Risolvere i problemi di configurazione SSL in SOLR 9.6.1 e Zookeeper 3.8.1 di Ubuntu 24.04.1

Sfide nell'abilitazione di SSL per SOLR con l'integrazione di Zookeeper

Abilitare SSL in una configurazione SOLR-Zookeeper può essere complicato, soprattutto quando si lavora con server Ubuntu 24.04.1. Questo processo di configurazione garantisce una comunicazione sicura tra i nodi, ma anche un piccolo errore di configurazione può impedire il corretto funzionamento di servizi come l'interfaccia utente di amministrazione SOLR. Se di recente hai provato ad abilitare SSL e hai riscontrato problemi, non sei il solo.

In questo articolo, esamineremo un problema comune riscontrato durante l'attivazione SSL in SOLR 9.6.1 quando integrato con Zookeeper 3.8.1 su un server Ubuntu locale. La configurazione in questione prevede l'esecuzione di SOLR e Zookeeper sullo stesso server con un singolo frammento, più repliche e autenticazione di base. L'attenzione sarà focalizzata sulla risoluzione degli errori che si verificano dopo l'aggiornamento delle impostazioni SSL.

Le configurazioni errate di SSL spesso causano errori come "L'interfaccia utente di amministrazione non si avvia" o i messaggi "Pipe rotta" nei file di registro, che possono essere difficili da risolvere. Questi errori in genere derivano da problemi di certificato o errori di connessione SSL all'interno dei nodi SOLR o Zookeeper, con conseguente interruzione della comunicazione tra i servizi.

Nelle sezioni seguenti, approfondiremo i file di registro, analizzeremo le potenziali cause di questi errori relativi a SSL e offriremo soluzioni passo passo per garantire una configurazione SSL fluida per la configurazione SOLR e Zookeeper.

Analisi della configurazione SSL e degli script per SOLR e Zookeeper

Il primo script automatizza il processo di riavvio di SOLR e Zookeeper garantendo al contempo la corretta applicazione delle configurazioni SSL. Utilizza lo scripting Bash per scorrere le istanze di Zookeeper e riavviarle con le impostazioni SSL aggiornate. L'importanza di questo script risiede nella gestione di più nodi Zookeeper, poiché le configurazioni SSL devono essere applicate in modo uniforme nell'intero cluster. L'uso di "zkServer.sh restart" garantisce che ciascun nodo Zookeeper venga riavviato correttamente con il rispettivo file di configurazione, rendendo lo script efficiente per la gestione del cluster in una configurazione multi-nodo.

Lo script risolve anche il riavvio dell'istanza SOLR utilizzando "solr restart". SOLR si affida a Jetty per la gestione delle richieste HTTPS e lo script garantisce che le impostazioni relative a SSL come il keystore e i percorsi truststore vengano ricaricate correttamente. Ciò previene potenziali errori di handshake SSL quando si accede all'interfaccia utente di amministrazione di SOLR, che possono derivare da certificati SSL obsoleti o configurati in modo errato. Automatizzando queste attività, lo script riduce al minimo gli errori manuali, soprattutto quando si gestiscono certificati SSL su più servizi sullo stesso server.

Il secondo script viene utilizzato per creare e gestire Java KeyStore per SSL sia in SOLR che in Zookeeper. L'utilità Keytool di Java viene utilizzata per generare coppie di chiavi e importare certificati nel keystore. Il comando "keytool -genkeypair" genera i certificati SSL necessari, mentre "keytool -import" viene utilizzato per aggiungere certificati root e intermedi attendibili. Questi certificati garantiscono che la comunicazione SSL tra i nodi sia affidabile e sicura. Questo script è fondamentale per impostare e gestire correttamente i certificati SSL, che svolgono un ruolo centrale nel consentire una comunicazione sicura tra i servizi.

Infine, lo script Python fornito funge da strumento di monitoraggio dei log appositamente progettato per rilevare errori di handshake SSL. Leggendo continuamente i log SSL in tempo reale, questo script può identificare problemi relativi a SSL come "Handshake SSL non riuscito". Questo livello di registrazione è essenziale per diagnosticare problemi in ambienti complessi in cui servizi come Zookeeper e SOLR comunicano su canali crittografati. Il monitoraggio in tempo reale aiuta a identificare rapidamente la causa principale degli errori SSL, che potrebbero derivare da mancate corrispondenze di certificati, configurazione errata o certificati scaduti. Questo strumento di risoluzione dei problemi è particolarmente utile in ambienti con più nodi e complessità SSL.

