SSL konfigurācijas problēmu novēršana Ubuntu 24.04.1 SOLR 9.6.1 un Zookeeper 3.8.1

Problēmas, iespējojot SSL SOLR ar Zookeeper integrāciju

SSL iespējošana SOLR-Zookeeper iestatījumos var būt sarežģīta, it īpaši strādājot ar Ubuntu 24.04.1 serveriem. Šis konfigurācijas process nodrošina drošu saziņu starp mezgliem, taču pat neliela nepareiza konfigurācija var neļaut pareizi darboties tādiem pakalpojumiem kā SOLR Admin UI. Ja nesen mēģinājāt iespējot SSL un radās problēmas, jūs neesat viens.

Šajā rakstā mēs apskatīsim izplatītu problēmu, ar kuru saskaras SSL aktivizēšana SOLR 9.6.1, kad vietējā Ubuntu serverī ir integrēts ar Zookeeper 3.8.1. Attiecīgā iestatīšana ietver SOLR un Zookeeper palaišanu vienā serverī ar vienu shardu, vairākām replikām un pamata autentifikāciju. Galvenā uzmanība tiks pievērsta kļūdu novēršanai, kas rodas pēc SSL iestatījumu atjaunināšanas.

Nepareizas SSL konfigurācijas bieži rada kļūdas, piemēram, “Administratora lietotāja saskarne netiek palaista” vai “Broken pipe” žurnālfailos, kuru novēršana var būt sarežģīta. Šīs kļūdas parasti rodas no sertifikāta problēmām vai SSL savienojuma kļūmēm SOLR vai Zookeeper mezglos, kā rezultātā tiek pārtraukta saziņa starp pakalpojumiem.

Nākamajās sadaļās mēs iedziļināsimies žurnālfailos, analizēsim šo ar SSL saistīto kļūdu iespējamos cēloņus un piedāvāsim soli pa solim risinājumus, lai nodrošinātu vienmērīgu SSL konfigurāciju jūsu SOLR un Zookeeper iestatīšanai.

SSL konfigurācijas un skriptu analīze SOLR un Zookeeper

Pirmais skripts automatizē SOLR un Zookeeper restartēšanas procesu, vienlaikus nodrošinot pareizu SSL konfigurāciju piemērošanu. Tas izmanto Bash skriptēšanu, lai pārlūkotu Zookeeper gadījumus un restartētu tos ar atjauninātiem SSL iestatījumiem. Šī skripta nozīme ir vairāku Zookeeper mezglu pārvaldībā, jo SSL konfigurācijas ir jāpiemēro vienādi visā klasterī. Izmantojot `zkServer.sh restart`, katrs Zookeeper mezgls tiek pareizi restartēts ar attiecīgo konfigurācijas failu, padarot skriptu efektīvu klasteru pārvaldībai vairāku mezglu iestatījumos.

Skripts attiecas arī uz SOLR instances restartēšanu, izmantojot solr restart. SOLR paļaujas uz Jetty, lai apstrādātu HTTPS pieprasījumus, un skripts nodrošina, ka ar SSL saistīti iestatījumi, piemēram, atslēgu krātuves un uzticamības krātuves ceļi, tiek pareizi atkārtoti ielādētas. Tas novērš iespējamās SSL rokasspiediena kļūmes, piekļūstot SOLR Admin UI, kuras var rasties novecojušu vai nepareizi konfigurētu SSL sertifikātu dēļ. Automatizējot šos uzdevumus, skripts samazina manuālās kļūdas, īpaši, pārvaldot SSL sertifikātus vairākos pakalpojumos vienā serverī.

Otrais skripts tiek izmantots, lai izveidotu un pārvaldītu Java KeyStores SSL gan SOLR, gan Zookeeper. Java Keytool utilīta tiek izmantota, lai ģenerētu atslēgu pārus un importētu sertifikātus atslēgu krātuvē. Komanda "keytool -genkeypair" ģenerē nepieciešamos SSL sertifikātus, bet "keytool -import" tiek izmantota, lai pievienotu uzticamus saknes un starpposma sertifikātus. Šie sertifikāti nodrošina, ka SSL saziņa starp mezgliem ir uzticama un droša. Šis skripts ir ļoti svarīgs, lai pareizi iestatītu un pārvaldītu SSL sertifikātus, kuriem ir galvenā loma drošas saziņas nodrošināšanā starp pakalpojumiem.

Visbeidzot, nodrošinātais Python skripts darbojas kā žurnālu uzraudzības rīks, kas īpaši izstrādāts, lai noteiktu SSL rokasspiediena kļūdas. Nepārtraukti reāllaikā lasot SSL žurnālus, šis skripts var identificēt ar SSL saistītas problēmas, piemēram, "SSL rokasspiediens neizdevās". Šis reģistrēšanas līmenis ir būtisks, lai diagnosticētu problēmas sarežģītās vidēs, kur tādi pakalpojumi kā Zookeeper un SOLR sazinās pa šifrētiem kanāliem. Reāllaika uzraudzība palīdz ātri noteikt SSL kļūmju galveno cēloni, kas var rasties no sertifikātu neatbilstības, nepareizas konfigurācijas vai sertifikātu derīguma termiņa beigām. Šis problēmu novēršanas rīks ir īpaši vērtīgs vidēs ar vairākiem mezgliem un SSL sarežģītību.

