Åtgärda SSL-konfigurationsproblem i Ubuntu 24.04.1:s SOLR 9.6.1 och Zookeeper 3.8.1

Utmaningar med att aktivera SSL för SOLR med Zookeeper-integration

Att aktivera SSL i en SOLR-Zookeeper-inställning kan vara knepigt, speciellt när man arbetar med Ubuntu 24.04.1-servrar. Denna konfigurationsprocess säkerställer säker kommunikation mellan noder, men även en mindre felkonfiguration kan hindra tjänster som SOLR Admin UI från att fungera korrekt. Om du nyligen har testat att aktivera SSL och stött på problem är du inte ensam.

I den här artikeln kommer vi att gå igenom ett vanligt problem som uppstår under SSL-aktivering i SOLR 9.6.1 när det integreras med Zookeeper 3.8.1 på en lokal Ubuntu-server. Installationen i fråga innebär att SOLR och Zookeeper körs på samma server med en enda skärpa, flera repliker och grundläggande autentisering. Fokus kommer att ligga på att lösa de fel som uppstår efter uppdatering av SSL-inställningar.

SSL-felkonfigurationer resulterar ofta i fel som "Admin UI startar inte" eller "Broken pipe"-meddelanden i loggfiler, vilket kan vara svårt att felsöka. Dessa fel uppstår vanligtvis från certifikatproblem eller SSL-anslutningsfel inom SOLR- eller Zookeeper-noderna, vilket leder till trasig kommunikation mellan tjänster.

I följande avsnitt kommer vi att dyka djupare in i loggfilerna, analysera de potentiella orsakerna till dessa SSL-relaterade fel och erbjuda steg-för-steg-lösningar för att säkerställa en smidig SSL-konfiguration för din SOLR- och Zookeeper-inställning.

Analyserar SSL-konfiguration och skript för SOLR och Zookeeper

Det första skriptet automatiserar processen att starta om SOLR och Zookeeper samtidigt som det säkerställer att SSL-konfigurationer tillämpas korrekt. Den använder Bash-skript för att gå igenom Zookeeper-instanserna och starta om dem med uppdaterade SSL-inställningar. Vikten av detta skript ligger i att hantera flera Zookeeper-noder, eftersom SSL-konfigurationer måste tillämpas enhetligt över hela klustret. Användningen av `zkServer.sh restart` säkerställer att varje Zookeeper-nod startas om korrekt med sin respektive konfigurationsfil, vilket gör skriptet effektivt för klusterhantering i en multi-nod-inställning.

Skriptet adresserar även omstarten av SOLR-instansen med hjälp av "solr omstart". SOLR förlitar sig på Jetty för att hantera HTTPS-förfrågningar, och skriptet säkerställer att SSL-relaterade inställningar som nyckellager och truststore-sökvägar laddas om korrekt. Detta förhindrar potentiella SSL-handskakningsfel vid åtkomst till SOLR Admin UI, vilket kan uppstå från föråldrade eller felkonfigurerade SSL-certifikat. Genom att automatisera dessa uppgifter minimerar skriptet manuella fel, särskilt när man hanterar SSL-certifikat över flera tjänster på samma server.

Det andra skriptet används för att skapa och hantera Java KeyStores för SSL i både SOLR och Zookeeper. Javas Keytool-verktyg används för att generera nyckelpar och importera certifikat till nyckellagret. Kommandot `keytool -genkeypair` genererar de nödvändiga SSL-certifikaten, medan `keytool -import` används för att lägga till betrodda rot- och mellancertifikat. Dessa certifikat säkerställer att SSL-kommunikation mellan noder är pålitlig och säker. Detta skript är avgörande för att korrekt ställa in och hantera SSL-certifikat, som spelar en central roll för att möjliggöra säker kommunikation mellan tjänsterna.

Slutligen fungerar Python-skriptet som ett loggövervakningsverktyg speciellt utformat för att upptäcka SSL-handskakningsfel. Genom att kontinuerligt läsa SSL-loggar i realtid kan detta skript identifiera SSL-relaterade problem som "SSL-handskakning misslyckades". Denna nivå av loggning är avgörande för att diagnostisera problem i komplexa miljöer där tjänster som Zookeeper och SOLR kommunicerar över krypterade kanaler. Realtidsövervakning hjälper till att snabbt identifiera grundorsaken till SSL-fel, som kan bero på certifikatsfel, felaktig konfiguration eller utgångna certifikat. Detta felsökningsverktyg är särskilt värdefullt i miljöer med flera noder och SSL-komplexitet.

