时间戳

首页 > 解决方案 > 防止未经授权的成员加入 Hazelcast 集群

java - 防止未经授权的成员加入 Hazelcast 集群

问题描述

我们正在更改我们的一个应用程序以使用 Hazelcast 3.11 社区版,并在几个主机上运行的多个 JVM 之间进行一些锁定。我们在语法上配置我们的集群,如下所示:

public class HazelcastBuilder {
    private final String name;
    private final String password;
    private final String members;
    private final String hostName;
    private final String applicationName;

    public HazelcastInstance getHazelcastInstance() {
        Config hazelcastConfig = new Config();
        GroupConfig groupConfig = new GroupConfig(name, password);
        hazelcastConfig.setGroupConfig(groupConfig);

        TcpIpConfig tcpIpConfig = new TcpIpConfig();
        tcpIpConfig.setEnabled(true);
        for (String member : members.split(",")) {
            tcpIpConfig.addMember(member.trim());
        }

        hazelcastConfig.getNetworkConfig().getJoin().setTcpIpConfig(tcpIpConfig);
        // By default the multicast config is enabled. Disable it here.
        hazelcastConfig.getNetworkConfig().getJoin().getMulticastConfig().setEnabled(false);
        String instanceName = applicationName + "-" + hostName;
        hazelcastConfig.setInstanceName(instanceName);

        logger.info("Creating hazelcast instance: " + instanceName);
        return Hazelcast.getOrCreateHazelcastInstance(hazelcastConfig);
    }
}

一切正常,集群被正确创建并按预期工作。

但是,我创建了一个单元测试并配置了一个与应用程序同名的本地集群,然后我将我的开发人员机器添加到其中。一切正常,我的本地主机毫无问题地加入了应用程序集群。

当然,在生产环境中不能接受这样的事情,这是我的问题:

鉴于我们有一个可以运行我们的应用程序的主机名列表,什么是防止未经授权的成员加入给定 hazelcast 集群的最佳方法。

预先感谢您的帮助。

标签: javahazelcast

解决方案

如果您正在搜索安全功能,那么您应该使用 Hazelcast 企业版。检查功能列表:

如果你只需要阻止任意机器连接到你的集群,那么开源版本中有几个选项:

  • 为每个集群使用唯一的组名;
  • 作为额外的保护级别,您可以在配置中定义验证令牌 - 只需设置hazelcast.application.validation.tokenHazelcast 属性(或系统属性) - 查看参考手册了解详细信息
  • 指定应使用哪些网络接口 ( doc ) 并通过将hazelcast.socket.bind.any属性设置为false. 通常,您的生产集群在受信任的 LAN 环境中运行,因此您希望使其只能在该 LAN 内访问。
  • 多播发现机制(doc)还添加了<trusted-interfaces>可以帮助您的配置。您正在使用 TCP 发现,因此它对您的方案无效。

最后说明:Hazelcast 开源版中没有检查组密码字段!

推荐阅读