Red Hat Data Grid 8.2 发行注记

Data Grid Server 为 Java 虚拟机(JVM)提供灵活、持久且高度可扩展的数据存储。

默认授权

现在，Data Grid Server 配置允许授权根据一组默认角色和权限限制用户访问权限。

例如，用户需要分配 admin 角色，以便对 Data Grid 集群执行管理操作。当没有足够权限的用户试图操作服务器资源时，会记录以下信息：

The user is not allowed to access the server resource: ISPN000287: Unauthorized access: subject 'Subject with principal(s): [myusername]' lacks 'ADMIN' permission

The user is not allowed to access the server resource: ISPN000287: Unauthorized access: subject 'Subject with principal(s): [myusername]' lacks 'ADMIN' permission

以下显示了启用了授权的默认 Data Grid Server 配置：

<cache-container name="default" statistics="true">
  <transport cluster="${infinispan.cluster.name:cluster}"
             stack="${infinispan.cluster.stack:tcp}"
             node-name="${infinispan.node.name:}"/>
  <security>
    <authorization/> 
  </security>
</cache-container>

<cache-container name="default" statistics="true">
  <transport cluster="${infinispan.cluster.name:cluster}"
             stack="${infinispan.cluster.stack:tcp}"
             node-name="${infinispan.node.name:}"/>
  <security>
    <authorization/> 

  </security>
</cache-container>

用于提高安全性的凭证存储

为了保护敏感文本字符串，如密码，您现在可以将它们添加到凭据密钥存储中，而不是直接在 Data Grid Server 配置中。

使用 credentials 命令和 Data Grid CLI 进行设置。

审计日志记录

审计日志可让您跟踪对 Data Grid 集群的更改，以便您了解何时发生变化以及哪些用户进行更改。

使用 org.infinispan.AUDIT 日志记录类别启用审计日志记录并配置如何记录配置事件和管理操作。

端点 IP 过滤

现在，您可以为 Data Grid Server 端点配置 IP 地址过滤规则来接受或拒绝连接，如下例所示：

<endpoints socket-binding="default" security-realm="default">
  <ip-filter>
    <accept from="192.168.0.0/16"/> 
    <accept from="10.0.0.0/8"/> 
    <reject from="/0"/> 
  </ip-filter>
  ...
</endpoints>

<endpoints socket-binding="default" security-realm="default">
  <ip-filter>
    <accept from="192.168.0.0/16"/> 

    <accept from="10.0.0.0/8"/> 

    <reject from="/0"/> 

  </ip-filter>
  ...
</endpoints>

使用带有 Data Grid CLI 的 server connector ipfilter 命令来检查和修改 IP 过滤规则。

用于客户端证书验证的信任存储

现在，如果要在服务器和客户端间执行 mutual SSL/TLS 证书验证，则数据网格 服务器 现在可让您将客户端信任存储添加到服务器识别配置中。

<security-realm name="default">
   <server-identities>
      <ssl>
         <keystore path="server.pfx"
                   keystore-password="password" alias="server"/>
         <truststore path="trust.pfx" 
                     relative-to="infinispan.server.config.path"
                     password="secret"/>
      </ssl>
   </server-identities>
   <truststore-realm/> 
</security-realm>

<security-realm name="default">
   <server-identities>
      <ssl>
         <keystore path="server.pfx"
                   keystore-password="password" alias="server"/>
         <truststore path="trust.pfx" 

                     relative-to="infinispan.server.config.path"
                     password="secret"/>
      </ssl>
   </server-identities>
   <truststore-realm/> 

</security-realm>

安全域身份缓存

现在，Data Grid 服务器会缓存安全域的身份以提高性能。

您可以使用 cache-max-size 和 cache-lifespan 属性为安全域配置身份缓存，如下例所示，其中显示了默认值：

<security-realm name=" cache-max-size="256" 
                       cache-lifespan="-1"> 
  ...
</security-realm>

