Ubuntu 24.04.1'in SOLR 9.6.1 ve Zookeeper 3.8.1'deki SSL Yapılandırma Sorunlarını Düzeltme

Zookeeper Entegrasyonu ile SOLR için SSL'yi Etkinleştirmedeki Zorluklar

SOLR-Zookeeper kurulumunda SSL'yi etkinleştirmek, özellikle Ubuntu 24.04.1 sunucularıyla çalışırken zor olabilir. Bu yapılandırma işlemi, düğümler arasında güvenli iletişim sağlar, ancak küçük bir yanlış yapılandırma bile SOLR Admin UI gibi hizmetlerin düzgün çalışmasını engelleyebilir. Yakın zamanda SSL'yi etkinleştirmeyi denediyseniz ve sorunlarla karşılaştıysanız yalnız değilsiniz.

Bu yazıda, yerel bir Ubuntu sunucusunda Zookeeper 3.8.1 ile entegre edildiğinde SOLR 9.6.1'de SSL aktivasyonu sırasında karşılaşılan yaygın bir sorunu ele alacağız. Söz konusu kurulum, SOLR ve Zookeeper'ın aynı sunucuda tek bir parça, birden fazla kopya ve temel kimlik doğrulamayla çalıştırılmasını içeriyor. Odak noktası, SSL ayarlarını güncelledikten sonra ortaya çıkan hataların çözümü olacaktır.

Yanlış SSL yapılandırmaları genellikle günlük dosyalarında "Yönetici Arayüzü başlatılmıyor" veya "Bozuk kanal" mesajları gibi hatalarla sonuçlanır ve bunların giderilmesi zor olabilir. Bu hatalar genellikle SOLR veya Zookeeper düğümlerindeki sertifika sorunlarından veya SSL bağlantı hatalarından kaynaklanır ve hizmetler arasında iletişimin kopmasına neden olur.

Aşağıdaki bölümlerde günlük dosyalarını daha derinlemesine inceleyeceğiz, SSL ile ilgili bu hataların olası nedenlerini analiz edeceğiz ve SOLR ve Zookeeper kurulumunuz için sorunsuz bir SSL yapılandırması sağlamak için adım adım çözümler sunacağız.

SOLR ve Zookeeper için SSL Yapılandırmasını ve Komut Dosyasını Analiz Etme

İlk komut dosyası, SSL yapılandırmalarının doğru şekilde uygulanmasını sağlarken SOLR ve Zookeeper'ı yeniden başlatma işlemini otomatikleştirir. Zookeeper örnekleri arasında geçiş yapmak ve bunları güncellenmiş SSL ayarlarıyla yeniden başlatmak için Bash komut dosyasını kullanır. Bu betiğin önemi birden fazla Zookeeper düğümünün yönetilmesinde yatmaktadır, çünkü SSL yapılandırmalarının tüm küme boyunca eşit şekilde uygulanması gerekir. 'zkServer.sh restart'ın kullanılması, her Zookeeper düğümünün ilgili yapılandırma dosyasıyla doğru şekilde yeniden başlatılmasını sağlar ve komut dosyasının çok düğümlü bir kurulumda küme yönetimi için verimli olmasını sağlar.

Komut dosyası aynı zamanda SOLR örneğinin "solr restart" kullanarak yeniden başlatılmasını da ele alır. SOLR, HTTPS isteklerini işlemek için Jetty'ye güvenir ve komut dosyası, anahtar deposu ve güven deposu yolları gibi SSL ile ilgili ayarların doğru şekilde yeniden yüklenmesini sağlar. Bu, SOLR Yönetici Kullanıcı Arayüzüne erişirken eski veya yanlış yapılandırılmış SSL sertifikalarından kaynaklanabilecek olası SSL el sıkışma hatalarını önler. Komut dosyası, bu görevleri otomatikleştirerek, özellikle aynı sunucudaki birden fazla hizmette SSL sertifikalarını yönetirken manuel hataları en aza indirir.

İkinci komut dosyası, hem SOLR hem de Zookeeper'da SSL için Java KeyStore'ları oluşturmak ve yönetmek için kullanılır. Anahtar çiftleri oluşturmak ve sertifikaları anahtar deposuna aktarmak için Java'nın Keytool yardımcı programı kullanılır. 'keytool -genkeypair' komutu gerekli SSL sertifikalarını oluştururken, 'keytool -import' güvenilir kök ve ara sertifikaları eklemek için kullanılır. Bu sertifikalar, düğümler arasındaki SSL iletişiminin güvenilir ve emniyetli olmasını sağlar. Bu komut dosyası, hizmetler arasında güvenli iletişimin sağlanmasında merkezi bir rol oynayan SSL sertifikalarının doğru şekilde kurulması ve yönetilmesi için çok önemlidir.

Son olarak, sağlanan Python betiği, SSL anlaşması hatalarını tespit etmek için özel olarak tasarlanmış bir günlük izleme aracı görevi görür. Bu komut dosyası, SSL günlüklerini gerçek zamanlı olarak sürekli okuyarak, "SSL anlaşması başarısız oldu" gibi SSL ile ilgili sorunları tanımlayabilir. Bu düzeyde günlük kaydı, Zookeeper ve SOLR gibi hizmetlerin şifreli kanallar üzerinden iletişim kurduğu karmaşık ortamlardaki sorunları teşhis etmek için gereklidir. Gerçek zamanlı izleme, sertifika uyumsuzluklarından, yanlış yapılandırmadan veya süresi dolmuş sertifikalardan kaynaklanabilecek SSL hatalarının temel nedeninin hızlı bir şekilde belirlenmesine yardımcı olur. Bu sorun giderme aracı, birden fazla düğümün ve SSL karmaşıklığının olduğu ortamlarda özellikle değerlidir.