#!/bin/bash
# Script to automate SOLR and Zookeeper restart with SSL configuration
# Paths to configuration files
ZOOKEEPER_DIR="/opt/zookeeper"
SOLR_DIR="/opt/solr"
SSL_KEYSTORE="/opt/solr-9.6.1/server/etc/solr-ssl.jks"
ZOOKEEPER_CONFIG="$ZOOKEEPER_DIR/conf/zoo.cfg"
SOLR_CONFIG="$SOLR_DIR/server/etc/jetty-ssl.xml"

# Restart Zookeeper with SSL configuration
echo "Restarting Zookeeper..."
for i in {1..3}; do
    /bin/bash $ZOOKEEPER_DIR/bin/zkServer.sh restart $ZOOKEEPER_DIR/data/z$i/zoo.cfg
done

# Restart SOLR with SSL configuration
echo "Restarting SOLR..."
/bin/bash $SOLR_DIR/bin/solr restart -c -p 8983 -z localhost:2181,localhost:2182,localhost:2183 -m 5g -force

#!/bin/bash
# Generate a keystore with a self-signed certificate
keytool -genkeypair -alias solr -keyalg RSA -keystore /opt/solr-9.6.1/server/etc/solr-ssl.jks

# Import intermediate and root certificates
keytool -import -trustcacerts -alias root -file /path/to/rootCA.pem -keystore /opt/solr-9.6.1/server/etc/solr-ssl.jks
keytool -import -trustcacerts -alias intermediate -file /path/to/intermediateCA.pem -keystore /opt/solr-9.6.1/server/etc/solr-ssl.jks

# Configure Zookeeper SSL settings
echo "ssl.client.enable=true" >> $ZOOKEEPER_DIR/conf/zoo.cfg
echo "ssl.quorum.keyStore.location=/opt/solr-9.6.1/server/etc/solr-ssl.jks" >> $ZOOKEEPER_DIR/conf/zoo.cfg
echo "ssl.quorum.trustStore.location=/opt/solr-9.6.1/server/etc/solr-ssl.jks" >> $ZOOKEEPER_DIR/conf/zoo.cfg

import subprocess
import time

def monitor_ssl_logs(log_file):
    with open(log_file, 'r') as f:
        f.seek(0, 2)  # Move to the end of file
        while True:
            line = f.readline()
            if not line:
                time.sleep(0.1)
                continue
            if "SSL handshake failed" in line:
                print(f"Error: {line.strip()}")

# Start monitoring Zookeeper SSL logs
monitor_ssl_logs("/opt/zookeeper/logs/zookeeper.log")

SSL-handskakning och konfigurationskomplex i SOLR och Zookeeper

En kritisk aspekt att ta itu med när du aktiverar SSL i SOLR och Zookeeper är hur SSL-handslag processen fungerar. Handskakningen innebär utbyte av certifikat mellan klient och server, verifiering av förtroende innan krypterad dataöverföring börjar. Problem uppstår ofta om certifikaten inte är korrekt inställda i både SOLR- och Zookeeper-konfigurationer. Till exempel kan felaktiga certifikatkedjor eller nyckellagringslösenord hindra systemet från att framgångsrikt initiera en SSL-anslutning. SOLR förlitar sig på Jetty för att hantera SSL-kommunikation, vilket gör det viktigt att se till att Jetty-konfigurationen är synkroniserad med dina nyckellagringsinställningar.

En annan vanlig utmaning är att ställa in SSL över flera noder, särskilt i ett Zookeeper-kvorum. Med flera Zookeeper-noder måste SSL-konfigurationen vara konsekvent över alla servrar för att möjliggöra säker klient-till-server- och server-till-server-kommunikation. Varje nod måste ha samma keystore och truststore setup, samt identiska SSL-protokoll som t.ex. TLSv1.2. Dessa konfigurationer finns i filen `zoo.cfg`. Alla avvikelser mellan noderna kan leda till problem som felet "trasigt rör" eller "socket är stängt", vilket framgår av problemscenariot.

Det är också viktigt att överväga hur Zookeeper hanterar kvorumkommunikationen med SSL aktiverat. Genom att ställa in `ssl.quorum.enabledProtocols` säkerställer du att den säkra kommunikationen mellan Zookeeper-noder sker över ett pålitligt protokoll som TLS. Dessutom kan det vara nödvändigt att behålla `ssl.quorum.hostnameVerification=false` i fall där Zookeeper-noder refereras till av IP snarare än värdnamn, eftersom värdnamn som inte matchar kan avbryta SSL-handskakningen. Att finjustera dessa inställningar kan avsevärt förbättra säker kommunikation över din distribuerade installation.