<security-realm name=" cache-max-size="256" 

                       cache-lifespan="-1"> 

  ...
</security-realm>

单端口端点的隐式连接器

在使用单一端口进行端点时，您不再需要在 Data Grid Server 配置中定义 Hot Rod 和 REST 连接器。

例如，从 Data Grid 8.2 开始，以下 端点配置 隐式使用默认的 Hot Rod 和 REST 连接器：

<endpoints socket-binding="default" security-realm="default"/>

<endpoints socket-binding="default" security-realm="default"/>

相反，以下 端点配置 明确包括 Hot Rod 和 REST 连接器：

<endpoints socket-binding="default" security-realm="default">
    <hotrod-connector name="hotrod"/>
    <rest-connector name="rest"/>
</endpoints>

<endpoints socket-binding="default" security-realm="default">
    <hotrod-connector name="hotrod"/>
    <rest-connector name="rest"/>
</endpoints>

指标端点与之前的版本一致

为了在版本间兼容，Data Grid 服务器现在导出 Data Grid 7.3 及更高版本提供的所有指标。

Data Grid 控制台提供了一个图形用户界面来监控和维护远程数据网格集群。

用户体验改进

在 Data Grid 8.2 中，控制台提供多个用户体验和可用性。

基于角色的访问控制

Data Grid 控制台应用安全授权配置，并根据分配的角色和权限限制用户访问。

计数器管理

Data Grid 控制台改进了本发行版本中计数器的管理，允许您删除和过滤计数器。

Data Grid 命令行界面(CLI)可让您在远程 Data Grid 集群上执行管理操作。

备份和恢复 Data Grid 集群

CLI 提供了一个 backup 命令，可以创建包含缓存的条目、缓存配置、Protobuf 模式和服务器脚本的数据网格资源存档。然后，您可以在重启或迁移后从备份存档中恢复 Data Grid 集群。

性能测试工具

基准 命令可让您使用 CLI 对缓存运行性能测试。

分配用户角色和权限

CLI 使用 roles 子命令来扩展 user 命令，允许您查看、授予和拒绝用户角色。现在，您可以动态更新用户角色分配，以控制授权设置并限制对 Data Grid 集群和缓存的访问。

跨站点复制操作

在本发行版本中，CLI 允许您使用 site 命令执行额外的跨站点复制操作。

站点名称 返回本地站点的名称。

站点视图 返回可相互备份的所有站点的名称列表。

站点 state-transfer-mode 配置跨站点状态转移，手动或自动进行。

凭证密钥存储管理

CLI 包含一个 credentials 命令，用于管理 Data Grid Server 的凭据密钥存储。

原生 CLI

Data Grid 8.2 添加了原生 CLI，您可以在 Linux、macOS 或 Windows 上运行，并用作 oc 客户端插件。

跨站点复制允许您在多个地理区域备份数据网格集群。

自动状态传输操作

当问题发生和备份位置离线时，您必须使用 CLI 或 JMX 或 REST 手动执行跨站点状态传输操作。

但是，在使用异步备份策略时，Data Grid 现在可在解决冲突后自动执行跨站点状态传输操作。当它检测到备份位置已恢复在线并且网络连接稳定时，Data Grid 会在备份位置之间启动双向状态传输。例如，Data Grid 同时将状态从 LON 传输到 NYC 和 NYC 到 LON。

SPI 用于自定义冲突解析

Data Grid 提供了一个 SPI，可让您为异步 Active/Active 备份配置自定义冲突解析。

XSiteMergePolicy 枚举为冲突分辨率提供以下选项：

您可以使用 merge-policy 属性指定冲突解析策略，包括自定义实现，例如：

<distributed-cache name="eu-customers">
   <backups merge-policy="org.mycompany.MyCustomXSiteEntryMergePolicy">
      <backup site="LON" strategy="ASYNC"/>
   </backups>
</distributed-cache>

<distributed-cache name="eu-customers">
   <backups merge-policy="org.mycompany.MyCustomXSiteEntryMergePolicy">
      <backup site="LON" strategy="ASYNC"/>
   </backups>
</distributed-cache>

