一、多租户 Apache Pulsar 最初诞生于雅虎,当时就是为了解决雅虎内部各个部门之间数据的协调,所以多租户特性显得至关重用,Pulsar 从诞生之日起就考虑到多租户这一特性,并在后续的
一、多租户
Apache Pulsar 最初诞生于雅虎,当时就是为了解决雅虎内部各个部门之间数据的协调,所以多租户特性显得至关重用,Pulsar 从诞生之日起就考虑到多租户这一特性,并在后续的实现过程中,将其不断的完善。 多租户这一特性,使得各个部门之间可以共享同一份数据,不用单独部署独立的系统来操作数据,很好的保证了各部门间数据一致性的问题,同时简化维护成本。
在介绍 Pulsar 多租户之前,先来看一下,正常一个系统要实现一个多租户需要做哪些事情:
- 严格的 SLAs 保证
- 确保租户之间的隔离性
- 允许对租户内的资源进行配额
- 在租户内提供系统级别的安全性
- 运维成本低,易管理
Pulsar 的多租户设计符合上述要求:
- 使用身份验证、授权和 ACL(访问控制列表)确保其安全性
- 为每个租户强制执行存储配额
- 支持在运行时更改隔离机制,从而实现操作成本低和管理简单
1.1 什么是多租户
Pulsar的多租户性质主要体现在topic的URL中, 其结构如下:
persistent://tenant/namespace/topic从URL中可以看出tenant(租户)是topic最基本的单元(比命名空间和topic名称更为基本)
1.2 Pulsar多租户的相关特性_安全性(认证和授权)
一个多租户系统需要在租户内提供系统级别的安全性,细分来讲,主要可以归类为一下两点:
- 租户只能访问它有权限访问的 topics
- 不允许访问它无法访问的 topics
在 Pulsar 中,多租户的安全性是通过身份验证和授权机制实现的。当 client 连接到 pulsar broker 时,broker 会使用身份验证插件来验证此客户端的身份,然后为其分配一个 string 类型的 role token。role token 主要有如下作用:
- 判断 client 是否有对 topics 进行生产或消费消息的权限
- 管理租户属性的配置
Pulsar 目前支持一下几种身份认证, 同时支持自定义实现自己的身份认证程序
- TLS 客户端身份认证
- 雅虎的身份认证系统: Athenz
- Kerberos
- JSON Web Token 认证
1.3 Pulsar多租户的相关特性_隔离性
隔离性主要分为如下两种:
- 软隔离:通过磁盘配额,流量控制和限制等手段
- 存储:
- Apache Pulsar 使用Bookkeeper来作为其存储层,bookie是Bookkeeper的实例,Bookkeeper本身就是具有I/O分离(读写分离)的特性,可以很多的做好IO隔离,提升读写的效率。
- 同时,不同的租户可以为不同的NameSpace配置不同的存储配额,当租户内消息的大小达到了存储配额的限制,Pulsar会采取相应的措施,例如:阻止消息生成,抛异常 或丢弃数据等。
Broker:
- 每个Borker使用的内存资源都是有上限的,当Broker达到配置的CPU或内存使用的阈值后,Pulsar会迅速的将流量转移到负载较小的Broker处理。
- 在生产和消费方面,Pulsar都可以进行流量控制,租户可以配置发送和接收的速率,避免出现一个客户端占用当前Broker的所有处理资源。
- 硬隔离:物理资源隔离
- Pulsar 允许将某些租户或名称空间与特定 Broker 进行隔离。这可确保这些租户或命名空间可以充分利用该特定 Broker 上的资源。
1.4 Pulsar多租户的相关操作
1.4.1 查询租户列表
[root@pulsar1 apache-pulsar-2.9.1]# bin/pulsar-admin tenants list "public" "pulsar" [root@pulsar1 apache-pulsar-2.9.1]#1.4.2 创建租户
[root@pulsar1 apache-pulsar-2.9.1]# bin/pulsar-admin tenants create my-tenant在创建租户时,可以使用-r 或者 --admin-roles标志分配管理角色。可以用逗号分隔的列表指定多个角色。
[root@pulsar1 apache-pulsar-2.9.1]# bin/pulsar-admin tenants create my-tenant --admin-roles role1,role2,role3 [root@pulsar1 apache-pulsar-2.9.1]# bin/pulsar-admin tenants create my-tenant -r role11.4.3 查询租户配置信息
[root@pulsar1 apache-pulsar-2.9.1]# bin/pulsar-admin tenants get my-tenant { "adminRoles" : [ ], "allowedClusters" : [ "pulsar-cluster" ] } [root@pulsar1 apache-pulsar-2.9.1]#1.4.4 更新租户配置信息
[root@pulsar1 apache-pulsar-2.9.1]# bin/pulsar-admin tenants update -c pulsar-cluster my-tenant [root@pulsar1 apache-pulsar-2.9.1]#1.4.5 删除租户
- 注意:在删除的时候,如果库下已经有名称空间,是无法删除的,需要先删除名称空间
二、名称空间
namespace是Pulsar中最基本的管理单元,在namespace这一层面,可以设置权限,调整副本设置,管理跨集群的消息复制,控制消息策略和执行关键操作。一个主题topic可以继承其所对应的namespace的属性,因此我们只需对namespace的属性进行设置,就可以一次性设置该namespace中所有主题topic的属性。
