首页 > 其他分享 >consul的acl配置

consul的acl配置

时间:2023-11-15 13:45:50浏览次数:29  
标签:Consul consul 配置 Server token 集群 UI acl 节点

正文

关于集群,第一反应就是多搞几台机器(或者容器等),将其关联在一块,提供功能即可;在搭建集群环境之前,需要对几个角色进行熟悉,因为在Consul中,它们至关重要。见下图(以一个数据中心为例):

image-20210320132943457

  • 数据中心(DataCenter):Consul运行的节点集连接在一起称为数据中心;在数据中心中,各个Consul节点可以以服务器(Server)或客户端模式(Client)运行;为了保证可用性和高性能,通常一个数据中心内推荐3~5个服务器(不超过5个),客户端个数建议不要超过5000个(具体根据业务决定)。
  • 客户端模式(Client):客户端负责注册服务、运行健康检查并将相关RPC转发给服务器,相对来说是无状态的。Client+LAN gossip协议组成了一个数据中心中的节点集,通信效率高。
  • 服务器模式(Server):服务器包含客户端的功能,每个Server还参与选举,响应RPC查询,转发信息给ServerLeader等;另外还负责维护Consul的集群状态(持久化):包括其他服务器和客户端的信息、哪些服务可供发现、哪些服务允许相互通信;每个Consul数据中心必须至少有一个服务器
  • 服务器领导者(Server Leader):除了包含Server的功能外,还负责同步数据到各个Server;每一个集群中只能有一个ServerLeader,保证集群内数据一致。

在整个集群中是通过网络进行关联,需要多个端口实现对应功能,如上图;端口简介:

image-20210320141456194

了解到Consul的架构及各个角色功能,接下来就是实操啦。

1. 搭建集群

在这里,就不搞那么多机器了,两台搭集群,一台服务器模式,一台客户端模式(电脑有限,不想搞那么多虚拟机),原理是一样的,主要还是着重说说过程:

1.1 启动一个Server(就一台Server,那它肯定是Leader了)

这里演示在启动节点前,将配置文件目录和data创建好,如下:

image-20210320174907497

使用命令启动:

consul agent -server -bootstrap-expect 1 -datacenter=dc_zoe -config-dir=./config -data-dir ./data -node=s1 -ui -rejoin -bind=192.168.1.6 -client 0.0.0.0

启动起来时包含一些节点信息,如下:

image-20210320173149295

命令解析

  • agent:Consul的核心进程,每个节点都需要代理的形式运行;
  • -server:代表是Server模式,如果没有-server就代表是Client模式;
  • -bootstrap-expect:在一个数据中心中期望的Server的节点个数,直到启动Server个数达到设置的个数时,集群才能起作用,并从中选举出一个ServerLeader;
  • -bootstrap:手动指定Server为Leader;当Server个数大于0时,该参数不能和-bootstrap-expect一起使用(以上命令中没有用到);
  • -datacenter:指定数据中心的名称;
  • -config-dir:指定配置文件目录,这里指定的是当前目录下的config目录,Consul会自动加载里面所有Json格式的配置文件(.json结尾);
  • -data-dir:指定节点运行时数据状态保存的路径,这里将其对应的数据保存在当前文件夹下的data目录中;
  • -node:指定节点的名称,在集群中必须是唯一的,默认是主机名;
  • -ui:使用默认UI界面,Consul提供一个UI项目,下载可以指定对应的目录,使用-ui-dir 指定对应的UI目录即可;
  • -rejoin:忽略之前的断开,重新启动时会尝试加入集群;
  • -bind:指定绑定的地址,该地址通常用来在集群内部通讯,集群内的所有节点地址都必须正常通讯;
  • -client:Consul服务监听的地址,这个地址提供HTTP/DNS/RPC等服务,默认是127.0.0.1,所以外部不能访问,UI通过IP地址也不能访问;如果需要提供服务,将其指定为0.0.0.0即可。
  • -encrypt:指定一个秘钥,在通讯时进行加密,这个秘钥可以通过consul keygen生成,在同一个集群中,各节点必须使用相同的秘钥;

以上列举常用的参数,还有一些不太常用的,小伙伴如果用到去官网上查查(偷偷告诉小伙伴,参数还可以统一放在配置文件中哦)。

如果是多个Server,只需在每台机器上执行以上命令即可,根据Server数量,修改bootstrap-expect后面的数量即可,然后再改改bind后面的地址即可。

1.2 启动一个Client

启动一个Client和Server几乎一样,只是不用指定Server参数,默认就是客户端模式,命令如下:

consul agent -datacenter=dc_zoe -config-dir=./config -data-dir ./data -node=c1 -bind=192.168.1.8 -client 0.0.0.0