能够从 CLI 和 REST 验证跨站点视图

现在，您可以通过 CLI 或 REST API 验证跨站点视图。

对于 CLI，调用 site view 命令，以检索相互备份的所有站点的名称列表。

在 REST API 中，调用以下 GET 请求：

GET /rest/v2/cache-managers/{cacheManagerName}

GET /rest/v2/cache-managers/{cacheManagerName}

Data Grid 使用 JSON 格式的备份位置列表响应，如下所示：

"sites_view": [
    "LON",
    "NYC"
]

"sites_view": [
    "LON",
    "NYC"
]

热 Rod 是一种自定义二进制 TCP 协议，可为客户端应用提供不同编程语言的高性能数据访问。

改进了接近缓存性能

Data Grid Server 现在包含 bloom 过滤器，通过减少无效消息总数来优化写操作的性能。

使用 nearCacheUseBloomFilter （）' 方法为近缓存启用 bloom 过滤器。

新的 Hot Rod 客户端配置属性

从 Data Grid 8.2 开始，Hot Rod 客户端配置 API 提供了以下配置属性：

借助 Data Grid Query API，您可以在 Ickle 查询语言中使用关系或全文本查询来索引缓存和搜索值。

Data Grid 8.2 为您提供了一个显著改进的查询实现，它基于 Hibernate Search 6，它提供了对 Apache Lucene 8 索引功能的支持。此发行版本提供以下查询改进：

有关索引和查询的完整文档，请参阅 在缓存中查询值。

借助 Data Grid REST API，您可以通过 HTTP 与远程集群和缓存交互。

流键和条目

Data Grid REST API 现在允许您以 JSON 格式检索缓存中的所有密钥或条目。按如下方式调用 GET 请求：

GET /rest/v2/caches/{cacheName}?action=keys

GET /rest/v2/caches/{cacheName}?action=keys

GET /rest/v2/caches/{cacheName}?action=entries

GET /rest/v2/caches/{cacheName}?action=entries

使用访问控制列表缓存

Data Grid 8.2 包括了一个访问控制列表(ACL)缓存，用于存储用户角色映射。您可以通过 REST API 与 ACL 缓存交互。

GET /rest/v2/security/user/acl

GET /rest/v2/security/user/acl

POST /rest/v2/security/cache?action=flush

POST /rest/v2/security/cache?action=flush

检索查询和索引统计信息

使用 GET 请求，获取缓存中查询和索引的信息。

GET /v2/caches/{cacheName}/search/stats

GET /v2/caches/{cacheName}/search/stats

缓存配置

Data Grid REST API 现在在检索缓存配置时提供改进的响应，以便更轻松地将远程集群中的缓存配置与本地项目中的缓存配置进行比较和验证。

除了其他 marshaller 实现外，Data Grid 还包括 ProtoStream API，允许您通过网络和持久存储传输自定义 Java 对象。

ProtoStream

Data Grid 8.2 将 ProtoStream API 升级到 4.4.1.Final。

deserialization allow list

红帽承诺使用包含的语言，术语"white list"已更改为"允许列表"，用于配置 Java 类的序列化。

<cache-container>
   <serialization>
      <white-list>
         <class>org.infinispan.test.data.Person</class>
         <regex>org.infinispan.test.data.*</regex>
       </white-list>
   </serialization>
</cache-container>

<cache-container>
   <serialization>
      <white-list>
         <class>org.infinispan.test.data.Person</class>
         <regex>org.infinispan.test.data.*</regex>
       </white-list>
   </serialization>
</cache-container>

<cache-container>
   <serialization>
      <allow-list>
         <class>org.infinispan.test.data.Person</class>
         <regex>org.infinispan.test.data.*</regex>
       </allow-list>
   </serialization>
</cache-container>

<cache-container>
   <serialization>
      <allow-list>
         <class>org.infinispan.test.data.Person</class>
         <regex>org.infinispan.test.data.*</regex>
       </allow-list>
   </serialization>
</cache-container>

