Membaiki Masalah Konfigurasi SSL dalam SOLR 9.6.1 dan Zookeeper 3.8.1 Ubuntu 24.04.1

Cabaran dalam Mendayakan SSL untuk SOLR dengan Penyepaduan Zookeeper

Mendayakan SSL dalam persediaan SOLR-Zookeeper boleh menjadi rumit, terutamanya apabila bekerja dengan pelayan Ubuntu 24.04.1. Proses konfigurasi ini memastikan komunikasi selamat antara nod, tetapi walaupun salah konfigurasi kecil boleh menghalang perkhidmatan seperti SOLR Admin UI daripada berfungsi dengan betul. Jika anda baru-baru ini cuba mendayakan SSL dan menghadapi masalah, anda tidak bersendirian.

Dalam artikel ini, kami akan membincangkan masalah biasa yang dihadapi semasa pengaktifan SSL dalam SOLR 9.6.1 apabila disepadukan dengan Zookeeper 3.8.1 pada pelayan Ubuntu tempatan. Persediaan yang dimaksudkan melibatkan menjalankan SOLR dan Zookeeper pada pelayan yang sama dengan satu serpihan, berbilang replika dan pengesahan asas. Tumpuan akan diberikan kepada menyelesaikan ralat yang berlaku selepas mengemas kini tetapan SSL.

Salah konfigurasi SSL selalunya mengakibatkan ralat seperti mesej "UI Pentadbir tidak dilancarkan" atau "Paip pecah" dalam fail log, yang mungkin mencabar untuk menyelesaikan masalah. Ralat ini biasanya timbul daripada isu sijil atau kegagalan sambungan SSL dalam nod SOLR atau Zookeeper, yang membawa kepada komunikasi terputus antara perkhidmatan.

Dalam bahagian berikut, kami akan menyelam lebih dalam ke dalam fail log, menganalisis kemungkinan punca ralat berkaitan SSL ini dan menawarkan penyelesaian langkah demi langkah untuk memastikan konfigurasi SSL yang lancar untuk persediaan SOLR dan Zookeeper anda.

Menganalisis Konfigurasi dan Skrip SSL untuk SOLR dan Zookeeper

Skrip pertama mengautomasikan proses memulakan semula SOLR dan Zookeeper sambil memastikan konfigurasi SSL digunakan dengan betul. Ia menggunakan skrip Bash untuk mengulangi kejadian Zookeeper dan memulakannya semula dengan tetapan SSL yang dikemas kini. Kepentingan skrip ini terletak pada mengurus berbilang nod Zookeeper, kerana konfigurasi SSL mesti digunakan secara seragam merentas keseluruhan kluster. Penggunaan `zkServer.sh restart` memastikan setiap nod Zookeeper dimulakan semula dengan betul dengan fail konfigurasi masing-masing, menjadikan skrip cekap untuk pengurusan kluster dalam persediaan berbilang nod.

Skrip juga menangani permulaan semula contoh SOLR menggunakan `solr restart`. SOLR bergantung pada Jeti untuk mengendalikan permintaan HTTPS, dan skrip memastikan tetapan berkaitan SSL seperti laluan kedai kunci dan kedai amanah dimuat semula dengan betul. Ini menghalang kemungkinan kegagalan jabat tangan SSL apabila mengakses UI Pentadbiran SOLR, yang boleh timbul daripada sijil SSL yang lapuk atau tersalah konfigurasi. Dengan mengautomasikan tugasan ini, skrip meminimumkan ralat manual, terutamanya apabila menguruskan sijil SSL merentas berbilang perkhidmatan pada pelayan yang sama.

Skrip kedua digunakan untuk mencipta dan mengurus Java KeyStores untuk SSL dalam SOLR dan Zookeeper. Utiliti Keytool Java digunakan untuk menjana pasangan kunci dan mengimport sijil ke dalam stor kunci. Perintah `keytool -genkeypair` menjana sijil SSL yang diperlukan, manakala `keytool -import` digunakan untuk menambah sijil root dan perantaraan yang dipercayai. Sijil ini memastikan bahawa komunikasi SSL antara nod adalah dipercayai dan selamat. Skrip ini penting untuk menyediakan dan mengurus sijil SSL dengan betul, yang memainkan peranan penting dalam membolehkan komunikasi selamat antara perkhidmatan.

Akhir sekali, skrip Python yang disediakan bertindak sebagai alat pemantauan log yang direka khusus untuk mengesan ralat jabat tangan SSL. Dengan terus membaca log SSL dalam masa nyata, skrip ini boleh mengenal pasti isu berkaitan SSL seperti `SSL handshake failed`. Tahap pengelogan ini penting untuk mendiagnosis masalah dalam persekitaran yang kompleks di mana perkhidmatan seperti Zookeeper dan SOLR berkomunikasi melalui saluran yang disulitkan. Pemantauan masa nyata membantu mengenal pasti punca kegagalan SSL dengan cepat, yang mungkin berpunca daripada ketidakpadanan sijil, konfigurasi yang salah atau sijil tamat tempoh. Alat penyelesaian masalah ini amat berharga dalam persekitaran dengan berbilang nod dan kerumitan SSL.

