consul + consul-template + tls 安装指南

最新推荐文章于 2024-05-08 08:46:59 发布
最新推荐文章于 2024-05-08 08:46:59 发布
阅读量771 收藏
点赞数
分类专栏: consul 微服务

转载链接https://blog.csdn.net/kozazyh/article/details/79844609

实验环境:
Consul v0.8.1
consul-template v0.19.0

consul参考:
https://github.com/hashicorp/consul-template
https://github.com/hashicorp/consul

证书制作参考:
https://github.com/cloudflare/cfssl
https://coreos.com/os/docs/latest/generate-self-signed-certificates.html

使用cfssl 创建 consul 证书:
各个节点必须同步时钟:ntpdate cn.ntp.org.cn

使用cfssl制作证书以及consul安装过程:


(一)安装cfssl (参考:https://github.com/cloudflare/cfssl) 

$ wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
$ chmod +x cfssl_linux-amd64
$ sudo mv cfssl_linux-amd64 /root/local/bin/cfssl

$ wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
$ chmod +x cfssljson_linux-amd64
$ sudo mv cfssljson_linux-amd64 /root/local/bin/cfssljson

$ wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
$ chmod +x cfssl-certinfo_linux-amd64
$ sudo mv cfssl-certinfo_linux-amd64 /root/local/bin/cfssl-certinfo

$ export PATH=/root/local/bin:$PATH
$ mkdir ssl
$ cd ssl
$ cfssl print-defaults config > config.json
$ cfssl print-defaults csr > csr.json
(二)创建 CA (Certificate Authority)
创建 CA 配置文件:

$ cat ca-config.json

{

“signing”: {

“default”: {

“expiry”: “8760h”

},

“profiles”: {

“consul”: {

“usages”: [

“signing”,

“key encipherment”,

“server auth”,

“client auth”

],

“expiry”: “8760h”

}

}

}

}
ca-config.json:可以定义多个 profiles,分别指定不同的过期时间、使用场景等参数;后续在签名证书时使用某个 profile;
signing:表示该证书可用于签名其它证书;生成的 ca.pem 证书中 CA=TRUE;
server auth:表示 client 可以用该 CA 对 server 提供的证书进行验证;

client auth:表示 server 可以用该 CA 对 client 提供的证书进行验证;


创建 CA 证书签名请求: 
$ cat ca-csr.json

{

“CN”: ".example.com",

“key”: {

“algo”: “rsa”,

“size”: 2048

},

“names”: [

{

“C”: “CN”,

“ST”: “BeiJing”,

“L”: “BeiJing”,

“O”: “consul-group”,

“OU”: “System”

}

]

}
“CN”:Common Name,浏览器使用该字段验证网站是否合法;
“O”:Organization,所属的组 (Group);
生成 CA 证书和私钥: 
$ cfssl gencert -initca ca-csr.json | cfssljson -bare ca

$ ls ca

ca-config.json  ca.csr  ca-csr.json  ca-key.pem  ca.pem
(三)创建consul 集群 TLS 秘钥和证书
创建 consul 证书签名请求: 
$ cat > consul-csr.json <<EOF

{

“CN”: ".example.com",

“hosts”: [],

“key”: {

“algo”: “rsa”,

“size”: 2048

},

“names”: [

{

“C”: “CN”,

“ST”: “BeiJing”,

“L”: “BeiJing”,

“O”: “consul-group”,

“OU”: “System”

}

]

}

EOF

hosts 字段指定授权使用该证书的 consul 节点 IP,不填即任何节点都可以用;

生成 consul 证书和私钥: 
$ cfssl gencert -ca=./ca.pem 

-ca-key=./ca-key.pem 

-config=./ca-config.json 

-profile=consul consul-csr.json | cfssljson -bare consul

$ ls consul

consul.csr  consul-csr.json  consul-key.pem  consul.pem

(四)配置consul 集群 TLS : 
(一般 一个client,3server

(

bootstrap : “bootstrap”: true, “server”: true,

server : “bootstrap”: false, “server”: true,

client : “bootstrap”: false, “server”: false,

)
把证书分发到各个节点: 
[root@etcd-client ssl]#scp ./consul*.pem ./ca.pem root@192.168.5.7:/etc/consul.d/ssl

root@192.168.5.7’s password:

consul-key.pem                                100% 1675     1.6KB/s   00:00

consul.pem                                    100% 1424     1.4KB/s   00:00

ca.pem                                        100% 1391     1.4KB/s   00:00
配置consul证书(配置文件只有一台bootstrap,当3台节点加入集群后,bootstrap改为false,让集群自动选举leader): 
[root@etcd-host0 consul.d]# cat /etc/consul.d/config.json

