Khắc phục sự cố cấu hình SSL trong SOLR 9.6.1 và Zookeeper 3.8.1 của Ubuntu 24.04.1

Những thách thức trong việc kích hoạt SSL cho SOLR khi tích hợp Zookeeper

Việc kích hoạt SSL trong thiết lập SOLR-Zookeeper có thể phức tạp, đặc biệt là khi làm việc với máy chủ Ubuntu 24.04.1. Quá trình cấu hình này đảm bảo liên lạc an toàn giữa các nút, nhưng ngay cả một cấu hình sai nhỏ cũng có thể ngăn các dịch vụ như Giao diện người dùng quản trị SOLR hoạt động bình thường. Nếu gần đây bạn đã thử bật SSL và gặp phải sự cố thì bạn không đơn độc.

Trong bài viết này, chúng tôi sẽ tìm hiểu một vấn đề phổ biến gặp phải trong quá trình kích hoạt SSL trong SOLR 9.6.1 khi được tích hợp với Zookeeper 3.8.1 trên máy chủ Ubuntu cục bộ. Thiết lập được đề cập bao gồm việc chạy SOLR và Zookeeper trên cùng một máy chủ với một phân đoạn duy nhất, nhiều bản sao và xác thực cơ bản. Trọng tâm sẽ là giải quyết các lỗi xảy ra sau khi cập nhật cài đặt SSL.

Cấu hình sai SSL thường dẫn đến các lỗi như thông báo "Giao diện người dùng quản trị không khởi chạy" hoặc "Đường ống bị hỏng" trong tệp nhật ký, điều này có thể gây khó khăn cho việc khắc phục sự cố. Những lỗi này thường phát sinh từ các vấn đề về chứng chỉ hoặc lỗi kết nối SSL trong các nút SOLR hoặc Zookeeper, dẫn đến gián đoạn liên lạc giữa các dịch vụ.

Trong các phần sau, chúng tôi sẽ đi sâu hơn vào các tệp nhật ký, phân tích nguyên nhân tiềm ẩn của các lỗi liên quan đến SSL này và đưa ra các giải pháp từng bước để đảm bảo cấu hình SSL mượt mà cho thiết lập SOLR và Zookeeper của bạn.

Phân tích cấu hình và tập lệnh SSL cho SOLR và Zookeeper

Tập lệnh đầu tiên tự động hóa quá trình khởi động lại SOLR và Zookeeper trong khi đảm bảo cấu hình SSL được áp dụng đúng cách. Nó sử dụng tập lệnh Bash để lặp qua các phiên bản Zookeeper và khởi động lại chúng với cài đặt SSL được cập nhật. Tầm quan trọng của tập lệnh này nằm ở việc quản lý nhiều nút Zookeeper, vì cấu hình SSL phải được áp dụng thống nhất trên toàn bộ cụm. Việc sử dụng `zkServer.sh restart` đảm bảo rằng mỗi nút Zookeeper được khởi động lại chính xác với tệp cấu hình tương ứng, giúp tập lệnh trở nên hiệu quả trong việc quản lý cụm trong thiết lập nhiều nút.

Tập lệnh cũng giải quyết việc khởi động lại phiên bản SOLR bằng cách sử dụng `solr restart`. SOLR dựa vào Jetty để xử lý các yêu cầu HTTPS và tập lệnh đảm bảo rằng các cài đặt liên quan đến SSL như đường dẫn kho khóa và kho tin cậy được tải lại chính xác. Điều này ngăn chặn các lỗi bắt tay SSL tiềm ẩn khi truy cập Giao diện người dùng quản trị SOLR, có thể phát sinh từ các chứng chỉ SSL lỗi thời hoặc bị định cấu hình sai. Bằng cách tự động hóa các tác vụ này, tập lệnh giảm thiểu các lỗi thủ công, đặc biệt khi quản lý chứng chỉ SSL trên nhiều dịch vụ trên cùng một máy chủ.

Tập lệnh thứ hai được sử dụng để tạo và quản lý Java KeyStores cho SSL trong cả SOLR và Zookeeper. Tiện ích Keytool của Java được sử dụng để tạo các cặp khóa và nhập chứng chỉ vào kho khóa. Lệnh `keytool -genkeypair` tạo ra các chứng chỉ SSL cần thiết, trong khi `keytool -import` được sử dụng để thêm chứng chỉ gốc và chứng chỉ trung gian đáng tin cậy. Các chứng chỉ này đảm bảo rằng giao tiếp SSL giữa các nút được tin cậy và bảo mật. Tập lệnh này rất quan trọng để thiết lập và quản lý chính xác chứng chỉ SSL, chứng chỉ này đóng vai trò trung tâm trong việc cho phép liên lạc an toàn giữa các dịch vụ.

Cuối cùng, tập lệnh Python được cung cấp hoạt động như một công cụ giám sát nhật ký được thiết kế đặc biệt để phát hiện các lỗi bắt tay SSL. Bằng cách liên tục đọc nhật ký SSL trong thời gian thực, tập lệnh này có thể xác định các vấn đề liên quan đến SSL, chẳng hạn như ``bắt tay SSL không thành công`. Mức ghi nhật ký này rất cần thiết để chẩn đoán sự cố trong môi trường phức tạp nơi các dịch vụ như Zookeeper và SOLR giao tiếp qua các kênh được mã hóa. Giám sát thời gian thực giúp xác định nhanh chóng nguyên nhân gốc rễ của lỗi SSL, nguyên nhân có thể xuất phát từ chứng chỉ không khớp, cấu hình không chính xác hoặc chứng chỉ đã hết hạn. Công cụ khắc phục sự cố này đặc biệt có giá trị trong môi trường có nhiều nút và độ phức tạp SSL.

