Memperbaiki Masalah Konfigurasi SSL di SOLR 9.6.1 dan Zookeeper 3.8.1 Ubuntu 24.04.1

Tantangan dalam Mengaktifkan SSL untuk SOLR dengan Integrasi Zookeeper

Mengaktifkan SSL dalam pengaturan SOLR-Zookeeper bisa jadi rumit, terutama saat bekerja dengan server Ubuntu 24.04.1. Proses konfigurasi ini memastikan komunikasi yang aman antar node, namun kesalahan konfigurasi kecil sekalipun dapat mencegah layanan seperti SOLR Admin UI berfungsi dengan baik. Jika Anda baru saja mencoba mengaktifkan SSL dan mengalami masalah, Anda tidak sendirian.

Pada artikel ini, kita akan membahas masalah umum yang dihadapi selama aktivasi SSL di SOLR 9.6.1 ketika terintegrasi dengan Zookeeper 3.8.1 di server lokal Ubuntu. Penyiapan yang dimaksud melibatkan menjalankan SOLR dan Zookeeper di server yang sama dengan satu pecahan, banyak replika, dan autentikasi dasar. Fokusnya adalah menyelesaikan kesalahan yang terjadi setelah memperbarui pengaturan SSL.

Kesalahan konfigurasi SSL sering kali mengakibatkan kesalahan seperti pesan "UI Admin tidak diluncurkan" atau "Pipa rusak" di file log, yang mungkin sulit dipecahkan. Kesalahan ini biasanya muncul dari masalah sertifikat atau kegagalan koneksi SSL dalam node SOLR atau Zookeeper, yang menyebabkan terputusnya komunikasi antar layanan.

Pada bagian berikut, kami akan mendalami file log lebih dalam, menganalisis potensi penyebab kesalahan terkait SSL, dan menawarkan solusi langkah demi langkah untuk memastikan konfigurasi SSL lancar untuk pengaturan SOLR dan Zookeeper Anda.

Menganalisis Konfigurasi dan Skrip SSL untuk SOLR dan Zookeeper

Skrip pertama mengotomatiskan proses memulai ulang SOLR dan Zookeeper sambil memastikan konfigurasi SSL diterapkan dengan benar. Ia menggunakan skrip Bash untuk mengulang instance Zookeeper dan memulai ulang dengan pengaturan SSL yang diperbarui. Pentingnya skrip ini terletak pada pengelolaan beberapa node Zookeeper, karena konfigurasi SSL harus diterapkan secara seragam di seluruh cluster. Penggunaan `zkServer.sh restart` memastikan bahwa setiap node Zookeeper di-restart dengan benar dengan file konfigurasinya masing-masing, menjadikan skrip efisien untuk manajemen cluster dalam pengaturan multi-node.

Skrip ini juga menangani restart instance SOLR menggunakan `solr restart`. SOLR mengandalkan Jetty untuk menangani permintaan HTTPS, dan skrip memastikan bahwa pengaturan terkait SSL seperti jalur keystore dan truststore dimuat ulang dengan benar. Hal ini mencegah potensi kegagalan jabat tangan SSL saat mengakses UI Admin SOLR, yang mungkin timbul dari sertifikat SSL yang kedaluwarsa atau salah dikonfigurasi. Dengan mengotomatiskan tugas-tugas ini, skrip meminimalkan kesalahan manual, terutama saat mengelola sertifikat SSL di beberapa layanan di server yang sama.

Skrip kedua digunakan untuk membuat dan mengelola Java KeyStore untuk SSL di SOLR dan Zookeeper. Utilitas Keytool Java digunakan untuk menghasilkan pasangan kunci dan mengimpor sertifikat ke keystore. Perintah `keytool -genkeypair` menghasilkan sertifikat SSL yang diperlukan, sedangkan `keytool -import` digunakan untuk menambahkan sertifikat root dan perantara tepercaya. Sertifikat ini memastikan bahwa komunikasi SSL antar node tepercaya dan aman. Skrip ini sangat penting untuk menyiapkan dan mengelola sertifikat SSL dengan benar, yang memainkan peran penting dalam memungkinkan komunikasi yang aman antar layanan.

Terakhir, skrip Python yang disediakan bertindak sebagai alat pemantauan log yang dirancang khusus untuk mendeteksi kesalahan jabat tangan SSL. Dengan terus membaca log SSL secara real time, skrip ini dapat mengidentifikasi masalah terkait SSL seperti `SSL handshake failed`. Tingkat pencatatan ini penting untuk mendiagnosis masalah di lingkungan kompleks tempat layanan seperti Zookeeper dan SOLR berkomunikasi melalui saluran terenkripsi. Pemantauan real-time membantu mengidentifikasi dengan cepat penyebab utama kegagalan SSL, yang mungkin berasal dari ketidakcocokan sertifikat, konfigurasi yang salah, atau sertifikat yang kedaluwarsa. Alat pemecahan masalah ini sangat berguna dalam lingkungan dengan banyak node dan kompleksitas SSL.

