंचने पर संभावित एसएसएल हैंडशेक विफलताओं को रोकता है, जो पुराने या गलत कॉन्फ़िगर किए गए एसएसएल प्रमाणपत्रों से उत्पन्न हो सकता है। इन कार्यों को स्वचालित करके, स्क्रिप्ट मैन्युअल त्रुटियों को कम करती है, खासकर जब एक ही सर्वर पर कई सेवाओं में एसएसएल प्रमाणपत्र प्रबंधित करते हैं।

दूसरी स्क्रिप्ट का उपयोग एसओएलआर और ज़ूकीपर दोनों में एसएसएल के लिए जावा कीस्टोर्स बनाने और प्रबंधित करने के लिए किया जाता है। जावा की कीटूल उपयोगिता का उपयोग कुंजी जोड़े बनाने और कीस्टोर में प्रमाणपत्र आयात करने के लिए किया जाता है। कमांड `keytool -genkeypair` आवश्यक SSL प्रमाणपत्र उत्पन्न करता है, जबकि `keytool -import` का उपयोग विश्वसनीय रूट और मध्यवर्ती प्रमाणपत्र जोड़ने के लिए किया जाता है। ये प्रमाणपत्र सुनिश्चित करते हैं कि नोड्स के बीच एसएसएल संचार विश्वसनीय और सुरक्षित है। यह स्क्रिप्ट एसएसएल प्रमाणपत्रों को सही ढंग से स्थापित करने और प्रबंधित करने के लिए महत्वपूर्ण है, जो सेवाओं के बीच सुरक्षित संचार को सक्षम करने में केंद्रीय भूमिका निभाते हैं।

अंत में, प्रदान की गई पायथन स्क्रिप्ट एक लॉग मॉनिटरिंग टूल के रूप में कार्य करती है जिसे विशेष रूप से एसएसएल हैंडशेक त्रुटियों का पता लगाने के लिए डिज़ाइन किया गया है। वास्तविक समय में एसएसएल लॉग को लगातार पढ़कर, यह स्क्रिप्ट एसएसएल से संबंधित मुद्दों जैसे `एसएसएल हैंडशेक विफल` की पहचान कर सकती है। लॉगिंग का यह स्तर जटिल वातावरण में समस्याओं के निदान के लिए आवश्यक है जहां ज़ूकीपर और एसओएलआर जैसी सेवाएं एन्क्रिप्टेड चैनलों पर संचार करती हैं। वास्तविक समय की निगरानी एसएसएल विफलताओं के मूल कारण को तुरंत पहचानने में मदद करती है, जो प्रमाणपत्र बेमेल, गलत कॉन्फ़िगरेशन, या समाप्त हो चुके प्रमाणपत्रों से उत्पन्न हो सकती है। यह समस्या निवारण उपकरण एकाधिक नोड्स और एसएसएल जटिलताओं वाले वातावरण में विशेष रूप से मूल्यवान है।

#!/bin/bash
# Script to automate SOLR and Zookeeper restart with SSL configuration
# Paths to configuration files
ZOOKEEPER_DIR="/opt/zookeeper"
SOLR_DIR="/opt/solr"
SSL_KEYSTORE="/opt/solr-9.6.1/server/etc/solr-ssl.jks"
ZOOKEEPER_CONFIG="$ZOOKEEPER_DIR/conf/zoo.cfg"
SOLR_CONFIG="$SOLR_DIR/server/etc/jetty-ssl.xml"

# Restart Zookeeper with SSL configuration
echo "Restarting Zookeeper..."
for i in {1..3}; do
    /bin/bash $ZOOKEEPER_DIR/bin/zkServer.sh restart $ZOOKEEPER_DIR/data/z$i/zoo.cfg
done

# Restart SOLR with SSL configuration
echo "Restarting SOLR..."
/bin/bash $SOLR_DIR/bin/solr restart -c -p 8983 -z localhost:2181,localhost:2182,localhost:2183 -m 5g -force

#!/bin/bash
# Generate a keystore with a self-signed certificate
keytool -genkeypair -alias solr -keyalg RSA -keystore /opt/solr-9.6.1/server/etc/solr-ssl.jks

# Import intermediate and root certificates
keytool -import -trustcacerts -alias root -file /path/to/rootCA.pem -keystore /opt/solr-9.6.1/server/etc/solr-ssl.jks
keytool -import -trustcacerts -alias intermediate -file /path/to/intermediateCA.pem -keystore /opt/solr-9.6.1/server/etc/solr-ssl.jks

