Odpravljanje težav s konfiguracijo SSL v Ubuntu 24.04.1 SOLR 9.6.1 in Zookeeper 3.8.1

Izzivi pri omogočanju SSL za SOLR z integracijo Zookeeper

Omogočanje SSL v nastavitvi SOLR-Zookeeper je lahko težavno, zlasti pri delu s strežniki Ubuntu 24.04.1. Ta konfiguracijski postopek zagotavlja varno komunikacijo med vozlišči, vendar lahko celo manjša napačna konfiguracija prepreči pravilno delovanje storitev, kot je SOLR Admin UI. Če ste pred kratkim poskusili omogočiti SSL in ste naleteli na težave, niste edini.

V tem članku se bomo sprehodili skozi pogosto težavo, s katero se srečujemo med aktiviranjem SSL v SOLR 9.6.1, ko je integriran z Zookeeper 3.8.1 na lokalnem strežniku Ubuntu. Zadevna nastavitev vključuje izvajanje SOLR in Zookeeperja na istem strežniku z enim samim drobcem, več replikami in osnovnim preverjanjem pristnosti. Poudarek bo na odpravljanju napak, ki se pojavijo po posodobitvi nastavitev SSL.

Napačne konfiguracije SSL pogosto povzročijo napake, kot so sporočila »Admin UI not launching« ali »Broken pipe« v dnevniških datotekah, kar je lahko težavno odpraviti. Te napake običajno izhajajo iz težav s potrdili ali napak pri povezavi SSL znotraj vozlišč SOLR ali Zookeeper, kar vodi do prekinjene komunikacije med storitvami.

V naslednjih razdelkih se bomo poglobili v dnevniške datoteke, analizirali morebitne vzroke teh napak, povezanih s SSL, in ponudili rešitve po korakih za zagotovitev nemotene konfiguracije SSL za vašo nastavitev SOLR in Zookeeper.

Analiza konfiguracije in skriptiranja SSL za SOLR in Zookeeper

Prvi skript avtomatizira postopek ponovnega zagona SOLR in Zookeeperja, hkrati pa zagotavlja pravilno uporabo konfiguracij SSL. Uporablja skripte Bash za kroženje po instancah Zookeeperja in njihov ponovni zagon s posodobljenimi nastavitvami SSL. Pomen tega skripta je v upravljanju več vozlišč Zookeeper, saj je treba konfiguracije SSL uporabiti enotno v celotni gruči. Uporaba `zkServer.sh restart` zagotavlja, da se vsako vozlišče Zookeeper pravilno znova zažene s svojo ustrezno konfiguracijsko datoteko, zaradi česar je skript učinkovit za upravljanje gruče v nastavitvi z več vozlišči.

Skript obravnava tudi ponovni zagon primerka SOLR z uporabo `solr restart`. SOLR se pri obdelavi zahtev HTTPS zanaša na Jetty, skript pa zagotavlja, da se nastavitve, povezane s SSL, kot so poti do shrambe ključev in shrambe zaupanja, pravilno znova naložijo. To preprečuje morebitne napake pri rokovanju SSL pri dostopu do skrbniškega uporabniškega vmesnika SOLR, do katerih lahko pride zaradi zastarelih ali napačno konfiguriranih potrdil SSL. Z avtomatizacijo teh opravil skript zmanjša ročne napake, zlasti pri upravljanju potrdil SSL v več storitvah na istem strežniku.

Drugi skript se uporablja za ustvarjanje in upravljanje Java KeyStores za SSL v SOLR in Zookeeper. Javin pripomoček Keytool se uporablja za ustvarjanje parov ključev in uvoz potrdil v shrambo ključev. Ukaz `keytool -genkeypair` ustvari potrebna potrdila SSL, `keytool -import` pa se uporablja za dodajanje zaupanja vrednih korenskih in vmesnih potrdil. Ti certifikati zagotavljajo, da je komunikacija SSL med vozlišči zaupanja vredna in varna. Ta skript je ključen za pravilno nastavitev in upravljanje SSL certifikatov, ki imajo osrednjo vlogo pri omogočanju varne komunikacije med storitvami.

Nazadnje, ponujeni skript Python deluje kot orodje za spremljanje dnevnika, posebej zasnovano za odkrivanje napak rokovanja SSL. Z nenehnim branjem dnevnikov SSL v realnem času lahko ta skript prepozna težave, povezane s SSL, kot je »rokovanje SSL ni uspelo«. Ta raven beleženja je bistvenega pomena za diagnosticiranje težav v kompleksnih okoljih, kjer storitve, kot sta Zookeeper in SOLR, komunicirajo prek šifriranih kanalov. Spremljanje v realnem času pomaga pri hitrem prepoznavanju temeljnega vzroka napak SSL, ki lahko izvirajo iz neujemanja potrdil, nepravilne konfiguracije ali potečenih potrdil. To orodje za odpravljanje težav je še posebej dragoceno v okoljih z več vozlišči in kompleksnostjo SSL.