#!/bin/bash
# Script to automate SOLR and Zookeeper restart with SSL configuration
# Paths to configuration files
ZOOKEEPER_DIR="/opt/zookeeper"
SOLR_DIR="/opt/solr"
SSL_KEYSTORE="/opt/solr-9.6.1/server/etc/solr-ssl.jks"
ZOOKEEPER_CONFIG="$ZOOKEEPER_DIR/conf/zoo.cfg"
SOLR_CONFIG="$SOLR_DIR/server/etc/jetty-ssl.xml"

# Restart Zookeeper with SSL configuration
echo "Restarting Zookeeper..."
for i in {1..3}; do
    /bin/bash $ZOOKEEPER_DIR/bin/zkServer.sh restart $ZOOKEEPER_DIR/data/z$i/zoo.cfg
done

# Restart SOLR with SSL configuration
echo "Restarting SOLR..."
/bin/bash $SOLR_DIR/bin/solr restart -c -p 8983 -z localhost:2181,localhost:2182,localhost:2183 -m 5g -force

#!/bin/bash
# Generate a keystore with a self-signed certificate
keytool -genkeypair -alias solr -keyalg RSA -keystore /opt/solr-9.6.1/server/etc/solr-ssl.jks

# Import intermediate and root certificates
keytool -import -trustcacerts -alias root -file /path/to/rootCA.pem -keystore /opt/solr-9.6.1/server/etc/solr-ssl.jks
keytool -import -trustcacerts -alias intermediate -file /path/to/intermediateCA.pem -keystore /opt/solr-9.6.1/server/etc/solr-ssl.jks

# Configure Zookeeper SSL settings
echo "ssl.client.enable=true" >> $ZOOKEEPER_DIR/conf/zoo.cfg
echo "ssl.quorum.keyStore.location=/opt/solr-9.6.1/server/etc/solr-ssl.jks" >> $ZOOKEEPER_DIR/conf/zoo.cfg
echo "ssl.quorum.trustStore.location=/opt/solr-9.6.1/server/etc/solr-ssl.jks" >> $ZOOKEEPER_DIR/conf/zoo.cfg

import subprocess
import time

def monitor_ssl_logs(log_file):
    with open(log_file, 'r') as f:
        f.seek(0, 2)  # Move to the end of file
        while True:
            line = f.readline()
            if not line:
                time.sleep(0.1)
                continue
            if "SSL handshake failed" in line:
                print(f"Error: {line.strip()}")

# Start monitoring Zookeeper SSL logs
monitor_ssl_logs("/opt/zookeeper/logs/zookeeper.log")

SSL rokasspiediena un konfigurācijas sarežģījumi SOLR un Zookeeper

Viens būtisks aspekts, kas jārisina, iespējojot SSL SOLR un Zookeeper, ir tas, kā SSL rokasspiediens process darbojas. Rokasspiediens ietver sertifikātu apmaiņu starp klientu un serveri, pārbaudot uzticību pirms šifrētas datu pārraides sākuma. Problēmas bieži rodas, ja sertifikāti nav pareizi iestatīti gan SOLR, gan Zookeeper konfigurācijās. Piemēram, neatbilstošas ​​sertifikātu ķēdes vai atslēgu krātuves paroles var neļaut sistēmai veiksmīgi uzsākt SSL savienojumu. SOLR paļaujas uz Jetty, lai pārvaldītu SSL saziņu, tāpēc ir svarīgi nodrošināt, lai Jetty konfigurācija būtu sinhronizēta ar jūsu atslēgu krātuves iestatījumiem.

Vēl viens izplatīts izaicinājums ir SSL iestatīšana vairākos mezglos, īpaši Zookeeper kvorumā. Izmantojot vairākus Zookeeper mezglus, SSL konfigurācijai ir jābūt konsekventai visos serveros, lai nodrošinātu drošu klientu-servera un servera-servera saziņu. Katram mezglam ir jābūt vienādam atslēgu krātuves un uzticamības krātuves iestatījumam, kā arī identiskiem SSL protokoliem, piemēram, TLSv1.2. Šīs konfigurācijas ir atrodamas `zoo.cfg` failā. Jebkura neatbilstība starp mezgliem var izraisīt tādas problēmas kā "plīsusi caurule" vai "ligzda ir aizvērta", kā redzams problēmas scenārijā.

Ir svarīgi arī apsvērt, kā Zookeeper apstrādā kvoruma saziņu ar iespējotu SSL. Iestatot `ssl.quorum.enabledProtocols', jūs nodrošināsiet, ka droša saziņa starp Zookeeper mezgliem notiek, izmantojot uzticamu protokolu, piemēram, TLS. Turklāt var būt nepieciešams saglabāt `ssl.quorum.hostnameVerification=false' gadījumos, kad Zookeeper mezgli tiek apzīmēti ar IP, nevis resursdatora nosaukumiem, jo ​​saimniekdatora nosaukuma neatbilstība var pārtraukt SSL rokasspiedienu. Precīza šo iestatījumu pielāgošana var ievērojami uzlabot drošu saziņu jūsu izplatītajā iestatījumā.