# Configure Zookeeper SSL settings
echo "ssl.client.enable=true" >> $ZOOKEEPER_DIR/conf/zoo.cfg
echo "ssl.quorum.keyStore.location=/opt/solr-9.6.1/server/etc/solr-ssl.jks" >> $ZOOKEEPER_DIR/conf/zoo.cfg
echo "ssl.quorum.trustStore.location=/opt/solr-9.6.1/server/etc/solr-ssl.jks" >> $ZOOKEEPER_DIR/conf/zoo.cfg

import subprocess
import time

def monitor_ssl_logs(log_file):
    with open(log_file, 'r') as f:
        f.seek(0, 2)  # Move to the end of file
        while True:
            line = f.readline()
            if not line:
                time.sleep(0.1)
                continue
            if "SSL handshake failed" in line:
                print(f"Error: {line.strip()}")

# Start monitoring Zookeeper SSL logs
monitor_ssl_logs("/opt/zookeeper/logs/zookeeper.log")

एसओएलआर और ज़ूकीपर में एसएसएल हैंडशेक और कॉन्फ़िगरेशन जटिलताएँ

एसओएलआर और ज़ूकीपर में एसएसएल को सक्षम करते समय ध्यान देने योग्य एक महत्वपूर्ण पहलू यह है कि कैसे एसएसएल हैंडशेक प्रक्रिया कार्य करती है. हैंडशेक में क्लाइंट और सर्वर के बीच प्रमाणपत्रों का आदान-प्रदान शामिल होता है, एन्क्रिप्टेड डेटा ट्रांसमिशन शुरू होने से पहले विश्वास की पुष्टि की जाती है। यदि SOLR और Zookeeper कॉन्फ़िगरेशन दोनों में प्रमाणपत्र सही ढंग से सेट नहीं किए गए हैं तो अक्सर समस्याएँ उत्पन्न होती हैं। उदाहरण के लिए, बेमेल प्रमाणपत्र श्रृंखला या कीस्टोर पासवर्ड सिस्टम को एसएसएल कनेक्शन को सफलतापूर्वक शुरू करने से रोक सकते हैं। एसओएलआर एसएसएल संचार के प्रबंधन के लिए जेट्टी पर निर्भर करता है, जिससे यह सुनिश्चित करना महत्वपूर्ण हो जाता है कि जेट्टी कॉन्फ़िगरेशन आपकी कीस्टोर सेटिंग्स के साथ समन्वयित है।

एक और आम चुनौती कई नोड्स में एसएसएल स्थापित करना है, खासकर ज़ूकीपर कोरम में। एकाधिक ज़ूकीपर नोड्स के साथ, सुरक्षित क्लाइंट-टू-सर्वर और सर्वर-टू-सर्वर संचार को सक्षम करने के लिए एसएसएल कॉन्फ़िगरेशन को सभी सर्वरों में सुसंगत होना चाहिए। प्रत्येक नोड में समान कीस्टोर और ट्रस्टस्टोर सेटअप, साथ ही समान एसएसएल प्रोटोकॉल जैसे होना चाहिए टीएलएसवी1.2. ये कॉन्फ़िगरेशन `zoo.cfg` फ़ाइल में पाए जाते हैं। नोड्स के बीच कोई भी विसंगति "टूटी हुई पाइप" या "सॉकेट बंद है" त्रुटियों जैसी समस्याओं को जन्म दे सकती है, जैसा कि समस्या परिदृश्य में देखा गया है।

यह विचार करना भी आवश्यक है कि ज़ूकीपर एसएसएल सक्षम होने पर कोरम संचार को कैसे संभालता है। `ssl.quorum.enabledProtocols` सेट करके, आप सुनिश्चित करते हैं कि ज़ूकीपर नोड्स के बीच सुरक्षित संचार टीएलएस जैसे विश्वसनीय प्रोटोकॉल पर होता है। इसके अतिरिक्त, `ssl.quorum.hostnameVerification=false` रखना उन मामलों में आवश्यक हो सकता है जहां ज़ूकीपर नोड्स को होस्टनाम के बजाय आईपी द्वारा संदर्भित किया जाता है, क्योंकि होस्टनाम बेमेल एसएसएल हैंडशेक को बाधित कर सकता है। इन सेटिंग्स को ठीक करने से आपके वितरित सेटअप में सुरक्षित संचार में उल्लेखनीय सुधार हो सकता है।