{

“bootstrap”: true,

“server”: true,

“client_addr”: “192.168.5.7”,

“bind_addr”: “192.168.5.7”,

“datacenter”: “hyd”,

“ui”: true,

“data_dir”: “/var/consul”,

“encrypt”: “QTW1Rcdes9eyQFnUng/84g==”,

“log_level”: “DEBUG”,

“enable_syslog”: true,

“ports”: {
“https”: 8501
},

“key_file”: “/etc/consul.d/ssl/consul-key.pem”,
“cert_file”: “/etc/consul.d/ssl/consul.pem”,
“ca_file”: “/etc/consul.d/ssl/ca.pem”,

“verify_outgoing”: true,
“verify_incoming”: true

}

启动集群:

[root@etcd-host0 consul.d]# cat /etc/systemd/system/consul.service

[Unit]

Description=consul agent

Requires=network-online.target

After=network-online.target

[Service]
EnvironmentFile=-/etc/sysconfig/consul
Environment=GOMAXPROCS=2
Restart=on-failure
ExecStart=/usr/local/bin/consul agent -config-file=/etc/consul.d/config.json -rejoin
ExecReload=/bin/kill -HUP $MAINPID
KillSignal=SIGTERM

[Install]
WantedBy=multi-user.target

其他节点加入集群:

[root@k8s-client ssl]# consul join -client-cert=./consul.pem -client-key=./consul-key.pem -ca-file=./ca.pem -http-addr=https://h1.example.com:8501 192.168.5.8

[root@k8s-client ssl]# consul join -client-cert=./consul.pem -client-key=./consul-key.pem -ca-file=./ca.pem -http-addr=https://h1.example.com:8501 192.168.5.86

查看节点: 
[root@etcd-client ssl]# consul members -client-cert=./consul.pem -client-key=./consul-key.pem -ca-file=./ca.pem -http-addr=https://h1.example.com:8501

Node        Address            Status  Type    Build  Protocol  DC

etcd-host0  192.168.5.7:8301   alive   server  0.8.5  2         hyd

etcd-host1  192.168.5.8:8301   alive   server  0.8.5  2         hyd

etcd-host2  192.168.5.86:8301  alive   client  0.8.5  2         hyd

(五)一般不使用服务的证书访问,再生成一份客户端的证书(可以设置客户端证书的过期时间短些,这里就没有使用ca-config.json,而新建一个证书配置文件ca-config-admin.json,把过期时间设置为60小时): 
[root@etcd-client ssl]# cat admin-csr.json

{

“CN”: “*.example.com”,

“hosts”: [],

“key”: {

“algo”: “rsa”,

“size”: 2048

},

“names”: [

{

“C”: “CN”,

“ST”: “BeiJing”,

“L”: “BeiJing”,

“O”: “k8s”,

“OU”: “System”

}

]

}
[root@etcd-node1 ssl]# cat ./ca-config-admin.json

{

“signing”: {

“default”: {

“expiry”: “60h”

},

“profiles”: {

“consul”: {

“usages”: [

“signing”,

“key encipherment”,

“server auth”,

“client auth”

],

“expiry”: “60h”

}

}

}

}


生成客户端证书: 
cfssl gencert -ca=./ca.pem 

-ca-key=./ca-key.pem 

-config=./ca-config-admin.json 

-profile=consul admin-csr.json | cfssljson -bare admin
验证证书: 
[root@etcd-client ssl]# cfssl-certinfo -cert ./admin.pem