#!/bin/bash
# Script to automate SOLR and Zookeeper restart with SSL configuration
# Paths to configuration files
ZOOKEEPER_DIR="/opt/zookeeper"
SOLR_DIR="/opt/solr"
SSL_KEYSTORE="/opt/solr-9.6.1/server/etc/solr-ssl.jks"
ZOOKEEPER_CONFIG="$ZOOKEEPER_DIR/conf/zoo.cfg"
SOLR_CONFIG="$SOLR_DIR/server/etc/jetty-ssl.xml"

# Restart Zookeeper with SSL configuration
echo "Restarting Zookeeper..."
for i in {1..3}; do
    /bin/bash $ZOOKEEPER_DIR/bin/zkServer.sh restart $ZOOKEEPER_DIR/data/z$i/zoo.cfg
done

# Restart SOLR with SSL configuration
echo "Restarting SOLR..."
/bin/bash $SOLR_DIR/bin/solr restart -c -p 8983 -z localhost:2181,localhost:2182,localhost:2183 -m 5g -force

#!/bin/bash
# Generate a keystore with a self-signed certificate
keytool -genkeypair -alias solr -keyalg RSA -keystore /opt/solr-9.6.1/server/etc/solr-ssl.jks

# Import intermediate and root certificates
keytool -import -trustcacerts -alias root -file /path/to/rootCA.pem -keystore /opt/solr-9.6.1/server/etc/solr-ssl.jks
keytool -import -trustcacerts -alias intermediate -file /path/to/intermediateCA.pem -keystore /opt/solr-9.6.1/server/etc/solr-ssl.jks

# Configure Zookeeper SSL settings
echo "ssl.client.enable=true" >> $ZOOKEEPER_DIR/conf/zoo.cfg
echo "ssl.quorum.keyStore.location=/opt/solr-9.6.1/server/etc/solr-ssl.jks" >> $ZOOKEEPER_DIR/conf/zoo.cfg
echo "ssl.quorum.trustStore.location=/opt/solr-9.6.1/server/etc/solr-ssl.jks" >> $ZOOKEEPER_DIR/conf/zoo.cfg

import subprocess
import time

def monitor_ssl_logs(log_file):
    with open(log_file, 'r') as f:
        f.seek(0, 2)  # Move to the end of file
        while True:
            line = f.readline()
            if not line:
                time.sleep(0.1)
                continue
            if "SSL handshake failed" in line:
                print(f"Error: {line.strip()}")

# Start monitoring Zookeeper SSL logs
monitor_ssl_logs("/opt/zookeeper/logs/zookeeper.log")

Sự phức tạp về bắt tay và cấu hình SSL trong SOLR và Zookeeper

Một khía cạnh quan trọng cần giải quyết khi bật SSL trong SOLR và Zookeeper là cách Bắt tay SSL quá trình hoạt động. Quá trình bắt tay liên quan đến việc trao đổi chứng chỉ giữa máy khách và máy chủ, xác minh độ tin cậy trước khi bắt đầu truyền dữ liệu được mã hóa. Sự cố thường phát sinh nếu chứng chỉ không được đặt chính xác trong cả cấu hình SOLR và Zookeeper. Ví dụ: chuỗi chứng chỉ hoặc mật khẩu kho khóa không khớp có thể ngăn hệ thống khởi tạo kết nối SSL thành công. SOLR dựa vào Jetty để quản lý giao tiếp SSL, điều quan trọng là phải đảm bảo rằng cấu hình Jetty được đồng bộ hóa với cài đặt kho khóa của bạn.

Một thách thức phổ biến khác là thiết lập SSL trên nhiều nút, đặc biệt là trong số đại biểu Zookeeper. Với nhiều nút Zookeeper, cấu hình SSL phải nhất quán trên tất cả các máy chủ để cho phép liên lạc an toàn giữa máy khách với máy chủ và máy chủ với máy chủ. Mỗi nút phải có cùng thiết lập kho khóa và kho tin cậy cũng như các giao thức SSL giống hệt nhau, chẳng hạn như TLSv1.2. Các cấu hình này được tìm thấy trong tệp `zoo.cfg`. Bất kỳ sự khác biệt nào giữa các nút đều có thể dẫn đến các vấn đề như lỗi "hỏng đường ống" hoặc "ổ cắm bị đóng", như đã thấy trong tình huống sự cố.

Điều cần thiết là phải xem xét cách Zookeeper xử lý các thông tin liên lạc tối thiểu khi bật SSL. Bằng cách đặt `ssl.quorum.enabledProtocols`, bạn đảm bảo rằng giao tiếp an toàn giữa các nút Zookeeper diễn ra qua giao thức đáng tin cậy như TLS. Ngoài ra, việc giữ `ssl.quorum.hostnameVerification=false` có thể cần thiết trong trường hợp các nút Zookeeper được tham chiếu bằng IP thay vì tên máy chủ, vì tên máy chủ không khớp có thể làm gián đoạn quá trình bắt tay SSL. Tinh chỉnh các cài đặt này có thể cải thiện đáng kể khả năng liên lạc an toàn trên toàn bộ thiết lập phân tán của bạn.