#!/bin/bash
# Script to automate SOLR and Zookeeper restart with SSL configuration
# Paths to configuration files
ZOOKEEPER_DIR="/opt/zookeeper"
SOLR_DIR="/opt/solr"
SSL_KEYSTORE="/opt/solr-9.6.1/server/etc/solr-ssl.jks"
ZOOKEEPER_CONFIG="$ZOOKEEPER_DIR/conf/zoo.cfg"
SOLR_CONFIG="$SOLR_DIR/server/etc/jetty-ssl.xml"

# Restart Zookeeper with SSL configuration
echo "Restarting Zookeeper..."
for i in {1..3}; do
    /bin/bash $ZOOKEEPER_DIR/bin/zkServer.sh restart $ZOOKEEPER_DIR/data/z$i/zoo.cfg
done

# Restart SOLR with SSL configuration
echo "Restarting SOLR..."
/bin/bash $SOLR_DIR/bin/solr restart -c -p 8983 -z localhost:2181,localhost:2182,localhost:2183 -m 5g -force

#!/bin/bash
# Generate a keystore with a self-signed certificate
keytool -genkeypair -alias solr -keyalg RSA -keystore /opt/solr-9.6.1/server/etc/solr-ssl.jks

# Import intermediate and root certificates
keytool -import -trustcacerts -alias root -file /path/to/rootCA.pem -keystore /opt/solr-9.6.1/server/etc/solr-ssl.jks
keytool -import -trustcacerts -alias intermediate -file /path/to/intermediateCA.pem -keystore /opt/solr-9.6.1/server/etc/solr-ssl.jks

# Configure Zookeeper SSL settings
echo "ssl.client.enable=true" >> $ZOOKEEPER_DIR/conf/zoo.cfg
echo "ssl.quorum.keyStore.location=/opt/solr-9.6.1/server/etc/solr-ssl.jks" >> $ZOOKEEPER_DIR/conf/zoo.cfg
echo "ssl.quorum.trustStore.location=/opt/solr-9.6.1/server/etc/solr-ssl.jks" >> $ZOOKEEPER_DIR/conf/zoo.cfg

import subprocess
import time

def monitor_ssl_logs(log_file):
    with open(log_file, 'r') as f:
        f.seek(0, 2)  # Move to the end of file
        while True:
            line = f.readline()
            if not line:
                time.sleep(0.1)
                continue
            if "SSL handshake failed" in line:
                print(f"Error: {line.strip()}")

# Start monitoring Zookeeper SSL logs
monitor_ssl_logs("/opt/zookeeper/logs/zookeeper.log")

Kompleksitas Jabat Tangan dan Konfigurasi SSL di SOLR dan Zookeeper

Salah satu aspek penting yang harus diatasi ketika mengaktifkan SSL di SOLR dan Zookeeper adalah bagaimana jabat tangan SSL proses bekerja. Jabat tangan melibatkan pertukaran sertifikat antara klien dan server, memverifikasi kepercayaan sebelum transmisi data terenkripsi dimulai. Masalah sering muncul jika sertifikat tidak disetel dengan benar di konfigurasi SOLR dan Zookeeper. Misalnya, rantai sertifikat atau kata sandi keystore yang tidak cocok dapat mencegah sistem berhasil memulai koneksi SSL. SOLR mengandalkan Jetty untuk mengelola komunikasi SSL, sehingga penting untuk memastikan bahwa konfigurasi Jetty sinkron dengan pengaturan keystore Anda.

Tantangan umum lainnya adalah menyiapkan SSL di beberapa node, terutama di kuorum Zookeeper. Dengan beberapa node Zookeeper, konfigurasi SSL harus konsisten di semua server untuk memungkinkan komunikasi klien-ke-server dan server-ke-server yang aman. Setiap node harus memiliki pengaturan keystore dan truststore yang sama, serta protokol SSL yang identik seperti TLSv1.2. Konfigurasi ini ditemukan di file `zoo.cfg`. Setiap perbedaan antara node dapat menyebabkan masalah seperti kesalahan "pipa rusak" atau "soket tertutup", seperti yang terlihat dalam skenario masalah.

Penting juga untuk mempertimbangkan bagaimana Zookeeper menangani komunikasi kuorum dengan SSL diaktifkan. Dengan menyetel `ssl.quorum.enabledProtocols`, Anda memastikan bahwa komunikasi aman antara node Zookeeper terjadi melalui protokol tepercaya seperti TLS. Selain itu, menjaga `ssl.quorum.hostnameVerification=false` mungkin diperlukan jika node Zookeeper dirujuk berdasarkan IP dan bukan nama host, karena ketidakcocokan nama host dapat mengganggu jabat tangan SSL. Menyempurnakan pengaturan ini dapat meningkatkan komunikasi aman secara signifikan di seluruh pengaturan terdistribusi Anda.