前言
在HDFS中,我们有Block Access Token的机制来保证DataNode数据块访问的安全性控制。同样地,在Ozone中也有类似地一套安全机制。不过Ozone是基于X.509证书体系下的安全机制,所以在这点上和HDFS的内部实现还是有所区别的。本文笔者来简单聊聊这中间的过程,包括Block Access Token如何与这套安全机制紧密联合在一起的。
Block Access Token的作用
首先我们来了解下Block Access Token的作用,它是用来做什么的?
首先正如token本身的意思所说,它是一个“令牌”,一块用来允许访问数据的“令牌”。这个令牌理应由数据控制中心派发给数据访问者,然后数据访问者携带此令牌去访问目标数据。在目标数据所在的节点上,则会进行令牌的检查。如果检查失败,则数据访问将被拒绝。
Block Acess Token的生成
在Ozone的证书体系下,它的block access token生成附带有相关证书的私钥信息并且带上证书签名信息。因为DataNode节点和OzoneManager服务都是信赖同一份从SCM服务得来的证书,所以基于此信息构建出的token是安全可信的。
证书的生成
这里顺带提及下证书的生成过程。在Ozone中,我们是假定SCM为一个Certificate Authority,并且SCM在自启动完毕后,会做一些相关初始化操作,例如自签名操作。然后OM和DN在启动的时候都向SCM获取证书信息,并持久化证书信息在本地store里面。这2个持久化的证书对于OM,DN来说各自意义并不同。
OM:在创建块时使用证书来生成Block Access Token,并派发到对应的用户里。
DN:利用本地证书检查用户携带的Block Access Token信息。
与此同时,SCM也会记录它所派发的证书信息。
注意,这里的Block Access Token的实现还算比较light weight的,并没有被持久化出去。它的安全性很大程度上取决于本地证书的安全性。
Block Access Token流程图
以下是Block Access Token流程处理图,主要包含了2个阶段过程:
1). 纯数字编号的token验证过程
2). 带数字编号的证书处理过程