[root@etcd-client ssl]# openssl x509  -noout -text -in  admin.pem

[root@k8s-node1 ssl]# consul members -client-cert=./admin.pem -client-key=./admin-key.pem -ca-file=./ca.pem -http-addr=https://h1.example.com:8501
Node Address Status Type Build Protocol DC
etcd-host0 192.168.5.7:8301 alive server 0.8.5 2 hyd
etcd-host1 192.168.5.8:8301 alive server 0.8.5 2 hyd
etcd-host2 192.168.5.86:8301 alive client 0.8.5 2 hyd
查看master节点:

[root@etcd-client ssl]# curl -k https://h1.example.com:8501/v1/status/leader?pretty --key ./admin-key.pem --cert ./admin.pem

"192.168.5.7:8300"
consul-template 客户端连接consul: 
[root@etcd-client consul]# cat template-config.json

consul {

address = h1.example.com:8501

ssl {

enabled = true

verify = false

ca_cert = “/root/consul/ssl/ca.pem”

cert = “/root/consul/ssl/admin.pem”

key = “/root/consul/ssl/admin-key.pem”

}

}

log_level = “debug”

template {
source = “./tmpltest.ctmpl”
destination = “./result”
}

[root@k8s-node1 consul]# consul-template -config=./template-config.json -once

技巧:
1. 为了使证书更安全,最好生成证书时带上IP,这样该证书只能在指定的IP上使用(就是上面提到的hosts)。
2.外部访问可以生成一个1小时的证书,一小时后证书失效。
附录:
https://www.openssl.org/docs/manmaster/man5/x509v3_config.html#Extended-Key-Usage
extended Key Usage (扩展密钥的使用说明:)
 Value                  Meaning
 -----                  -------
 serverAuth             SSL/TLS Web Server Authentication.
 clientAuth             SSL/TLS Web Client Authentication.

bugs:

1.
./consul-template -consul-addr 192.168.5.7:8501 -template “./tmpltest.ctmpl:./result” -once -consul-ssl -consul-ssl-cert=./admin.pem -consul-ssl-key=./admin-key.pem -consul-ssl-ca-cert=./ca.pem -log-level=debug


2017/07/06 17:20:45.786509 [WARN] (view) kv.block(com/test/name): Get https://192.168.5.7:8501/v1/kv/com/test/name?stale=&wait=60000ms: x509: certificate signed by unknown authority (retry attempt 4 after “2s”)
出现该问题原因:
consul-template 版本问题,升级 consul-template v0.18.5 (9902dd5) 到 consul-template v0.19.0 (33b34b3) 问题解决。
参考: https://github.com/hashicorp/consul-template/issues/965

2.
zyh@local:~/consul/ssl$ consul members -ca-file=./ca.cert -client-cert=./consul.cert -client-key=./consul.key -http-addr=https://192.168.0.9:8080
Error retrieving members: Get https://192.168.0.9:8080/v1/agent/members: x509: cannot validate certificate for 192.168.0.9 because it doesn’t contain any IP SANs
出现该问题的原因:使用IP访问,改为域名访问就好了。
在输出证书的时候,你填写了域名,请使用该域名访问:

3.
[root@k8s-node1 ssl]# consul members -client-cert=./consul.pem -client-key=./consul-key.pem -ca-file=./ca.pem -http-addr=https://h1.example.com:8501
Error retrieving members: Get https://h1.example.com:8501/v1/agent/members: remote error: tls: bad certificate
各个节点和客户端的时钟不同步,请先同步时钟,问题就解决了。(ntpdate cn.ntp.org.cn

(六)其他

openssl 制作证书方法: 

参考 https://www.digitalocean.com/community/tutorials/how-to-secure-consul-with-tls-encryption-on-ubuntu-14-04