这样Client 就启动起来了

image-20210320235618123

如果是多个Client,在各台机器上执行以上命令即可,只是改改bind的地址即可。

1.3 将节点加入到集群中

上面只是将各节点启动,如果是Server节点,不是Leader的话,会一直提示找不到Leader;如果是Client节点,就会提示找不到对应的Server节点;因为一个集群中至少得有一个Server,在Server中必须得要有且只有一个ServerLeader。所以节点启动之后,下一步就是要将各节点加入到集群中,通常的做法是在各个节点上执行以下命令:

consul join 192.168.1.6 # 通常后面跟的地址是ServerLeader的地址

执行命令之后,对应的节点就加入到集群中了,可以通过UI看到节点:

image-20210321000630141

也可以通过命令查看:

image-20210321000739204

最终这样一个简单集群就搭建完成了,流程就是这样,其余的就是节点个数的问题。

2. ACL配置

Consul使用 Access Control Lists(ACL-访问控制列表)来保护对UI、API、CLI、服务通信和代理通信的访问;ACL的核心是将规则分组为策略,然后将一个或多个策略与令牌相关联。

Consul使用token的形式进行安全控制访问,这里的token就是随机的字符串,有了token就有对应的操作权限啦;就好比之前说到WebAPI接口加访问控制一样,通过一个授权token就可以访问相关的接口资源。

配置ACL的前提是所有节点都需要将ACL启用,然后还要一个bootstrap token,因为针对子权限(策略)生成token的时候需要用到,就好比MySQL中的root用户一样,只有有了root权限才能给其他用户分配更多的权限。接下就以UI的访问和Services的控制进行ACL配置演示,其他基本上都一样,重点就是规划好策略规则。

首先在各节点启动时将ACL启用,在配置文件夹目录中(这里目录名是config)增加acl.hcl文件(每个节点都需要加),内容如下:

acl = {
  enabled = true
  default_policy = "deny"
  enable_token_persistence = true 
}

参数说明:

  • enabled=true 代表开启ACL;
  • default_policy=“deny”默认为allow,如果需要自定义权限,需要将其设置为deny;
  • enable_token_persistence =true开启token持久化,将token持久化到磁盘上;

这里需要注意一点,之前说配置目录下的Json文件会被自动加载,其实还有hcl文件也会被自动加载,这里用hcl的形式演示一下。 配置文件准备好之后,重新启动节点即可(集群中的所有节点都需要用上),访问UI试试,就会弹出如下界面:

image-20210322123052531

点击登录,需要输入一个Token,如果是在配置文件中配置,输入配置的token即可,如果没有配置,可以在运行时生成一个bootstrap token,在任意一个Server中执行consul acl bootstrap命令获得该bootstrap token;Consul中token都很重要,需要保存好。

image-20210322123426117

将生成的bootstrap token输入在登录框中,然后就可以正常获取信息啦;

image-20210322123725996

bootstrap token权限很大,不可能每个小伙伴都拥有,就像MySQL的root权限一样,只能有个别的人知道。其他用户的权限需单独控制;Consul也是如此,针对不同权限策略,生成对应的token,使用这个token就只能访问或操作对应权限范围内的资源。

UI方式配置

ACL的配置其他token可以通过命令的形式,也可以通过UI界面的形式(因为现在有bootstrap token超级权限),这里通过UI的形式很方便的,三步走:

  • 创建策略:

    image-20210322132923632

    策略其他信息基本上没啥说的,主要是规则(Rules)的配置,通常主要针对节点(node)、服务(service)、键值对(K/V)进行配置,可以模糊指定,也可以具体指定,如下:

    node_prefix "":节点前缀为空,代表所有的节点都使用策略;

    service_prefix "":服务前缀为空,代表所有的服务都使用策略;

    service "Code6688Name":指定对应的服务使用策略;

    key_prefix "redis/":只对前缀有"redis/"的key使用对应策略;

    key "dashboard-app":指定对应的key使用策略;

    以上指定策略的范围是比较常用的方式,具体可以参照官网;

    规则中关于策略(policy)通常有以下几种:

    read:只能查询;

    write:可查可写;

    deny:不能读不能写;

    其他细节可以参考ACL官方配置文档

  • 根据策略生成token:

    有了策略之后,接下来就要针对策略生成对应的token啦,如下:

    image-20210322134443553

    在对应弹出框中输入对应的信息即可,如下:

    image-20210322134848450

    保存之后就生成对应的token,可以进入到详细页看到生成的token,直接将token给别人用即可。

    image-20210322135437509

  • 使用token:

    ui测试,直接将token发给其他小伙伴,登录时输入即可,如果是其他操作,带上token即可;对于自己界面测试,切换一下token就可以啦,如下:

    image-20210322135736693

    切换之后,界面中除了node能查出信息,其他都不能使用,操作Key/Value,还报如下错误:

    image-20210322135909568

    在服务注册或服务发现中使用该token,也不能注册和查询服务成功,如下:

    image-20210322140206071

    如果是用配置文件进行服务注册,在配置文件中也要指定token,否则注册服务不成功,如下:

    image-20210322141401332

    服务发现也是一个道理:

    image-20210322140520950

    直接使用HTTP API也是一样需要带上token:

    image-20210322151431903

    命令方式

UI配置的这种形式是不是够直接,命令的方式我就不演示的了吧,步骤的一样,只是全靠命令即可,如下:

  • 编写规则文件;

    image-20210322145642624

  • 根据规则文件生成策略;

    image-20210322150002783

  • 根据策略生成token;

    image-20210322150248490

  • 使用token;

    有了token就可以能干对应权限范围的事了,具体使用就不介绍了,不管是UI、还是API查询,小伙伴自己体验一下吧(上面已经说到)。

注: 以上步骤中开启ACL之后,没有统一配置好超级管理员的boostrap token,所以每次操作都需要带上-token参数。

标签:Consul,consul,配置,Server,token,集群,UI,acl,节点
From: https://www.cnblogs.com/yucongblog/p/17833631.html

相关文章

  • Qt 如何配置CLion标准控制台输出?
    CMake相关问题:即CMakeLists.txt文件中,在add_executable添加了WIN32。即当使用了WIN32标识后,就去掉了控制台,那么自然就没有信息打印出来了。#forexampleadd_executable(${PROJECT_NAME}WIN32${_SRC_FILES}${_PLATFORM_SRC_FILES}${_UI_FILES}${_RES_FIL......
  • 源码级JVS低代码功能新增:动态配置、逻辑多级循环嵌套等等
    低代码更新功能新增:1.下拉组件选项新增动态配置;选项的内容可以根据特定的条件或数据源进行动态变化的功能,通过动态配置,用户可以灵活地设置下拉组件的选项内容,例如从数据库或其他数据源中获取选项数据,或者根据用户的操作动态改变选项。2.新增应用操作日志详情;操作日志是用来记录轻......
  • 用bash脚本快速生成/管理openwrt .config配置文件
    Openwrt自带的图形化配置工具非常方便,但如果自己编译的时候经常要改设置,需要选中或者取消的package散落在图形配置的各个角落,那无疑是非常痛苦的一件事,下面用bash脚本来优化这一流程。下面以生成x86固件为例首先备份你已有的.config配置文件,然后makemenuconfig,在架构中选中x86-......
  • oracle 查看SQL执行计划
    参考:https://blog.csdn.net/m0_71406734/article/details/130745657执行计划的目的了解SQL语句的执行方式,帮助开发人员和DBA分析SQL语句的性能瓶颈。查看SQL语句的执行效率,帮助开发人员和DBA优化SQL语句的性能。了解数据库的物理结构,如索引、表之间的连接方式等。帮助开发人......
  • oracle中insert用select方式插入慢的解决之一
    原理我没明白,但是可以解决插入过慢的问题。原SQLINSERT INTO LOGINSTATBYDEPTzsy(group_id, persons, loginTimes, loginPersons, datadate, TYPE)SELECT tg.id, p.persons, sum(lb.LOGINAMOUNT)sum1, count(DISTINCTtu.id)sum2, 1, 2FROM userdaylogini......
  • oracle查询表空间占用sql
    查询表空间占用SELECT tablespace_name"表空间名", 100"已使用空间(MB)", 0"剩余空间(MB)", 100"总的预分配空间(MB)", 100||'%'"已使用百分比", 0||'%'"剩余百分比"FROM ( SELECT tablespace_name FROM ......
  • 记录WSL的一些配置(网络,header文件)
    一、WSL2配置网络WSL2发布了最新版本2.0.0,这个版本开始,自带支持新的镜像网络解决所有的网络相关问题。需要条件:Windows1122H2以上的版本,安装好的WSL2和linux。更新WSL:wsl--update--pre-release在用户目录 %USERPROFILE% 下面创建一个配置文件 .wslconfig,写入以下内......
  • 2023最新!Python3.12于win10环境下的安装配置
    2023最新!Python3.12于win10环境下的安装配置资源:Python官网,Python3.12.0此为我记录Python安装,参考了这位博主的文章https://blog.csdn.net/thefg/article/details/128601410导航目录2023最新!Python3.12于win10环境下的安装配置导航一、下载Python二、安装Python三、检验是否安......
  • log4j配置日志文件
    配置log4j日志:1、在项目目录下创建 log4j.properties 文件2、复制以下代码:#将等级为DEBUG的日志信息输出到console和file这两个目的地,console和file的定义在下面的代码log4j.rootLogger=DEBUG,console,file#控制台输出的相关设置log4j.appender.console=org.apache.l......
  • Oracle启动数据库报ORA-01102解决办法
    1.机器启动之后登录服务器使用sqlplus/assysdba登录数据库发现数据库并没有启动之前把数据库服务添加过开机自启动![在这里插入图片描述](https://img-blog.csdnimg.cn/c25a5e40f3274621b708d974065bf650.png)2.使用startup命令启动数据库报错了SYS@orcl>startup;ORACLE例程已......