创建 SerializationContextInitializer 实现

Data Grid 现在提供了一个 @AutoProtoSchemaBuilder 注释，它生成一个扩展 SerializationContextInitializer 的类或接口的实施。这在将自定义 Java 对象存储在 Data Grid 缓存中时，提供了更有效且可靠的机制来创建 Protobuf 模式和 marshallers。

@ProtoAdaptor for marshalling of external 类

Data Grid 添加了对 @ProtoAdaptor 注释的支持，您可以为任何外部的第三方 Java 对象类添加适应器类。

直接使用集合和数组作为值

从 Data Grid 8.2 开始，您可以使用类型为 ArrayList,LinkedList,HashSet,LinkedHashSet,TreeSet 的值，以及带有 ProtoStream API 的简单类型数组，如 String[] 或 int[]。

在以前的 Data Grid 版本中，在没有额外的映射程序的情况下，无法直接使用集合和数组作为值。任何 put (…​ <ArrayList>) 调用会导致以下异常：

IllegalArgumentException: No marshaller registered for Java type java.util.ArrayList

IllegalArgumentException: No marshaller registered for Java type java.util.ArrayList

Kyro 和 Protostuff marshallers 弃用

Kyro 和 Protostuf marshallers 现已弃用。如需了解更多详细信息，请参阅红帽知识库中的 弃用和删除 文章。

Data Grid 为缓存提供基于模式的配置选项，以及自定义底层机制，如安全性和集群传输。

Authorization: 用户角色和权限

Data Grid 8.2 改进了基于角色的访问控制(RBAC)功能，可保护对 Data Grid 安装的访问以及缓存。

要为 Cache Manager 访问启用授权，将 authorization 元素添加到 cache-container 中，如下例所示：

<cache-container name="default" statistics="true">
  <security>
    <authorization/>
  </security>
</cache-container>

<cache-container name="default" statistics="true">
  <security>
    <authorization/>
  </security>
</cache-container>

要为缓存启用授权，请按如下所示添加 authorization 元素：

<distributed-cache name="myCache" mode="SYNC">
  <security>
    <authorization/>
  </security>
</distributed-cache>

<distributed-cache name="myCache" mode="SYNC">
  <security>
    <authorization/>
  </security>
</distributed-cache>

此角色映射器使用持久复制缓存来动态存储默认角色和权限的 principal-to-role 映射。

MONITOR 权限允许访问 JMX 统计数据和 指标端点。

有关授权的更多信息，请参阅 安全指南中的 以下内容：

数据网格缓存配置片段

从 Data Grid 8.2 开始，您不再需要在缓存配置中包含 infinispan 和 cache-container 元素。

要创建缓存，您只需要提供 *-cache 元素。

例如，要创建一个使用同步模式的分布式缓存，您可以使用以下配置：

<distributed-cache name="myCache" mode="SYNC" />

<distributed-cache name="myCache" mode="SYNC" />

要创建使用 Protobuf 编码的复制缓存，您可以使用以下配置：

<replicated-cache name="books">
  <encoding media-type="application/x-protostream"/>
</replicated-cache>

<replicated-cache name="books">
  <encoding media-type="application/x-protostream"/>
</replicated-cache>

JGroups INSERT_BEFORE 属性

现在，您可以使用 INSERT_BEFORE 值使用 stack.combine inheritance 属性自定义 JGroups 集群传输，例如：

<ASYM_ENCRYPT asym_keylength="2048"
              asym_algorithm="RSA"
              change_key_on_coord_leave = "false"
              change_key_on_leave = "false"
              use_external_key_exchange = "true"
              stack.combine="INSERT_BEFORE" 
              stack.position="pbcast.NAKACK2"/>

