共计 1966 个字符,预计需要花费 5 分钟才能阅读完成。
Pulsar Authorization 受权
Pulsar 的受权须要开启认证,且须要独自在 Broker 和 Proxy 的配置中开启,否则所有认证通过后的用户角色将对所有资源有权限,如未开启认证则所有客户端对所有资源有权限;受权也反对插件化扩大机制,但应用自带的实现就能够满足需要了。此外还能够配置超级用户角色和代理角色,对于集群的治理和 Proxy 拜访等十分有用。
开启 Pulsar 认证配置
之前咱们在 Pulsar 学习笔记之 Authentication 认证机制与插件开发 文章中介绍了 Pulsar 的认证机制和认证插件的开发,有须要能够移步过来看认证插件的配置,也能够应用官网举荐的认证插件。
开启 Pulsar 受权配置示例
# broker.conf
authorizationEnabled=true
authorizationProvider=org.apache.pulsar.broker.authorization.PulsarAuthorizationProvider
superUserRoles=user-role-123456
proxyRoles=pulsar_proxy_role_1
开启受权后,认证通过的用户角色默认是没有任何权限的,须要当时创立租户 / 命名空间,并给用户角色做受权。
创立租户和命名空间
bin/pulsar-admin tenants create my-tenant
bin/pulsar-admin namespaces create my-tenant/my-namespace
bin/pulsar-admin namespaces grant-permission my-tenant/my-namespace \
--actions lookup,produce,consume \
--role userrole-123457
客户端写入有权限命名空间下的 Topic
AuthenticationTabaltAK at = new AuthenticationTabaltAK("test_access_key2", "test_access_secret");
//...
Producer<byte[]> producer = client.newProducer()
.topic("my-tenant/my-namespace/my-topic")
.create();
Pulsar resource-quotas 资源配额
Pulsar resource-quotas 资源配额 用于限度命名空间级别的出入音讯速率、带宽等
bin/pulsar-admin resource-quotas set \
--memory 20 \
--msgRateIn 2 \
--msgRateOut 20 \
--bandwidthIn 2 \
--bandwidthOut 20 \
--bundle "0x00000000_0x40000000" \
--namespace "my-tenant/my-namespace"
bin/pulsar-admin namespaces policies my-tenant/my-namespace
bin/pulsar-admin resource-quotas reset-namespace-bundle-quota \
--bundle "0x00000000_0x40000000" \
--namespace "my-tenant/my-namespace"
Pulsar backlog-quotas 配置
bin/pulsar-admin namespaces set-backlog-quota "my-tenant/my-namespace" \
--limit 100 \
--policy producer_exception / producer_request_hold / consumer_backlog_eviction
bin/pulsar-admin namespaces policies my-tenant/my-namespace
限度 backlog 的大小能够失效,同时有一些“小特点”,但影响不大
- 定期检测(默认看是约 60s),所以首次连贯后大量写入可能会超过
- 大小限度并不那么严格,如设置 –limit 100 –policy consumer_backlog_eviction,进行写入后能生产出不止 100Bytes 数据
- 超过后客户端再次连贯会报错: Cannot create producer on topic with backlog quota exceeded。
3 种 policy 的体现
- producer_exception,客户端会间接抛出异样
- producer_request_hold,客户端会阻塞,但当达到超时工夫也会抛出超时异样
- consumer_backlog_eviction,客户端持续写入,未及时生产的数据会被删除
正文完