java - 防止未经授权的成员加入 Hazelcast 集群
问题描述
我们正在更改我们的一个应用程序以使用 Hazelcast 3.11 社区版,并在几个主机上运行的多个 JVM 之间进行一些锁定。我们在语法上配置我们的集群,如下所示:
public class HazelcastBuilder {
private final String name;
private final String password;
private final String members;
private final String hostName;
private final String applicationName;
public HazelcastInstance getHazelcastInstance() {
Config hazelcastConfig = new Config();
GroupConfig groupConfig = new GroupConfig(name, password);
hazelcastConfig.setGroupConfig(groupConfig);
TcpIpConfig tcpIpConfig = new TcpIpConfig();
tcpIpConfig.setEnabled(true);
for (String member : members.split(",")) {
tcpIpConfig.addMember(member.trim());
}
hazelcastConfig.getNetworkConfig().getJoin().setTcpIpConfig(tcpIpConfig);
// By default the multicast config is enabled. Disable it here.
hazelcastConfig.getNetworkConfig().getJoin().getMulticastConfig().setEnabled(false);
String instanceName = applicationName + "-" + hostName;
hazelcastConfig.setInstanceName(instanceName);
logger.info("Creating hazelcast instance: " + instanceName);
return Hazelcast.getOrCreateHazelcastInstance(hazelcastConfig);
}
}
一切正常,集群被正确创建并按预期工作。
但是,我创建了一个单元测试并配置了一个与应用程序同名的本地集群,然后我将我的开发人员机器添加到其中。一切正常,我的本地主机毫无问题地加入了应用程序集群。
当然,在生产环境中不能接受这样的事情,这是我的问题:
鉴于我们有一个可以运行我们的应用程序的主机名列表,什么是防止未经授权的成员加入给定 hazelcast 集群的最佳方法。
预先感谢您的帮助。
解决方案
如果您正在搜索安全功能,那么您应该使用 Hazelcast 企业版。检查功能列表:
如果你只需要阻止任意机器连接到你的集群,那么开源版本中有几个选项:
- 为每个集群使用唯一的组名;
- 作为额外的保护级别,您可以在配置中定义验证令牌 - 只需设置
hazelcast.application.validation.token
Hazelcast 属性(或系统属性) - 查看参考手册了解详细信息 - 指定应使用哪些网络接口 ( doc ) 并通过将
hazelcast.socket.bind.any
属性设置为false
. 通常,您的生产集群在受信任的 LAN 环境中运行,因此您希望使其只能在该 LAN 内访问。 - 多播发现机制(doc)还添加了
<trusted-interfaces>
可以帮助您的配置。您正在使用 TCP 发现,因此它对您的方案无效。
最后说明:Hazelcast 开源版中没有检查组密码字段!
推荐阅读
- python - 如何运行泛型类型的静态方法?
- sql - 如何在 SQL 中显示与两个表的父/子关系
- javascript - 是否可以阻止用户在 HTML 运行时在文本框中输入长度超过 5 的值?
- mysql - AWS EB 未定义 RDS_HOSTNAME,数据库主机数组为空
- python - 计算一组坐标之间的距离
- objective-c - 有没有在后台 dispatch_queue 上初始化 ObjC 对象的好方法?
- mysql - 在 DBeaver 中使用 ssh 隧道连接到远程数据库
- kotlin - 如何在多个 Kotlin 版本之间切换?
- javascript - 如果在该窗口上使用表单生成器,则无法在 Angular 7 中打开一个窗口
- angular - TypeScript 3:不能使用命名空间“WordArray”作为类型(外部模块)