Hdnrnfgf
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringCloud微服务运维神器之ConsulTemplate
01-27
在具体介绍ConsulTemplate是个什么东西之前,我们先来整体看一张微服务模式下的系统架构图,如下图所示:在上图中,我们看到在基于SpringCloud的微服务体系中,所有的微服务都会被注册到统一服务注册中心进行服务管理,这里使用的服务注册中心是Consul。假设在正常情况下,我们面向C端用户设计了一套微服务逻辑,用户端App通过域名访问后端微服务逻辑,而访问的调用链路是通过将公网域名透过DNS解析到我们的Nginx反向代理服务器,而Nginx服务器则需要将请求打到我们的Api Gateway微服务网关(如Zuul或Spri
consul--基础--03--配置参数
zhou920786312的博客
11-07 4602
以下选项全部在命令行中指定。
【服务治理中间件】consul介绍和基本原理
最新发布
康师傅没有眼泪
05-08 2383
Consul是一个服务网格解决方案,提供了一个功能齐全的控制平面,具有服务发现、配置和分段功能。这些功能中的每一项都可以根据需要单独使用,也可以一起使用来构建一个完整的服务网格。Consul需要一个数据平面,并支持代理和原生集成模型。Consul提供了一个简单的内置代理,因此一切都可以开箱即用,但也支持第三方代理集成,如Envoy。Consul的主要功能有:服务发现: Consul的客户端可以注册一个服务,比如api或mysql,其他客户端可以使用Consul来发现特定服务的提供者。
5分钟让你看懂Consul特性及搭建
热门推荐
Jlion 技术博客
04-06 9万+
一、前言 虽然说牛逼的公司都有那么几个牛逼的运维团队,牛逼的运维团队都有着神秘黑科技般敲代码的姿势;本人虽然不是一个运维工程师,但是有幸自己比较爱倒腾这些东西,也会那么一点点运维知识,虽然不算专业,但是还是可以在linux平台下敲一敲代码。去年由于自己业余时间搞了一个app项目,当时自己兼任后端开发,又同时兼任运维,经过多少个夜晚才把后端API网关 搭建起来,当时技术选型主要使用微服务架构,说到微...
consul 日志配置_使用consul做prometheus服务发现的问题修复
weixin_35079144的博客
01-08 706
测试环境上是一个三节点consul集群,使用haproxy代理,prometheus配置该集群用来服务发现今天查看prometheus系统日志发现如下报错Nov 24 15:59:56 localhost prometheus[71048]: level=error ts=2020-11-24T07:59:56.891Z caller=consul.go:484 component="d...
consul connect envoy 启动acls和tls后,grpc连接异常
qq_34884729的博客
10-12 841
但我情况有点怪,系统环境感觉不生效,直接输出的都正常,就是grpc有问题。看到别人说的一个例子,试了一下,居然正常了。consul的文档变得有点快,但看起来越来越清晰,之前看1.13.1的文档,配置啥的东一块西一块,陷阱都有说,但不是在一起!首先,consul的配置很重要,一开始我也是这样想的,后面把研究反向对到envoy身上,为啥envoy集群起不来。少了这个,因为envoy是要用到grpc的,而且consul的grpc专门就是给envoy 的xdc 用的。就这样就可以跑起来的话,就没下面的什么事情了。
consul+springboot+gradle-demo.zip
06-14
总的来说,这个`consul+springboot2+gradle-demo.zip`项目提供了一个实际操作的示例,演示了如何在`Spring Boot 2`应用中集成`Consul`进行服务发现和配置管理,以及使用`Gradle`作为构建工具。这个项目对于理解和...
consul镜像+docker-compose.yaml
02-07
consul镜像+docker-compose.yaml
Consul+Ocelot+.NetCore Api+IdentityServer 4
12-28
在构建分布式系统时,服务发现和路由是两个关键组件,Consul、Ocelot和IdentityServer 4分别在这两个领域发挥着重要作用。本项目结合了这些技术,为.NET Core API应用提供了一套全面的服务治理解决方案。 Consul是...
Consul+Grafana+Prometheus实现服务器监控-window版.zip
12-14
本资源包"Consul+Grafana+Prometheus实现服务器监控-window版.zip"提供了一套完整的解决方案,专为Windows环境设计,用于实时监控服务器的健康状况和性能指标。让我们深入探讨这三大组件的功能及其在Windows环境中的...
docker-compose-ha-consul-vault-ui:HA Consul + Vault + Vault UI的docker-compose示例
05-09