#!/bin/bash
# Script to automate SOLR and Zookeeper restart with SSL configuration
# Paths to configuration files
ZOOKEEPER_DIR="/opt/zookeeper"
SOLR_DIR="/opt/solr"
SSL_KEYSTORE="/opt/solr-9.6.1/server/etc/solr-ssl.jks"
ZOOKEEPER_CONFIG="$ZOOKEEPER_DIR/conf/zoo.cfg"
SOLR_CONFIG="$SOLR_DIR/server/etc/jetty-ssl.xml"

# Restart Zookeeper with SSL configuration
echo "Restarting Zookeeper..."
for i in {1..3}; do
    /bin/bash $ZOOKEEPER_DIR/bin/zkServer.sh restart $ZOOKEEPER_DIR/data/z$i/zoo.cfg
done

# Restart SOLR with SSL configuration
echo "Restarting SOLR..."
/bin/bash $SOLR_DIR/bin/solr restart -c -p 8983 -z localhost:2181,localhost:2182,localhost:2183 -m 5g -force

#!/bin/bash
# Generate a keystore with a self-signed certificate
keytool -genkeypair -alias solr -keyalg RSA -keystore /opt/solr-9.6.1/server/etc/solr-ssl.jks

# Import intermediate and root certificates
keytool -import -trustcacerts -alias root -file /path/to/rootCA.pem -keystore /opt/solr-9.6.1/server/etc/solr-ssl.jks
keytool -import -trustcacerts -alias intermediate -file /path/to/intermediateCA.pem -keystore /opt/solr-9.6.1/server/etc/solr-ssl.jks

# Configure Zookeeper SSL settings
echo "ssl.client.enable=true" >> $ZOOKEEPER_DIR/conf/zoo.cfg
echo "ssl.quorum.keyStore.location=/opt/solr-9.6.1/server/etc/solr-ssl.jks" >> $ZOOKEEPER_DIR/conf/zoo.cfg
echo "ssl.quorum.trustStore.location=/opt/solr-9.6.1/server/etc/solr-ssl.jks" >> $ZOOKEEPER_DIR/conf/zoo.cfg

import subprocess
import time

def monitor_ssl_logs(log_file):
    with open(log_file, 'r') as f:
        f.seek(0, 2)  # Move to the end of file
        while True:
            line = f.readline()
            if not line:
                time.sleep(0.1)
                continue
            if "SSL handshake failed" in line:
                print(f"Error: {line.strip()}")

# Start monitoring Zookeeper SSL logs
monitor_ssl_logs("/opt/zookeeper/logs/zookeeper.log")

Jabat Tangan SSL dan Kerumitan Konfigurasi dalam SOLR dan Zookeeper

Satu aspek kritikal untuk ditangani apabila mendayakan SSL dalam SOLR dan Zookeeper ialah bagaimana jabat tangan SSL proses berfungsi. Jabat tangan melibatkan pertukaran sijil antara pelanggan dan pelayan, mengesahkan kepercayaan sebelum penghantaran data yang disulitkan bermula. Isu sering timbul jika sijil tidak ditetapkan dengan betul dalam konfigurasi SOLR dan Zookeeper. Sebagai contoh, rantaian sijil yang tidak sepadan atau kata laluan stor kunci boleh menghalang sistem daripada berjaya memulakan sambungan SSL. SOLR bergantung pada Jeti untuk mengurus komunikasi SSL, menjadikannya penting untuk memastikan konfigurasi Jeti disegerakkan dengan tetapan stor kunci anda.

Satu lagi cabaran biasa ialah menyediakan SSL merentas berbilang nod, terutamanya dalam kuorum Zookeeper. Dengan berbilang nod Zookeeper, konfigurasi SSL perlu konsisten merentas semua pelayan untuk membolehkan komunikasi klien-ke-pelayan dan pelayan-ke-pelayan yang selamat. Setiap nod mesti mempunyai persediaan stor kunci dan kedai amanah yang sama, serta protokol SSL yang sama seperti TLSv1.2. Konfigurasi ini ditemui dalam fail `zoo.cfg`. Sebarang percanggahan antara nod boleh membawa kepada isu seperti ralat "paip pecah" atau "soket ditutup", seperti yang disaksikan dalam senario masalah.

Ia juga penting untuk mempertimbangkan cara Zookeeper mengendalikan komunikasi kuorum dengan SSL didayakan. Dengan menetapkan `ssl.quorum.enabledProtocols`, anda memastikan bahawa komunikasi selamat antara nod Zookeeper berlaku melalui protokol yang dipercayai seperti TLS. Selain itu, mengekalkan `ssl.quorum.hostnameVerification=false` mungkin diperlukan dalam kes di mana nod Zookeeper dirujuk oleh IP dan bukannya nama hos, kerana ketidakpadanan nama hos boleh mengganggu jabat tangan SSL. Memperhalusi tetapan ini boleh meningkatkan komunikasi selamat dengan ketara merentas persediaan yang diedarkan anda.