#!/bin/bash
# Script to automate SOLR and Zookeeper restart with SSL configuration
# Paths to configuration files
ZOOKEEPER_DIR="/opt/zookeeper"
SOLR_DIR="/opt/solr"
SSL_KEYSTORE="/opt/solr-9.6.1/server/etc/solr-ssl.jks"
ZOOKEEPER_CONFIG="$ZOOKEEPER_DIR/conf/zoo.cfg"
SOLR_CONFIG="$SOLR_DIR/server/etc/jetty-ssl.xml"

# Restart Zookeeper with SSL configuration
echo "Restarting Zookeeper..."
for i in {1..3}; do
    /bin/bash $ZOOKEEPER_DIR/bin/zkServer.sh restart $ZOOKEEPER_DIR/data/z$i/zoo.cfg
done

# Restart SOLR with SSL configuration
echo "Restarting SOLR..."
/bin/bash $SOLR_DIR/bin/solr restart -c -p 8983 -z localhost:2181,localhost:2182,localhost:2183 -m 5g -force

#!/bin/bash
# Generate a keystore with a self-signed certificate
keytool -genkeypair -alias solr -keyalg RSA -keystore /opt/solr-9.6.1/server/etc/solr-ssl.jks

# Import intermediate and root certificates
keytool -import -trustcacerts -alias root -file /path/to/rootCA.pem -keystore /opt/solr-9.6.1/server/etc/solr-ssl.jks
keytool -import -trustcacerts -alias intermediate -file /path/to/intermediateCA.pem -keystore /opt/solr-9.6.1/server/etc/solr-ssl.jks

# Configure Zookeeper SSL settings
echo "ssl.client.enable=true" >> $ZOOKEEPER_DIR/conf/zoo.cfg
echo "ssl.quorum.keyStore.location=/opt/solr-9.6.1/server/etc/solr-ssl.jks" >> $ZOOKEEPER_DIR/conf/zoo.cfg
echo "ssl.quorum.trustStore.location=/opt/solr-9.6.1/server/etc/solr-ssl.jks" >> $ZOOKEEPER_DIR/conf/zoo.cfg

import subprocess
import time

def monitor_ssl_logs(log_file):
    with open(log_file, 'r') as f:
        f.seek(0, 2)  # Move to the end of file
        while True:
            line = f.readline()
            if not line:
                time.sleep(0.1)
                continue
            if "SSL handshake failed" in line:
                print(f"Error: {line.strip()}")

# Start monitoring Zookeeper SSL logs
monitor_ssl_logs("/opt/zookeeper/logs/zookeeper.log")

SOLR ve Zookeeper'da SSL El Sıkışma ve Yapılandırma Karmaşıklıkları

SOLR ve Zookeeper'da SSL'yi etkinleştirirken ele alınması gereken kritik bir husus, SSL anlaşması süreç çalışır. El sıkışma, şifreli veri iletimi başlamadan önce güvenin doğrulanması için istemci ve sunucu arasında sertifika alışverişini içerir. Sertifikalar hem SOLR hem de Zookeeper yapılandırmalarında doğru şekilde ayarlanmadığında sorunlar sıklıkla ortaya çıkar. Örneğin eşleşmeyen sertifika zincirleri veya anahtar deposu şifreleri, sistemin başarılı bir şekilde SSL bağlantısı başlatmasını engelleyebilir. SOLR, SSL iletişimini yönetmek için Jetty'ye güvenir; bu da Jetty yapılandırmasının anahtar deposu ayarlarınızla senkronize olmasını sağlamayı önemli kılar.

Diğer bir yaygın zorluk, özellikle Zookeeper çekirdeğinde birden fazla düğümde SSL kurmaktır. Birden fazla Zookeeper düğümüyle, istemciden sunucuya ve sunucudan sunucuya güvenli iletişimi sağlamak için SSL yapılandırmasının tüm sunucularda tutarlı olması gerekir. Her düğüm aynı anahtar deposu ve güven deposu kurulumunun yanı sıra aynı SSL protokollerine sahip olmalıdır. TLSv1.2. Bu konfigürasyonlar 'zoo.cfg' dosyasında bulunur. Düğümler arasındaki herhangi bir tutarsızlık, sorun senaryosunda görüldüğü gibi "boru kırıldı" veya "soket kapalı" hataları gibi sorunlara yol açabilir.

Zookeeper'ın SSL etkin durumdayken çekirdek iletişimini nasıl ele aldığını da dikkate almak önemlidir. "ssl.quorum.enabledProtocols" ayarını yaparak Zookeeper düğümleri arasındaki güvenli iletişimin TLS gibi güvenilir bir protokol üzerinden gerçekleşmesini sağlarsınız. Ayrıca, ana bilgisayar adı uyumsuzlukları SSL anlaşmasını kesintiye uğratabileceğinden, Zookeeper düğümlerinin ana bilgisayar adları yerine IP ile adlandırıldığı durumlarda `ssl.quorum.hostnameVerification=false' değerinin tutulması gerekli olabilir. Bu ayarlara ince ayar yapmak, dağıtılmış kurulumunuz genelinde güvenli iletişimi önemli ölçüde artırabilir.