专栏首页中间件兴趣圈RocketMQ ACL使用指南

RocketMQ ACL使用指南

什么是ACL?

RocketMQ在4.4.0版本开始支持ACL。ACL是access control list的简称,俗称访问控制列表。访问控制,基本上会涉及到用户、资源、权限、角色等概念,那在RocketMQ中上述会对应哪些对象呢?

  • 用户 用户是访问控制的基础要素,也不难理解,RocketMQ ACL必然也会引入用户的概念,即支持用户名、密码。
  • 资源 资源,需要保护的对象,在RocketMQ中,消息发送涉及的Topic、消息消费涉及的消费组,应该进行保护,故可以抽象成资源。
  • 权限 针对资源,能进行的操作,
  • 角色 RocketMQ中,只定义两种角色:是否是管理员。

另外,RocketMQ还支持按照客户端IP进行白名单设置。

ACL基本流程图

在讲解如何使用ACL之前,我们先简单看一下RocketMQ ACL的请求流程:

对于上述具体的实现,将在后续文章中重点讲解,本文的目的只是希望给读者一个大概的了解。

如何配置ACL

3.1 acl配置文件

acl默认的配置文件名:plain_acl.yml,需要放在{ROCKETMQ_HOME}/store/config目录下。下面对其配置项一一介绍。

3.1.1 globalWhiteRemoteAddresses

全局白名单,其类型为数组,即支持多个配置。其支持的配置格式如下:

  • 空 表示不设置白名单,该条规则默认返回false。
  • "*" 表示全部匹配,该条规则直接返回true,将会阻断其他规则的判断,请慎重使用。
  • 192.168.0.{100,101} 多地址配置模式,ip地址的最后一组,使用{},大括号中多个ip地址,用英文逗号(,)隔开。
  • 192.168.1.100,192.168.2.100 直接使用,分隔,配置多个ip地址。
  • 192.168..或192.168.100-200.10-20 每个IP段使用 "*" 或"-"表示范围。

3.1.2 accounts

配置用户信息,该类型为数组类型。拥有accessKey、secretKey、whiteRemoteAddress、admin、defaultTopicPerm、defaultGroupPerm、topicPerms、groupPerms子元素。

3.1.2.1 accessKey

登录用户名,长度必须大于6个字符。

3.1.2.2 secretKey

登录密码。长度必须大于6个字符。

3.1.2.3 whiteRemoteAddress

用户级别的IP地址白名单。其类型为一个字符串,其配置规则与globalWhiteRemoteAddresses,但只能配置一条规则。

3.1.2.4 admin

boolean类型,设置是否是admin。如下权限只有admin=true时才有权限执行。

  • UPDATE_AND_CREATE_TOPIC 更新或创建主题。
  • UPDATE_BROKER_CONFIG 更新Broker配置。
  • DELETE_TOPIC_IN_BROKER 删除主题。
  • UPDATE_AND_CREATE_SUBSCRIPTIONGROUP 更新或创建订阅组信息。
  • DELETE_SUBSCRIPTIONGROUP 删除订阅组信息。

3.1.2.5 defaultTopicPerm

默认topic权限。该值默认为DENY(拒绝)。

3.1.2.6 defaultGroupPerm

默认消费组权限,该值默认为DENY(拒绝),建议值为SUB。

3.1.2.7 topicPerms

设置topic的权限。其类型为数组,其可选择值在下节介绍。

3.1.2.8 groupPerms

设置消费组的权限。其类型为数组,其可选择值在下节介绍。可以为每一消费组配置不一样的权限。

3.2 RocketMQ ACL权限可选值

  • DENY 拒绝。
  • PUB 拥有发送权限。
  • SUB 拥有订阅权限。

3.3、权限验证流程

上面定义了全局白名单、用户级别的白名单,用户级别的权限,为了更好的配置ACL权限规则,下面给出权限匹配逻辑。

使用示例

4.1 Broker端安装

首先,需要在broker.conf文件中,增加参数aclEnable=true。并拷贝distribution/conf/plain_acl.yml文件到${ROCKETMQ_HOME}/conf目录。

broker.conf的配置文件如下:

 1 brokerClusterName = DefaultCluster
 2 brokerName = broker-b
 3 brokerId = 0
 4 deleteWhen = 04
 5 fileReservedTime = 48
 6 brokerRole = ASYNC_MASTER
 7 flushDiskType = ASYNC_FLUSH
 8 listenPort=10915
 9 storePathRootDir=E:/SH2019/tmp/rocketmq_home/rocketmq4.5MB/store
10 storePathCommitLog=E:/SH2019/tmp/rocketmq_home/rocketmq4.5MB/store/commitlog
11 namesrvAddr=127.0.0.1:9876
12 autoCreateTopicEnable=false
13 aclEnable=true

plain_acl.yml文件内容如下:

 1 globalWhiteRemoteAddresses:
 2
 3 accounts:
 4 - accessKey: RocketMQ
 5  secretKey: 12345678
 6  whiteRemoteAddress:
 7  admin: false
 8  defaultTopicPerm: DENY
 9  defaultGroupPerm: SUB
10  topicPerms:
11  - TopicTest=PUB
12  groupPerms:
13  # the group should convert to retry topic
14  - oms_consumer_group=DENY
15
16- accessKey: admin
17  secretKey: 12345678
18  whiteRemoteAddress:
19  # if it is admin, it could access all resources
20  admin: true