#!/bin/bash
# Script to automate SOLR and Zookeeper restart with SSL configuration
# Paths to configuration files
ZOOKEEPER_DIR="/opt/zookeeper"
SOLR_DIR="/opt/solr"
SSL_KEYSTORE="/opt/solr-9.6.1/server/etc/solr-ssl.jks"
ZOOKEEPER_CONFIG="$ZOOKEEPER_DIR/conf/zoo.cfg"
SOLR_CONFIG="$SOLR_DIR/server/etc/jetty-ssl.xml"

# Restart Zookeeper with SSL configuration
echo "Restarting Zookeeper..."
for i in {1..3}; do
    /bin/bash $ZOOKEEPER_DIR/bin/zkServer.sh restart $ZOOKEEPER_DIR/data/z$i/zoo.cfg
done

# Restart SOLR with SSL configuration
echo "Restarting SOLR..."
/bin/bash $SOLR_DIR/bin/solr restart -c -p 8983 -z localhost:2181,localhost:2182,localhost:2183 -m 5g -force

#!/bin/bash
# Generate a keystore with a self-signed certificate
keytool -genkeypair -alias solr -keyalg RSA -keystore /opt/solr-9.6.1/server/etc/solr-ssl.jks

# Import intermediate and root certificates
keytool -import -trustcacerts -alias root -file /path/to/rootCA.pem -keystore /opt/solr-9.6.1/server/etc/solr-ssl.jks
keytool -import -trustcacerts -alias intermediate -file /path/to/intermediateCA.pem -keystore /opt/solr-9.6.1/server/etc/solr-ssl.jks

# Configure Zookeeper SSL settings
echo "ssl.client.enable=true" >> $ZOOKEEPER_DIR/conf/zoo.cfg
echo "ssl.quorum.keyStore.location=/opt/solr-9.6.1/server/etc/solr-ssl.jks" >> $ZOOKEEPER_DIR/conf/zoo.cfg
echo "ssl.quorum.trustStore.location=/opt/solr-9.6.1/server/etc/solr-ssl.jks" >> $ZOOKEEPER_DIR/conf/zoo.cfg

import subprocess
import time

def monitor_ssl_logs(log_file):
    with open(log_file, 'r') as f:
        f.seek(0, 2)  # Move to the end of file
        while True:
            line = f.readline()
            if not line:
                time.sleep(0.1)
                continue
            if "SSL handshake failed" in line:
                print(f"Error: {line.strip()}")

# Start monitoring Zookeeper SSL logs
monitor_ssl_logs("/opt/zookeeper/logs/zookeeper.log")

Handshake SSL e complessità di configurazione in SOLR e Zookeeper

Un aspetto critico da affrontare quando si abilita SSL in SOLR e Zookeeper è il modo in cui Stretta di mano SSL il processo funziona. L'handshake prevede lo scambio di certificati tra client e server, verificando la fiducia prima che inizi la trasmissione dei dati crittografati. Spesso sorgono problemi se i certificati non sono impostati correttamente in entrambe le configurazioni SOLR e Zookeeper. Ad esempio, catene di certificati o password dell'archivio chiavi non corrispondenti possono impedire al sistema di avviare correttamente una connessione SSL. SOLR si affida a Jetty per la gestione delle comunicazioni SSL, pertanto è importante garantire che la configurazione di Jetty sia sincronizzata con le impostazioni dell'archivio chiavi.

Un'altra sfida comune è la configurazione di SSL su più nodi, soprattutto in un quorum di Zookeeper. Con più nodi Zookeeper, la configurazione SSL deve essere coerente su tutti i server per consentire comunicazioni sicure da client a server e da server a server. Ogni nodo deve avere la stessa configurazione del keystore e del truststore, nonché protocolli SSL identici come TLSv1.2. Queste configurazioni si trovano nel file `zoo.cfg`. Qualsiasi discrepanza tra i nodi può portare a problemi come errori "tubo rotto" o "socket chiuso", come testimoniato nello scenario problematico.

È inoltre essenziale considerare il modo in cui Zookeeper gestisce le comunicazioni del quorum con SSL abilitato. Impostando `ssl.quorum.enabledProtocols`, ti assicuri che la comunicazione sicura tra i nodi Zookeeper avvenga su un protocollo affidabile come TLS. Inoltre, mantenere `ssl.quorum.hostnameVerification=false` potrebbe essere necessario nei casi in cui i nodi Zookeeper vengono indicati tramite IP anziché nomi host, poiché le mancate corrispondenze dei nomi host possono interrompere l'handshake SSL. La regolazione fine di queste impostazioni può migliorare significativamente la comunicazione sicura all'interno della configurazione distribuita.