#!/bin/bash
# Script to automate SOLR and Zookeeper restart with SSL configuration
# Paths to configuration files
ZOOKEEPER_DIR="/opt/zookeeper"
SOLR_DIR="/opt/solr"
SSL_KEYSTORE="/opt/solr-9.6.1/server/etc/solr-ssl.jks"
ZOOKEEPER_CONFIG="$ZOOKEEPER_DIR/conf/zoo.cfg"
SOLR_CONFIG="$SOLR_DIR/server/etc/jetty-ssl.xml"

# Restart Zookeeper with SSL configuration
echo "Restarting Zookeeper..."
for i in {1..3}; do
    /bin/bash $ZOOKEEPER_DIR/bin/zkServer.sh restart $ZOOKEEPER_DIR/data/z$i/zoo.cfg
done

# Restart SOLR with SSL configuration
echo "Restarting SOLR..."
/bin/bash $SOLR_DIR/bin/solr restart -c -p 8983 -z localhost:2181,localhost:2182,localhost:2183 -m 5g -force

#!/bin/bash
# Generate a keystore with a self-signed certificate
keytool -genkeypair -alias solr -keyalg RSA -keystore /opt/solr-9.6.1/server/etc/solr-ssl.jks

# Import intermediate and root certificates
keytool -import -trustcacerts -alias root -file /path/to/rootCA.pem -keystore /opt/solr-9.6.1/server/etc/solr-ssl.jks
keytool -import -trustcacerts -alias intermediate -file /path/to/intermediateCA.pem -keystore /opt/solr-9.6.1/server/etc/solr-ssl.jks

# Configure Zookeeper SSL settings
echo "ssl.client.enable=true" >> $ZOOKEEPER_DIR/conf/zoo.cfg
echo "ssl.quorum.keyStore.location=/opt/solr-9.6.1/server/etc/solr-ssl.jks" >> $ZOOKEEPER_DIR/conf/zoo.cfg
echo "ssl.quorum.trustStore.location=/opt/solr-9.6.1/server/etc/solr-ssl.jks" >> $ZOOKEEPER_DIR/conf/zoo.cfg

import subprocess
import time

def monitor_ssl_logs(log_file):
    with open(log_file, 'r') as f:
        f.seek(0, 2)  # Move to the end of file
        while True:
            line = f.readline()
            if not line:
                time.sleep(0.1)
                continue
            if "SSL handshake failed" in line:
                print(f"Error: {line.strip()}")

# Start monitoring Zookeeper SSL logs
monitor_ssl_logs("/opt/zookeeper/logs/zookeeper.log")

SSL rokovanje in zapletenost konfiguracije v SOLR in Zookeeper

Eden ključnih vidikov, ki jih je treba obravnavati pri omogočanju SSL v SOLR in Zookeeperju, je, kako SSL rokovanje proces deluje. Rokovanje vključuje izmenjavo potrdil med odjemalcem in strežnikom, s čimer se preveri zaupanje, preden se začne šifrirani prenos podatkov. Pogosto se pojavijo težave, če potrdila niso pravilno nastavljena v konfiguracijah SOLR in Zookeeper. Na primer, neujemajoče se verige potrdil ali gesla shrambe ključev lahko sistemu preprečijo uspešno vzpostavitev povezave SSL. SOLR se pri upravljanju komunikacije SSL zanaša na Jetty, zato je pomembno zagotoviti, da je konfiguracija Jetty sinhronizirana z vašimi nastavitvami shrambe ključev.

Drug pogost izziv je nastavitev SSL v več vozliščih, zlasti v kvorumu Zookeeper. Z več vozlišči Zookeeper mora biti konfiguracija SSL dosledna v vseh strežnikih, da se omogoči varna komunikacija odjemalec do strežnika in strežnik do strežnika. Vsako vozlišče mora imeti enako shrambo ključev in nastavitev zaupanja vredne shrambe ter enake protokole SSL, kot je npr. TLSv1.2. Te konfiguracije najdete v datoteki `zoo.cfg`. Kakršno koli neskladje med vozlišči lahko privede do težav, kot je napaka "prekinjena cev" ali "vtičnica je zaprta", kot je prikazano v scenariju težave.

Bistveno je tudi upoštevati, kako Zookeeper obravnava sklepčno komunikacijo z omogočenim SSL. Z nastavitvijo `ssl.quorum.enabledProtocols` zagotovite, da varna komunikacija med vozlišči Zookeeper poteka preko zaupanja vrednega protokola, kot je TLS. Poleg tega bo morda potrebno ohraniti `ssl.quorum.hostnameVerification=false` v primerih, ko se na vozlišča Zookeeper nanaša IP in ne imena gostiteljev, saj lahko neujemanje imen gostiteljev prekine rokovanje SSL. Natančna nastavitev teh nastavitev lahko bistveno izboljša varno komunikacijo v vaši porazdeljeni nastavitvi.