namespace有两种,分别是本地的namespace和全局的namespace:
- 本地namespace——仅对定义它的集群可见。
- 全局namespace——跨集群可见,可以是同一个数据中心的集群,也可以是跨地域中心的集群,这依赖于是否在namespace中设置了跨集群拷贝数据的功能。
虽然本地namespace和全局namespace的作用域不同,但是只要对他们进行适当的设置,都可以跨团队和跨组织共享。一旦生产者获得了namespace的写入权限,那么它就可以往namespace中的所有topic主题写入数据,如果某个主题不存在,则在生产者第一次写入数据时动态创建。
2.1 Pulsar NameSpace(名称空间) 相关操作_基础操作
2.1.1 在指定的租户下创建namespace
[root@pulsar1 apache-pulsar-2.9.1]# bin/pulsar-admin namespaces create my-tenant/my-ns [root@pulsar1 apache-pulsar-2.9.1]#2.1.2 查看某个租户下的namespace列表
[root@pulsar1 apache-pulsar-2.9.1]# bin/pulsar-admin namespaces list my-tenant "my-tenant/my-ns" [root@pulsar1 apache-pulsar-2.9.1]#2.1.3 删除namespace
[root@pulsar1 apache-pulsar-2.9.1]# bin/pulsar-admin namespaces delete my-tenant/my-ns [root@pulsar1 apache-pulsar-2.9.1]#2.2Pulsar NameSpace(名称空间) 相关操作_高级操作
2.2.1 获取名称空间相关的配置策略
[root@pulsar1 apache-pulsar-2.9.1]# bin/pulsar-admin namespaces policies my-tenant/my-ns { "auth_policies" : { "namespace_auth" : { }, "destination_auth" : { }, "subscription_auth_roles" : { } }, "replication_clusters" : [ "pulsar-cluster" ], "bundles" : { "boundaries" : [ "0x00000000", "0x40000000", "0x80000000", "0xc0000000", "0xffffffff" ], "numBundles" : 4 }, "backlog_quota_map" : { }, "clusterDispatchRate" : { }, "topicDispatchRate" : { }, "subscriptionDispatchRate" : { }, "replicatorDispatchRate" : { }, "clusterSubscribeRate" : { }, "publishMaxMessageRate" : { }, "latency_stats_sample_rate" : { }, "deleted" : false, "encryption_required" : false, "subscription_auth_mode" : "None", "offload_threshold" : -1, "schema_auto_update_compatibility_strategy" : "Full", "schema_compatibility_strategy" : "UNDEFINED", "is_allow_auto_update_schema" : true, "schema_validation_enforced" : false, "subscription_types_enabled" : [ ], "properties" : { } } [root@pulsar1 apache-pulsar-2.9.1]#2.2.2 配置多个集群之间的数据复制
#获取给定命名空间复制集群的列表 [root@pulsar1 apache-pulsar-2.9.1]# bin/pulsar-admin namespaces get-clusters my-tenant/my-ns "pulsar-cluster" # 设置复制集群 [root@pulsar1 apache-pulsar-2.9.1]# bin/pulsar-admin namespaces set-clusters my-tenant/my-ns --clusters pulsar-cluster22.2.3 配置 backlog quota 策略
-
待定配额帮助Broker在某个名称空间达到某个阈值限制时限制其带宽/存储。管理员可以设置限制,并在达到限制后采取相应的行动。
-
查看quota配置
- 进行quota设置
参数说明如下:
-
limit:Bookeeper使用磁盘空间大小
-
limitTime:单位为秒,在该时间内,Bookeeper使用磁盘空间大小
-
policy:有3个可选值
- producer_request_hold:Broker暂停运行,不再接收produce新的请求
- producer_exception:Broker抛出异常,和客户端断开连接
- consumer_backlog_eviction:Broker丢弃老的消息
-
删除quota设置
2.2.4 配置持久化策略
-
持久化策略可以为给定命名空间下 topic 上的所有消息配置持久等级。
-
查看持久化配置
- 进行持久化设置
各参数含义如下:
- bookkeeper-ack-quorum:一条entry消息需要多少个Bookeeper确认,才算produce成功。默认0
- bookkeeper-ensemble:一个topic能使用的Bookeeper数量。默认0
