SSL konfigūracijos problemų sprendimas Ubuntu 24.04.1 SOLR 9.6.1 ir Zookeeper 3.8.1

Iššūkiai įgalinant SSL SOLR naudojant zoologijos sodo prižiūrėtojo integraciją

Įjungti SSL SOLR-Zookeeper sąrankoje gali būti sudėtinga, ypač dirbant su Ubuntu 24.04.1 serveriais. Šis konfigūravimo procesas užtikrina saugų ryšį tarp mazgų, tačiau net ir nedidelė klaidinga konfigūracija gali neleisti tinkamai veikti tokioms paslaugoms kaip SOLR Admin UI. Jei neseniai bandėte įjungti SSL ir susidūrėte su problemomis, nesate vieni.

Šiame straipsnyje apžvelgsime dažną problemą, su kuria susiduriama aktyvinant SSL SOLR 9.6.1, kai vietiniame Ubuntu serveryje jis yra integruotas su Zookeeper 3.8.1. Nagrinėjama sąranka apima SOLR ir Zookeeper paleidimą tame pačiame serveryje su viena skeveldra, keliomis kopijomis ir pagrindiniu autentifikavimu. Pagrindinis dėmesys bus skiriamas klaidų, atsirandančių atnaujinus SSL nustatymus, šalinimui.

Dėl netinkamos SSL konfigūracijos žurnalo failuose dažnai atsiranda klaidų, pvz., „Administratoriaus vartotojo sąsaja nepaleidžiama“ arba „Nutrūkęs vamzdis“, kurias gali būti sudėtinga pašalinti. Šios klaidos paprastai kyla dėl sertifikato problemų arba SSL ryšio gedimų SOLR arba Zookeeper mazguose, dėl kurių nutrūksta paslaugų ryšys.

Tolesniuose skyriuose gilinsimės į žurnalo failus, išanalizuosime galimas šių su SSL susijusių klaidų priežastis ir pasiūlysime nuoseklius sprendimus, užtikrinančius sklandžią SOLR ir Zookeeper sąrankos SSL konfigūraciją.

SSL konfigūracijos ir scenarijų analizavimas, skirtas SOLR ir Zookeeper

Pirmasis scenarijus automatizuoja SOLR ir Zookeeper paleidimo iš naujo procesą, užtikrinant, kad SSL konfigūracijos būtų tinkamai pritaikytos. Jis naudoja „Bash“ scenarijų, kad peržiūrėtų „Zookeeper“ egzempliorius ir paleistų juos iš naujo su atnaujintais SSL nustatymais. Šio scenarijaus svarba yra kelių „Zookeeper“ mazgų valdymas, nes SSL konfigūracijos turi būti vienodai taikomos visame klasteryje. Naudojant „zkServer.sh restart“ užtikrinama, kad kiekvienas „Zookeeper“ mazgas būtų tinkamai paleistas iš naujo naudojant atitinkamą konfigūracijos failą, todėl scenarijus tampa efektyvus klasterio valdymui kelių mazgų sąrankoje.

Scenarijus taip pat skirtas SOLR egzemplioriaus paleidimui iš naujo naudojant „solr restart“. SOLR naudojasi Jetty, kad tvarkytų HTTPS užklausas, o scenarijus užtikrina, kad su SSL susiję nustatymai, pvz., raktų saugykla ir patikimumo saugyklos keliai, būtų tinkamai įkelti. Taip išvengiama galimų SSL rankų paspaudimo gedimų pasiekiant SOLR administratoriaus vartotojo sąsają, kurios gali kilti dėl pasenusių arba netinkamai sukonfigūruotų SSL sertifikatų. Automatizuodamas šias užduotis, scenarijus sumažina neautomatines klaidas, ypač valdant SSL sertifikatus keliose tarnybose tame pačiame serveryje.

Antrasis scenarijus naudojamas kuriant ir tvarkant „Java KeyStores“, skirtą SSL, tiek SOLR, tiek „Zookeeper“. „Java“ „Keytool“ programa naudojama raktų poroms generuoti ir sertifikatams importuoti į raktų saugyklą. Komanda „keytool -genkeypair“ generuoja reikiamus SSL sertifikatus, o „keytool -import“ naudojama patikimiems šakniniams ir tarpiniams sertifikatams pridėti. Šie sertifikatai užtikrina, kad SSL ryšys tarp mazgų yra patikimas ir saugus. Šis scenarijus yra labai svarbus norint tinkamai nustatyti ir valdyti SSL sertifikatus, kurie atlieka pagrindinį vaidmenį užtikrinant saugų ryšį tarp paslaugų.

Galiausiai pateiktas Python scenarijus veikia kaip žurnalo stebėjimo įrankis, specialiai sukurtas aptikti SSL rankos paspaudimo klaidas. Nuolat skaitydamas SSL žurnalus realiuoju laiku, šis scenarijus gali nustatyti su SSL susijusias problemas, pvz., „SSL rankos paspaudimas nepavyko“. Šis registravimo lygis yra būtinas diagnozuojant problemas sudėtingose ​​aplinkose, kur tokios paslaugos kaip „Zookeeper“ ir SOLR bendrauja šifruotais kanalais. Stebėjimas realiuoju laiku padeda greitai nustatyti pagrindines SSL gedimų priežastis, kurios gali kilti dėl sertifikatų neatitikimų, neteisingos konfigūracijos arba pasibaigusių sertifikatų. Šis trikčių šalinimo įrankis ypač vertingas aplinkoje, kurioje yra keli mazgai ir SSL sudėtingumas.