consul-template会更新dnsmasq配置,并在配置更改后重新启动dnsmasq(例如,即时增加consul群集的大小)。 这使领事DNS查找HA。 保管箱通过通过Consul DNS公开的服务发现进行注册。 只要正常关闭集群,数据就会在...
consul部署多节点和consul-template部署
Admans的专栏
05-09 975
一.consul的介绍 1.1consul是什么? Consul是HashiCorp公司推出的开源工具,用于实现分布式系统的服务发现与配置。 Consul是分布式的、高可用的、可横向扩展的。它具备以下特性 : service discovery:consul通过DNS或者HTTP接口使服务注册和服务发现变的很容易,一些外部服务,例如saas提供的也可以一样注册。 health checking:健康检测使consul可以快速的告警在集群中的操作。和服务发现的集成,可以防止服务转发到故障的服务..
consul-template详解
爱死亡机器人
05-11 2520
consul-template介绍 consul-template是基于consul自动替换配置文件的应用。 github:https://github.com/hashicorp/consul-template 安装 地址:https://releases.hashicorp.com/consul-template/ $ wget https://releases.hashicorp.com/consul-template/0.25.0/consul-template_0.25.0_linux_amd64
consul命令行查看服务_Consul 命令行最全文档
weixin_39918043的博客
12-20 3689
1.启动一个带ACL 控制的Agent首先,从这个网址下载consul,解压后发现就是个可执行文件,如果不可以执行,chmod +x consul 一下。为了试验Consul较多的功能,这里我们打算启用一个dev模式,带ACL控制的Consul代理。配置文件config.json如下{"datacenter":"dc1","primary_datacenter":"dc1","data_dir":...
docker ---Consul部署
L2111533547的博客
07-21 1216
本文使用Consul(https//www.consul.io/)作为服务发现工具的例子。Consul是一个使用一致性算法的特殊数据存储器。Consul使用Raft一致性算法来提供确定的写入机制。Consul暴露了键值存储系统和服务分类系统,并提供可用性、高容错能力,并保证强一致性。服务可以将自己注册到Consul,并以高可用且分布式的方式共享这些信息Consul还提供了一些有趣的功能提供了根据API进行服务分类,代替了大部分传统服务发现工具的键值对存储提供两种接口来查询信息。...
使用consulconsul-template统一管理nginx配置文件
ding_zk的博客
03-21 1088
Consul 是 HashiCorp 公司推出的开源工具,用于实现分布式系统的服务发现与配置。与其他分布式服务注册与发现的方案,Consul 的方案更“一站式”,内置了服务注册与发现框 架、分布一致性协议实现、健康检查、Key/Value 存储、多数据中心方案,不再需要依赖其他工具(比如 ZooKeeper 等)。使用起来也较 为简单。Consul 使用 Go 语言编写,因此具有天然可移植性(支持Linux、windows和Mac OS X);
consul-template服务发现与配置
光明小学王小雨的博客
07-05 1878
11
Docker consul的容器集群的部署|consul-template部署
m0_75015568的博客
04-26 866
Docker consul的容器集群的部署|consul-template部署
Consul+Registrator+Nginx
07-09
Consul、Registrator和Nginx是一组常用的工具和技术,用于实现服务发现、负载均衡和容器编排。 1. Consul: Consul是一个分布式的服务发现和配置工具。它提供了服务注册、健康检查、服务发现和KV存储等功能。通过Consul,您可以将服务注册到集群中,并通过DNS或HTTP接口发现和访问这些服务。 2. Registrator: Registrator是一个用于自动注册和反注册服务的工具。它可以监听Docker守护程序的事件,并在容器启动或停止时,自动将容器注册或反注册到Consul中。 3. Nginx: Nginx是一个高性能的Web服务器和反向代理服务器。它可以用于负载均衡、动态请求路由和静态资源缓存等场景。在结合Consul和Registrator使用时,Nginx可以通过查询Consul获取到的服务信息,并根据需要进行请求转发,从而实现负载均衡和服务治理。 综合使用Consul、Registrator和Nginx,您可以构建一个具有高可用性、弹性和可扩展性的微服务架构。通过Consul进行服务发现和配置管理,Registrator实现自动化服务注册,Nginx实现负载均衡和请求转发,可以实现容器化环境中的服务治理和动态路由。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值