Решавање проблема са ССЛ конфигурацијом у Убунту 24.04.1 СОЛР 9.6.1 и Зоокеепер 3.8.1

Изазови у омогућавању ССЛ-а за СОЛР са интеграцијом Зоокеепер-а

Омогућавање ССЛ-а у СОЛР-Зоокеепер подешавању може бити незгодно, посебно када радите са Убунту 24.04.1 серверима. Овај процес конфигурације обезбеђује безбедну комуникацију између чворова, али чак и мања погрешна конфигурација може спречити услуге као што је СОЛР Админ УИ да правилно функционишу. Ако сте недавно покушали да омогућите ССЛ и наишли сте на проблеме, нисте сами.

У овом чланку ћемо проћи кроз уобичајени проблем са којим се суочавамо током ССЛ активације у СОЛР 9.6.1 када је интегрисан са Зоокеепер 3.8.1 на локалном Убунту серверу. Подешавање о коме је реч укључује покретање СОЛР-а и Зоокеепер-а на истом серверу са једним шардом, више реплика и основном аутентификацијом. Фокус ће бити на решавању грешака које се јављају након ажурирања ССЛ подешавања.

ССЛ погрешне конфигурације често доводе до грешака као што су поруке „Администраторски кориснички интерфејс се не покреће“ или „Поломљена цев“ у датотекама евиденције, што може бити изазовно за решавање проблема. Ове грешке обично настају због проблема са сертификатима или неуспеха ССЛ везе унутар СОЛР или Зоокеепер чворова, што доводи до прекида комуникације између услуга.

У следећим одељцима ћемо дубље заронити у датотеке евиденције, анализирати потенцијалне узроке ових грешака у вези са ССЛ-ом и понудити решења корак по корак како бисмо обезбедили глатку ССЛ конфигурацију за ваше подешавање СОЛР-а и Зоокеепер-а.

Анализа ССЛ конфигурације и скриптовања за СОЛР и Зоокеепер

Прва скрипта аутоматизује процес поновног покретања СОЛР-а и Зоокеепер-а, истовремено осигуравајући да се ССЛ конфигурације правилно примењују. Користи Басх скрипте за петљу кроз инстанце Зоокеепер-а и поново их покреће са ажурираним ССЛ поставкама. Важност ове скрипте лежи у управљању вишеструким Зоокеепер чворовима, пошто ССЛ конфигурације морају бити примењене једнолично на читав кластер. Употреба `зкСервер.сх рестарт` осигурава да се сваки Зоокеепер чвор исправно поново покрене са својим одговарајућим конфигурационим фајлом, чинећи скрипту ефикасном за управљање кластером у подешавању са више чворова.

Скрипта се такође бави поновним покретањем СОЛР инстанце користећи `солр рестарт`. СОЛР се ослања на Јетти за руковање ХТТПС захтевима, а скрипта обезбеђује да се подешавања у вези са ССЛ-ом, као што су путање складишта кључева и складишта поверења, исправно поново учитавају. Ово спречава потенцијалне грешке при руковању ССЛ-ом приликом приступа СОЛР администраторском корисничком интерфејсу, што може настати због застарелих или погрешно конфигурисаних ССЛ сертификата. Аутоматизацијом ових задатака, скрипта минимизира ручне грешке, посебно када управља ССЛ сертификатима на више сервиса на истом серверу.

Друга скрипта се користи за креирање и управљање Јава КеиСторес-ом за ССЛ у СОЛР-у и Зоокеепер-у. Јава-ин услужни програм Кеитоол се користи за генерисање парова кључева и увоз сертификата у складиште кључева. Команда `кеитоол -генкеипаир` генерише неопходне ССЛ сертификате, док се `кеитоол -импорт` користи за додавање поузданих основних и средњих сертификата. Ови сертификати обезбеђују да је ССЛ комуникација између чворова поуздана и безбедна. Ова скрипта је кључна за правилно подешавање и управљање ССЛ сертификатима, који играју централну улогу у омогућавању безбедне комуникације између сервиса.

Коначно, обезбеђена Питхон скрипта делује као алатка за праћење дневника посебно дизајнирана да открије грешке при руковању ССЛ-ом. Континуираним читањем ССЛ евиденције у реалном времену, ова скрипта може да идентификује проблеме у вези са ССЛ-ом, као што је `ССЛ руковање није успело`. Овај ниво евидентирања је од суштинског значаја за дијагностиковање проблема у сложеним окружењима где услуге као што су Зоокеепер и СОЛР комуницирају преко шифрованих канала. Праћење у реалном времену помаже у брзом идентификацији основног узрока грешака ССЛ-а, који могу проистећи из неподударања сертификата, нетачне конфигурације или истеклих сертификата. Овај алат за решавање проблема је посебно вредан у окружењима са више чворова и сложености ССЛ-а.