从上面的配置可知,用户RocketMQ只能发送TopicTest的消息,其他topic无权限发送;拒绝oms_consumer_group消费组的消息消费,其他消费组默认可消费。

4.2 消息发送端示例

 1 public class AclProducer {
 2    public static void main(String[] args) throws MQClientException, InterruptedException {
 3        DefaultMQProducer producer = new DefaultMQProducer("please_rename_unique_group_name", getAclRPCHook());
 4        producer.setNamesrvAddr("127.0.0.1:9876");
 5        producer.start();
 6        for (int i = 0; i < 1; i++) {
 7            try {
 8                Message msg = new Message("TopicTest3" ,"TagA" , ("Hello RocketMQ " + i).getBytes(RemotingHelper.DEFAULT_CHARSET));
 9                SendResult sendResult = producer.send(msg);
10                System.out.printf("%s%n", sendResult);
11            } catch (Exception e) {
12                e.printStackTrace();
13                Thread.sleep(1000);
14            }
15        }
16        producer.shutdown();
17    }
18
19    static RPCHook getAclRPCHook() {
20        return new AclClientRPCHook(new SessionCredentials("rocketmq","12345678"));
21    }
22 }

运行效果如图所示:

4.3 消息消费端示例

 1 public class AclConsumer {
 2
 3    public static void main(String[] args) throws InterruptedException, MQClientException {
 4        DefaultMQPushConsumer consumer = new DefaultMQPushConsumer("oms_consumer_group", getAclRPCHook(),new AllocateMessageQueueAveragely());
 5        consumer.setConsumeFromWhere(ConsumeFromWhere.CONSUME_FROM_FIRST_OFFSET);
 6        consumer.subscribe("TopicTest", "*");
 7        consumer.setNamesrvAddr("127.0.0.1:9876");
 8        consumer.registerMessageListener(new MessageListenerConcurrently() {
 9            @Override
10            public ConsumeConcurrentlyStatus consumeMessage(List<MessageExt> msgs,
11                ConsumeConcurrentlyContext context) {
12                System.out.printf("%s Receive New Messages: %s %n", Thread.currentThread().getName(), msgs);
13                return ConsumeConcurrentlyStatus.CONSUME_SUCCESS;
14            }
15        });
16        consumer.start();
17        System.out.printf("Consumer Started.%n");
18    }
19
20    static RPCHook getAclRPCHook() {
21        return new AclClientRPCHook(new SessionCredentials("rocketmq","12345678"));
22    }
23}

发现并不没有消费消息,符合预期。

关于RocketMQ ACL的使用就介绍到这里了,下一篇将介绍RocketMQ ACL实现原理。


本文分享自微信公众号 - 中间件兴趣圈(dingwpmz_zjj),作者:丁威

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-06-30

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 源码分析RocketMQ ACL实现机制

    有关RocketMQ ACL的使用请查看上一篇RocketMQ ACL使用指南,本文从源码的角度,分析一下RocketMQ ACL的实现原理。

    丁威
  • ES Pipeline Aggregation(管道聚合)

    同级管道聚合,它计算同级聚合中指定度量的平均值。同级聚合必须是多桶聚合,针对的是度量聚合(metric Aggregation)。 示例如下:

    丁威
  • Elasticsearch Document Index API详解、原理与示例

    本节将开始介绍Document API,本节将重点介绍ElasticSearch Doucment Index API(新增索引)。

    丁威
  • Groovy 使用Builder AST 转换为流式API

    从Groovy 2.3开始,我们可以使用@Builder AST转换轻松地为我们的类创建一个流畅的API。 我们可以将注释应用于我们的类,结果类文件将具有支持流...

    白石
  • 当 SSR 遇上 Serverless,轻松实现页面瞬开

    最近随着 Rax SSR 完成渲染性能 6x React 的提升,以及工程上 Serverless 发布形式的对接,我想是时候跟大家介绍下 Rax SSR 了。

    ConardLi
  • 【Web技术】503- 当 SSR 遇上 Serverless,轻松实现页面瞬开

    最近随着 Rax SSR 完成渲染性能 6x React 的提升,以及工程上 Serverless 发布形式的对接,我想是时候跟大家介绍下 Rax SSR 了。

    pingan8787
  • Android:关于Kotlin的入门语法指南(类、变量 & 函数)都总结在这里了!

    Kotlin的基本数值类型有六种:Byte、Short、Int、Long、Float、Double

    Carson.Ho
  • 文件系统(01):基于SpringBoot框架,管理Excel和PDF

    Excel一款电子表格软件。直观的界面、出色的计算功能和图表工具,在系统开发中,经常用来把数据转存到Excel文件,或者Excel数据导入系统中,这就涉及数据转...

    知了一笑
  • 麻省理工人工智能通过“图灵听力测试”

    2016年6月13日,麻省理工计算机科学与人工智能实验室(CSAIL)发布消息称,该实验室开发的人工智能程序通过了“图灵听力测试”。 该实验室的研究人员展示了一...

    人工智能快报
  • solr中使用IKAnalyzer配置同义词,停止词,扩展词

    第一步 将IKAnalyzer2012FF_u1放到solr-4.7.2/example/solr-webapp/webapp/WEB-INF/lib 目录下 ...

    Mshu

扫码关注云+社区

领取腾讯云代金券