<ASYM_ENCRYPT asym_keylength="2048"
              asym_algorithm="RSA"
              change_key_on_coord_leave = "false"
              change_key_on_leave = "false"
              use_external_key_exchange = "true"
              stack.combine="INSERT_BEFORE" 

              stack.position="pbcast.NAKACK2"/>

JGroups 默认堆栈

Data Grid 8.2 更改默认 JGroups 堆栈中针对 UNICAST3 和 NAKACK2 协议重新传输请求的配置。

在某些情况下，比如在较长的 Garbage Collection (GC) pause 时，节点无法处理集群中的其他节点的 JGroups 消息。当这些节点再次可用时，它们请求发送节点以使用 XMIT 请求重新传输 JGroups 消息。

要提高性能并避免因为重新传输请求失败的集群传输问题，请应用以下更改：

缓存健康状况

Data Grid 包括一个新的 FAILED 状态。从这个版本开始，缓存的可用健康状况如下：

基于 JDBC 字符串的缓存存储

基于 JDBC 字符串的缓存存储现在除了用于存储缓存条目的数据表外，还创建一个 _META 表。_META 表保存元数据，以确保任何现有数据库内容与当前数据网格版本和配置兼容。

Data Grid 提供 Spring Cache 和 Spring Session 实现。

从 Data Grid 8.2 开始，您的 Spring 应用程序可以使用 ProtoStream marshaller 将 Java 对象编码并解码为协议缓冲(Protobuf)格式。

如需更多信息，请参阅 Spring Boot Starter

此发行版本包括对 Data Grid Server 的几个改进。

background-validation 和 validate-on-acquisition 属性包含在连接池属性中。Data Grid 命令行界面(CLI)包含 服务器数据源 命令，可让您列出和测试数据源连接。

如需更多信息，请参阅：

如果要只允许 TLS 1.3，您可以配置 Data Grid 服务器使用的 TLS 版本。如需更多信息，请参阅配置 TLS 版本和密码套件。

Data Grid Console 不再显示缓存的 Entries 选项卡，或者允许您为不配置任何编码的缓存创建条目。

如果要通过控制台创建或修改条目，则数据网格建议使用 application/x-protostream 介质类型配置缓存编码。如需更多信息，请参阅 缓存编码和 Marshalling。

除了 PLAIN，Hot Rod Node.JS 客户端现在支持 DIGEST-MD5 和 SCRAM 身份验证机制。

了解如何配置不同的 SASL 身份验证机制，并获取 Hot Rod Node.JS 客户端指南中的使用 示例。

这个版本中的显著文档改进和修订：

Data Grid 8.2.2 修复 CVE-2021-44228，它是 Apache Log4j 日志记录库中的一个安全漏洞。Data Grid 包括受影响的 log4j-core 库，作为 Data Grid Server 分发的一部分，以及 Red Hat OpenShift 部署的 Data Grid Server 镜像。

红帽建议尽快升级到 8.2.2。如果您无法升级，红帽建议您按照步骤来缓解 RHSB-2021-009 Log4Shell - Remote Code Execution security bulletin 中的安全漏洞。

红帽还建议您：

有关此漏洞对 Data Grid 的影响的更多信息，请参阅红帽知识库中的 Red Hat Data Grid 7.x/8.x 会受到 CVE-2021-44228 或 CVE-2021-4104 的影响。

Data Grid 发送 touch 命令，它们协调集群中最大闲置、最大空闲的 max-idle、过期时间的超时值。您可以使用过期配置中的 touch 属性，将 Data Grid 配置为同步或异步发送触动命令。如需更多信息，请参阅 Data Grid 配置架构参考。

Data Grid 8.2.3 修复了 Apache Log4j 日志库中以下常见漏洞和风险(CVE)：

Data Grid 包括受影响的 Log4j 库，作为 Data Grid 服务器分发的一部分，以及 Red Hat OpenShift 部署的 Data Grid Server 镜像的一部分。

红帽建议尽快升级到 8.2.3。如果您无法升级，红帽建议您按照上面提到的 Log4j 漏洞的安全公告页面中包含的缓解方案步骤。

红帽还建议您：