#!/bin/bash
# Script to automate SOLR and Zookeeper restart with SSL configuration
# Paths to configuration files
ZOOKEEPER_DIR="/opt/zookeeper"
SOLR_DIR="/opt/solr"
SSL_KEYSTORE="/opt/solr-9.6.1/server/etc/solr-ssl.jks"
ZOOKEEPER_CONFIG="$ZOOKEEPER_DIR/conf/zoo.cfg"
SOLR_CONFIG="$SOLR_DIR/server/etc/jetty-ssl.xml"

# Restart Zookeeper with SSL configuration
echo "Restarting Zookeeper..."
for i in {1..3}; do
    /bin/bash $ZOOKEEPER_DIR/bin/zkServer.sh restart $ZOOKEEPER_DIR/data/z$i/zoo.cfg
done

# Restart SOLR with SSL configuration
echo "Restarting SOLR..."
/bin/bash $SOLR_DIR/bin/solr restart -c -p 8983 -z localhost:2181,localhost:2182,localhost:2183 -m 5g -force

#!/bin/bash
# Generate a keystore with a self-signed certificate
keytool -genkeypair -alias solr -keyalg RSA -keystore /opt/solr-9.6.1/server/etc/solr-ssl.jks

# Import intermediate and root certificates
keytool -import -trustcacerts -alias root -file /path/to/rootCA.pem -keystore /opt/solr-9.6.1/server/etc/solr-ssl.jks
keytool -import -trustcacerts -alias intermediate -file /path/to/intermediateCA.pem -keystore /opt/solr-9.6.1/server/etc/solr-ssl.jks

# Configure Zookeeper SSL settings
echo "ssl.client.enable=true" >> $ZOOKEEPER_DIR/conf/zoo.cfg
echo "ssl.quorum.keyStore.location=/opt/solr-9.6.1/server/etc/solr-ssl.jks" >> $ZOOKEEPER_DIR/conf/zoo.cfg
echo "ssl.quorum.trustStore.location=/opt/solr-9.6.1/server/etc/solr-ssl.jks" >> $ZOOKEEPER_DIR/conf/zoo.cfg

import subprocess
import time

def monitor_ssl_logs(log_file):
    with open(log_file, 'r') as f:
        f.seek(0, 2)  # Move to the end of file
        while True:
            line = f.readline()
            if not line:
                time.sleep(0.1)
                continue
            if "SSL handshake failed" in line:
                print(f"Error: {line.strip()}")

# Start monitoring Zookeeper SSL logs
monitor_ssl_logs("/opt/zookeeper/logs/zookeeper.log")

ССЛ руковање и сложеност конфигурације у СОЛР-у и Зоокеепер-у

Један критичан аспект који треба решити када се омогућава ССЛ у СОЛР-у и Зоокеепер-у је како ССЛ руковање процес ради. Руковање укључује размену сертификата између клијента и сервера, проверу поверења пре него што почне пренос шифрованих података. Често се јављају проблеми ако сертификати нису исправно подешени и у СОЛР и у Зоокеепер конфигурацији. На пример, неусклађени ланци сертификата или лозинке за складиште кључева могу спречити систем да успешно покрене ССЛ везу. СОЛР се ослања на Јетти за управљање ССЛ комуникацијом, због чега је важно осигурати да је конфигурација Јетти-ја синхронизована са поставкама вашег складишта кључева.

Још један уобичајени изазов је постављање ССЛ-а на више чворова, посебно у Зоокеепер кворуму. Са више Зоокеепер чворова, ССЛ конфигурација мора бити конзистентна на свим серверима да би се омогућила безбедна комуникација клијент-сервер и сервер-сервер. Сваки чвор мора имати исто подешавање кључева и складишта поверења, као и идентичне ССЛ протоколе као нпр. ТЛСв1.2. Ове конфигурације се налазе у датотеци `зоо.цфг`. Свако неслагање између чворова може довести до проблема као што су грешке „поломљена цев“ или „утичница је затворена“, што се види у сценарију проблема.

Такође је неопходно размотрити како Зоокеепер управља комуникацијом кворума са омогућеним ССЛ-ом. Постављањем `ссл.куорум.енабледПротоцолс`, осигуравате да се безбедна комуникација између Зоокеепер чворова одвија преко поузданог протокола као што је ТЛС. Поред тога, задржавање `ссл.куорум.хостнамеВерифицатион=фалсе` може бити неопходно у случајевима када се Зоокеепер чворови позивају на ИП, а не на имена хостова, јер неподударања имена хоста могу да прекину ССЛ руковање. Фино подешавање ових подешавања може значајно побољшати безбедну комуникацију у вашем дистрибуираном подешавању.