#!/bin/bash
# Script to automate SOLR and Zookeeper restart with SSL configuration
# Paths to configuration files
ZOOKEEPER_DIR="/opt/zookeeper"
SOLR_DIR="/opt/solr"
SSL_KEYSTORE="/opt/solr-9.6.1/server/etc/solr-ssl.jks"
ZOOKEEPER_CONFIG="$ZOOKEEPER_DIR/conf/zoo.cfg"
SOLR_CONFIG="$SOLR_DIR/server/etc/jetty-ssl.xml"

# Restart Zookeeper with SSL configuration
echo "Restarting Zookeeper..."
for i in {1..3}; do
    /bin/bash $ZOOKEEPER_DIR/bin/zkServer.sh restart $ZOOKEEPER_DIR/data/z$i/zoo.cfg
done

# Restart SOLR with SSL configuration
echo "Restarting SOLR..."
/bin/bash $SOLR_DIR/bin/solr restart -c -p 8983 -z localhost:2181,localhost:2182,localhost:2183 -m 5g -force

#!/bin/bash
# Generate a keystore with a self-signed certificate
keytool -genkeypair -alias solr -keyalg RSA -keystore /opt/solr-9.6.1/server/etc/solr-ssl.jks

# Import intermediate and root certificates
keytool -import -trustcacerts -alias root -file /path/to/rootCA.pem -keystore /opt/solr-9.6.1/server/etc/solr-ssl.jks
keytool -import -trustcacerts -alias intermediate -file /path/to/intermediateCA.pem -keystore /opt/solr-9.6.1/server/etc/solr-ssl.jks

# Configure Zookeeper SSL settings
echo "ssl.client.enable=true" >> $ZOOKEEPER_DIR/conf/zoo.cfg
echo "ssl.quorum.keyStore.location=/opt/solr-9.6.1/server/etc/solr-ssl.jks" >> $ZOOKEEPER_DIR/conf/zoo.cfg
echo "ssl.quorum.trustStore.location=/opt/solr-9.6.1/server/etc/solr-ssl.jks" >> $ZOOKEEPER_DIR/conf/zoo.cfg

import subprocess
import time

def monitor_ssl_logs(log_file):
    with open(log_file, 'r') as f:
        f.seek(0, 2)  # Move to the end of file
        while True:
            line = f.readline()
            if not line:
                time.sleep(0.1)
                continue
            if "SSL handshake failed" in line:
                print(f"Error: {line.strip()}")

# Start monitoring Zookeeper SSL logs
monitor_ssl_logs("/opt/zookeeper/logs/zookeeper.log")

SSL rankos paspaudimas ir konfigūracijos sudėtingumas SOLR ir Zookeeper

Vienas iš svarbiausių aspektų, į kuriuos reikia atkreipti dėmesį įjungiant SSL SOLR ir Zookeeper, yra tai, kaip SSL rankos paspaudimas procesas veikia. Rankos paspaudimas apima apsikeitimą sertifikatais tarp kliento ir serverio, patikrinant pasitikėjimą prieš pradedant šifruotų duomenų perdavimą. Dažnai kyla problemų, jei sertifikatai nėra tinkamai nustatyti tiek SOLR, tiek „Zookeeper“ konfigūracijose. Pavyzdžiui, nesutampančios sertifikatų grandinės arba raktų saugyklos slaptažodžiai gali neleisti sistemai sėkmingai inicijuoti SSL ryšio. SOLR remiasi Jetty valdydama SSL ryšį, todėl svarbu užtikrinti, kad Jetty konfigūracija būtų sinchronizuota su raktų saugyklos nustatymais.

Kitas dažnas iššūkis yra SSL nustatymas keliuose mazguose, ypač esant Zookeeper kvorumui. Naudojant kelis Zookeeper mazgus, SSL konfigūracija turi būti nuosekli visuose serveriuose, kad būtų užtikrintas saugus klientų ir serverių bei serverių tarpusavio ryšys. Kiekvienas mazgas turi turėti tą pačią raktų saugyklos ir patikimumo saugyklos sąranką, taip pat identiškus SSL protokolus, pvz. TLSv1.2. Šios konfigūracijos yra „zoo.cfg“ faile. Bet koks mazgų neatitikimas gali sukelti tokias problemas kaip „nutrūkęs vamzdis“ arba „lizdas uždarytas“, kaip matyti iš problemos scenarijaus.

Taip pat svarbu apsvarstyti, kaip „Zookeeper“ tvarko kvorumo ryšius su įjungtu SSL. Nustatydami `ssl.quorum.enabledProtocols', užtikrinate, kad saugus ryšys tarp Zookeeper mazgų vyksta naudojant patikimą protokolą, pvz., TLS. Be to, gali prireikti išsaugoti `ssl.quorum.hostnameVerification=false' tais atvejais, kai Zookeeper mazgai nurodomi IP, o ne prieglobos pavadinimais, nes pagrindinio kompiuterio pavadinimo neatitikimas gali nutraukti SSL rankos paspaudimą. Tikslus šių nustatymų derinimas gali žymiai pagerinti saugų ryšį paskirstytoje sąrankoje.