Corrigindo problemas de configuração SSL no SOLR 9.6.1 do Ubuntu 24.04.1 e no Zookeeper 3.8.1

Desafios na ativação de SSL para SOLR com integração Zookeeper

Habilitar SSL em uma configuração SOLR-Zookeeper pode ser complicado, especialmente ao trabalhar com servidores Ubuntu 24.04.1. Este processo de configuração garante a comunicação segura entre os nós, mas mesmo uma pequena configuração incorreta pode impedir que serviços como o SOLR Admin UI funcionem corretamente. Se você tentou ativar o SSL recentemente e encontrou problemas, não está sozinho.

Neste artigo, abordaremos um problema comum enfrentado durante a ativação SSL no SOLR 9.6.1 quando integrado ao Zookeeper 3.8.1 em um servidor Ubuntu local. A configuração em questão envolve a execução do SOLR e do Zookeeper no mesmo servidor com um único fragmento, várias réplicas e autenticação básica. O foco estará na resolução dos erros que ocorrem após a atualização das configurações de SSL.

As configurações incorretas de SSL geralmente resultam em erros como mensagens "UI do administrador não inicia" ou "Tubo quebrado" em arquivos de log, o que pode ser difícil de solucionar. Esses erros normalmente surgem de problemas de certificado ou falhas de conexão SSL nos nós SOLR ou Zookeeper, levando à interrupção da comunicação entre os serviços.

Nas seções a seguir, nos aprofundaremos nos arquivos de log, analisaremos as causas potenciais desses erros relacionados ao SSL e ofereceremos soluções passo a passo para garantir uma configuração SSL tranquila para sua configuração SOLR e Zookeeper.

Analisando configuração e scripts SSL para SOLR e Zookeeper

O primeiro script automatiza o processo de reinicialização do SOLR e do Zookeeper, garantindo que as configurações SSL sejam aplicadas corretamente. Ele usa scripts Bash para percorrer as instâncias do Zookeeper e reiniciá-las com configurações SSL atualizadas. A importância deste script está no gerenciamento de vários nós do Zookeeper, pois as configurações SSL devem ser aplicadas uniformemente em todo o cluster. O uso de `zkServer.sh restart` garante que cada nó Zookeeper seja reiniciado corretamente com seu respectivo arquivo de configuração, tornando o script eficiente para gerenciamento de cluster em uma configuração de vários nós.

O script também aborda a reinicialização da instância SOLR usando `solr restart`. SOLR depende do Jetty para lidar com solicitações HTTPS, e o script garante que as configurações relacionadas ao SSL, como caminhos de armazenamento de chave e armazenamento confiável, sejam recarregadas corretamente. Isso evita possíveis falhas de handshake SSL ao acessar a interface de administração do SOLR, que podem surgir de certificados SSL desatualizados ou mal configurados. Ao automatizar essas tarefas, o script minimiza erros manuais, especialmente ao gerenciar certificados SSL em vários serviços no mesmo servidor.

O segundo script é usado para criar e gerenciar Java KeyStores para SSL no SOLR e no Zookeeper. O utilitário Keytool do Java é empregado para gerar pares de chaves e importar certificados para o keystore. O comando `keytool -genkeypair` gera os certificados SSL necessários, enquanto `keytool -import` é usado para adicionar certificados raiz e intermediários confiáveis. Esses certificados garantem que a comunicação SSL entre nós seja confiável e segura. Este script é crucial para configurar e gerenciar corretamente os certificados SSL, que desempenham um papel central ao permitir a comunicação segura entre os serviços.

Finalmente, o script Python fornecido atua como uma ferramenta de monitoramento de log projetada especificamente para detectar erros de handshake SSL. Ao ler continuamente os logs SSL em tempo real, este script pode identificar problemas relacionados ao SSL, como `falha no handshake SSL`. Este nível de registro é essencial para diagnosticar problemas em ambientes complexos onde serviços como Zookeeper e SOLR se comunicam por canais criptografados. O monitoramento em tempo real ajuda a identificar rapidamente a causa raiz das falhas de SSL, que podem resultar de incompatibilidades de certificados, configuração incorreta ou certificados expirados. Essa ferramenta de solução de problemas é particularmente valiosa em ambientes com vários nós e complexidades SSL.