- bookkeeper-write-quorum:一条entry消息要写入多少个Bookeeper。默认0
- ml-mark-delete-max-rate:mark-delete操作的最大速率。默认0.0
2.2.5 配置消息存活时间(TTL)
- 获取TTL设置
- 进行TTL设置,单位为秒
- 删除TTL设置
2.2.6 Topic的消息发送速率
- 获取Topic的消息发送速率配置
- 进行Topic的消息发送速率配置
参数说明如下:
- dispatch-rate-period:进行限制的时间大小,默认为1秒
- msg-dispatch-rate:在dispatch-rate-period时间范围内,能接收的消息数量。默认-1
- byte-dispatch-rate:在dispatch-rate-period时间范围内,能接收的数据字节大小。默认-1
2.2.7 Topic的消息接收速率
- 获取Topic的消息接收速率配置
- 进行Topic的消息接收速率配置
参数说明如下:
- dispatch-rate-period:进行限制的时间大小,默认为1秒
- msg-dispatch-rate:在dispatch-rate-period时间范围内,能接收的消息数量。默认-1
- byte-dispatch-rate:在dispatch-rate-period时间范围内,能接收的数据字节大小。默认-1
2.2.8 配置整个名称空间中Topic的复制集群的速率
- 获取Topic的多个集群之间的复制速率配置
- 进行Topic的多个集群之间的复制速率配置
参数说明如下:
- dispatch-rate-period:进行限制的时间大小,默认为1秒
- msg-dispatch-rate:在dispatch-rate-period时间范围内,能接收的消息数量。默认-1
- byte-dispatch-rate:在dispatch-rate-period时间范围内,能接收的数据字节大小。默认-1
三、Topic
Topic:话题主题的含义,在一个名称空间下,可以定义多个Topic 通过Topic进行数据的分类划分,将不同的类别的消息放置到不同Topic,消费者也可以从不同Topic中获取到相关的消息,是一种更细粒度的消息划分操作,同时在Topic下可以划分为多个分片,进行分布式的存储操作,每个分片下还存在有副本操作,保证数据不丢失,当然这些分片副本更多是由bookkeeper来提供支持。
Pulsar 提供持久化与非持久化两种topic。 持久化topic是消息发布、消费的逻辑端点。 持久化topic地址的命名格式如下:
persistent://tenant/namespace/topic非持久topic应用在仅消费实时发布消息与不需要持久化保证的应用程序。 通过这种方式,它通过删除持久消息的开销来减少消息发布延迟。 非持久化topic地址的命名格式如下:
non-persistent://tenant/namespace/topic3.1 Pulsar Topic(主题) 相关操作_基础操作
3.1.1 创建Topic
- 创建无分区的topic
- 创建有分区的topic
- 列出namespace下的所有topic
可以看到my-non-partitioned-topic这个topic已经被删除了。这是因为一个topic被创建后,如果在创建后的60秒内不活动,就会被自动删除。可以通过如下两个参数进行控制
- Brokerdeleteinactivetopicsenabenabled:表示是否启动自动删除,默认值为true
- BrokerDeleteInactiveTopicsFrequencySeconds:表示不活动的时间,默认为60s
3.1.2 更新topic
[root@pulsar1 apache-pulsar-2.9.1]# bin/pulsar-admin topics update-partitioned-topic persistent://my-tenant/my-ns/my-partitioned-topic --partitions 6 [root@pulsar1 apache-pulsar-2.9.1]#3.1.3 删除topic
- 删除无分区topic
- 删除有分区topic
3.1.4 列出topic下的subscriptions
[root@pulsar1 apache-pulsar-2.9.1]# bin/pulsar-admin topics subscriptions persistent://public/default/my-partitioned-topic "consume-test" [root@pulsar1 apache-pulsar-2.9.1]#3.1.5 删除topic下的subscription
- 需要该subscription没有active consumer
3.2 Pulsar Topic(主题) 相关操作_高级操作
3.2.1 授权
pulsar-admin topics grant-permission --actions produce,consume --role application1 persistent://test- tenant/ns1/tp13.2.2 获取权限
pulsar-admin topics grant-permission --actions produce,consume --role application1 persistent://test- tenant/ns1/tp13.2.3 取消权限
pulsar-admin topics revoke-permission --role application1 persistent://test-tenant/ns1/tp1 { "application1": [ "consume", "produce" ] }参考: https://blog.csdn.net/yy8623977/article/details/123605211