#!/bin/bash
# Script to automate SOLR and Zookeeper restart with SSL configuration
# Paths to configuration files
ZOOKEEPER_DIR="/opt/zookeeper"
SOLR_DIR="/opt/solr"
SSL_KEYSTORE="/opt/solr-9.6.1/server/etc/solr-ssl.jks"
ZOOKEEPER_CONFIG="$ZOOKEEPER_DIR/conf/zoo.cfg"
SOLR_CONFIG="$SOLR_DIR/server/etc/jetty-ssl.xml"

# Restart Zookeeper with SSL configuration
echo "Restarting Zookeeper..."
for i in {1..3}; do
    /bin/bash $ZOOKEEPER_DIR/bin/zkServer.sh restart $ZOOKEEPER_DIR/data/z$i/zoo.cfg
done

# Restart SOLR with SSL configuration
echo "Restarting SOLR..."
/bin/bash $SOLR_DIR/bin/solr restart -c -p 8983 -z localhost:2181,localhost:2182,localhost:2183 -m 5g -force

#!/bin/bash
# Generate a keystore with a self-signed certificate
keytool -genkeypair -alias solr -keyalg RSA -keystore /opt/solr-9.6.1/server/etc/solr-ssl.jks

# Import intermediate and root certificates
keytool -import -trustcacerts -alias root -file /path/to/rootCA.pem -keystore /opt/solr-9.6.1/server/etc/solr-ssl.jks
keytool -import -trustcacerts -alias intermediate -file /path/to/intermediateCA.pem -keystore /opt/solr-9.6.1/server/etc/solr-ssl.jks

# Configure Zookeeper SSL settings
echo "ssl.client.enable=true" >> $ZOOKEEPER_DIR/conf/zoo.cfg
echo "ssl.quorum.keyStore.location=/opt/solr-9.6.1/server/etc/solr-ssl.jks" >> $ZOOKEEPER_DIR/conf/zoo.cfg
echo "ssl.quorum.trustStore.location=/opt/solr-9.6.1/server/etc/solr-ssl.jks" >> $ZOOKEEPER_DIR/conf/zoo.cfg

import subprocess
import time

def monitor_ssl_logs(log_file):
    with open(log_file, 'r') as f:
        f.seek(0, 2)  # Move to the end of file
        while True:
            line = f.readline()
            if not line:
                time.sleep(0.1)
                continue
            if "SSL handshake failed" in line:
                print(f"Error: {line.strip()}")

# Start monitoring Zookeeper SSL logs
monitor_ssl_logs("/opt/zookeeper/logs/zookeeper.log")

Handshake SSL e complexidades de configuração em SOLR e Zookeeper

Um aspecto crítico a ser abordado ao habilitar o SSL no SOLR e no Zookeeper é como o Aperto de mão SSL processo funciona. O handshake envolve a troca de certificados entre cliente e servidor, verificando a confiança antes do início da transmissão de dados criptografados. Muitas vezes surgem problemas se os certificados não estiverem definidos corretamente nas configurações SOLR e Zookeeper. Por exemplo, cadeias de certificados ou senhas de armazenamento de chaves incompatíveis podem impedir que o sistema inicie com êxito uma conexão SSL. SOLR depende do Jetty para gerenciar a comunicação SSL, tornando importante garantir que a configuração do Jetty esteja sincronizada com as configurações do seu keystore.

Outro desafio comum é configurar SSL em vários nós, especialmente em um quórum Zookeeper. Com vários nós Zookeeper, a configuração SSL deve ser consistente em todos os servidores para permitir a comunicação segura de cliente para servidor e de servidor para servidor. Cada nó deve ter a mesma configuração de keystore e truststore, bem como protocolos SSL idênticos, como TLSv1.2. Essas configurações são encontradas no arquivo `zoo.cfg`. Qualquer discrepância entre os nós pode levar a problemas como erros de “tubo quebrado” ou “soquete fechado”, conforme testemunhado no cenário do problema.

Também é essencial considerar como o Zookeeper lida com as comunicações de quorum com SSL habilitado. Ao definir `ssl.quorum.enabledProtocols`, você garante que a comunicação segura entre os nós do Zookeeper ocorra por meio de um protocolo confiável como TLS. Além disso, manter `ssl.quorum.hostnameVerification=false` pode ser necessário nos casos em que os nós do Zookeeper são referidos por IP em vez de nomes de host, pois incompatibilidades de nomes de host podem interromper o handshake SSL. O ajuste fino dessas configurações pode melhorar significativamente a comunicação segura em sua configuração distribuída.