Consul ACL访问权限控制

最新推荐文章于 2024-05-21 11:22:55 发布
最新推荐文章于 2024-05-21 11:22:55 发布
阅读量6.3k 收藏 5
点赞数
分类专栏: 框架学习 文章标签: java consul acl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fomeiherz/article/details/103643021
版权
提前准备

环境:Linux系统
版本:V1.6.2
下载:https://www.consul.io/downloads.html
配置文件:config-acl.json

{
    "datacenter":"tencent-datacenter",
    "data_dir":"/usr/local/consul-1.6.2/data",
    "log_file":"/usr/local/consul-1.6.2/log/",
    "log_level":"INFO",
    "bind_addr":"0.0.0.0",
    "client_addr":"0.0.0.0",
    "node_name":"tencent-node",
    "ui":true,
    "bootstrap_expect":1,
    "server":true,
    "acl":{
        "enabled":true,
        "default_policy":"deny",
        "enable_token_persistence":true,
        "enable_key_list_policy":true
    }
}
  • acl.enabled:开启acl
  • acl.default_policy:策略,deny - 默认是拒绝;allow - 默认是允许的
  • acl.enable_token_persistence:允许持久化token
  • acl. enable_key_list_policy:允许KV的递归操作

启动Consul:./consul agent -config-file=config-acl.json

ACL使用场景
  • Agent的访问控制
  • Service服务注册/发现访问控制
  • KV访问控制
ACL使用步骤
一、初始化Consul ACL

bash: consul acl bootstrap
生成信息如下(保存这些信息):

AccessorID:       xxxx-xxxx-xxxx-xxxx-xxxx
SecretID:         xxxx-xxxx-xxxx-xxxx-xxxx
Description:      Bootstrap Token (Global Management)
Local:            false
Create Time:      2019-12-23 12:06:53.799083966 +0800 CST
Policies:
   00000000-0000-0000-0000-000000000001 - global-management

执行该命令生成的AccessorID和SecretID是拥有最高权限的。

二、配置规则

浏览器访问:localhost:8500,ACL选项卡中输入上面的SecretID,然后会看到以下页面。
在这里插入图片描述
默认Policy:global-management,这个是拥有最高权限的SecretID,等于超级管理员。

AccessorID:访问ID。唯一对应有一个token,点击记录进去即可看到
Scope:作用范围
Roles & Policies:拥有权限或者策略,AccessorID通过关联不同角色和策略来控制访问权限

以下列举几个策略Policy的案例:
1)服务策略

service_prefix "" {
  policy = "write"
}

以上策略表示所有服务可写
具体策略参考:service-rules

2)KV策略

key_prefix "" {
 policy = "list"
}
key_prefix "" {
 policy = "write"
}
key_prefix "config/" {
 policy = "read"
}

第一个:表示所有KV可执行递归的 list 操作,该选项前提必须配置文件指定了"enable_key_list_policy":true后方可生效。
第二个:所有KV可执行写操作。
第三个:以config/开头的key可执行读操作。

具体策略参考:key-value-rules

fomeiherz
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
consul-unauthorized:consul授权访问
04-24
consul可以进入后台,威胁敏感信息,对网络设备进行操作
consul.zip压缩包
05-29
官网Linux包
consul配置acl:允许注册和访问所有节点,并读取任何服务
琦彦
01-30 2879
添加acl配置文件 # vim acl.json { "acl": { "enabled": true, "default_policy": "deny", "down_policy": "extend-cache" } } 重启consul # docker restart consul_server 生成初始token # consul ac...
consul ui访问安全加固
fangfengzhen115的专栏
04-24 739
consul ui访问安全加固
Consul中文文档—ACL系统故障排查(Consul ACL进阶四)
shuai_wy的专栏
12-18 5159
使用如下Consul CLI命令 进行ACL故障排查, 以及在紧急情况下重置ACL系统。
Hashicorp Consul Service API远程命令执行漏洞
网络安全。
01-18 2879
2018年11月27日,Consul在官方博客中发布了有关Consul工具可能存在远程命令执行(RCE)漏洞的公告,并提供了防护该漏洞的配置方案。Consul是HashiCorp公司推出的一款开源工具,旨在实现分布式系统的服务发现与配置。相较于其他分布式服务注册与发现的解决方案,Consul提供更为全面的功能。它内置了服务注册与发现框架、分布一致性协议实现、健康检查、Key/Value存储、多数据中心方案,无需依赖其他工具(如ZooKeeper等),使用也相对简单。
授权访问漏洞
weixin_56378389的博客
04-11 1054
Redis;Docker
ubuntu9.10下配置需要用户名及密码的上网代理(squid)
weixin_34240657的博客
03-28 368
1 安装squidsudo apt-get install squid2 安装 htpasswd (如果装了apache就省掉这一步)(这个是用来产生密码的)  sudo apt-get install apache2-utils也可以sudo apt-get install  mini-httpd 3  生成密码文件 htpasswd -c /etc/squid/passwd user1会让你输...
consul ui无法访问的问题解决
HQ DevJ的专栏
11-10 7467
在云服务器上启动了consul,但是访问不了8500端口,这里需要在服务器启动的时候,加上-client的指定 ./consul agent -dev这是最开始启动的命令只能本机访问 当使用下面命令的时候就可以其他机器进行访问了: ./consul agent -dev -client 0.0.0.0 -ui 外部机器就可以访问 ...
Consul Manager解决consul ui权限问题
zhaoyahui_666的博客
05-28 1984
源码地址 consul ui没有访问权限,所有人都可以修改key/value,不安全。所以,发现了Consul Manager这个开源的dashboard可以通过权限管理,还可以为不同的角色设置的不同的权限。
Consul Windows免安装版
04-02
- Consul支持基于TLS的加密通信和ACL访问控制列表)系统,确保数据传输安全和资源访问权限控制。 8. **监控与日志** - Consul提供丰富的监控指标,可通过Prometheus、Graphite等集成进行可视化展示。 - 默认...
consul.zip
06-04
此外,它还支持 ACL访问控制列表)系统,可以对操作进行细粒度的权限控制,确保只有授权的用户和服务才能访问特定资源。 6. **本地运行 Consul**: 要在本地运行 Consul,首先需要下载 consul.zip 文件并解压。...
consul网关资源下载
03-10
此外,它还提供了 ACL访问控制列表)系统,允许对 Consul 的 API 进行细粒度的权限控制,确保只有授权的实体才能操作服务和数据。 6. **服务网格**: 虽然 Consul 并不是严格意义上的服务网格(如 Istio 或 ...
consul下载包(Linux、Windows)
09-18
7. **安全性**:Consul 提供了基于 ACL访问控制列表)的权限管理系统,可以对服务发现、K/V 操作等进行细粒度的权限控制,确保系统的安全性和合规性。 8. **事件系统**:Consul 的事件系统允许节点和服务之间发送...
consul(windows)安装包
11-23
此外,还可以使用ACL访问控制列表)进行细粒度的权限控制。 总的来说,Consul在Windows上的安装和使用涉及多个层面,包括服务注册、健康检查、配置管理以及安全通信等。通过这个提供的`consul.exe`,你可以轻松地...
Springboot Admin 整合 Spring Security 服务端与客户端加密,解决Actuator授权访问漏洞
最新发布
qq_44785123的博客
05-21 292
2、编写配置文件 3、编写配置类 4、启动项加注解 二、客户端-普通客户端 1、添加pom 2、编写配置文件 3、编写配置类 三、客户端-网关-SpringCloudGateway SpringCloud Gateway 网关作为 Springboot Admin客户端时,配置和普通客户端有所不同 2、编写配置文件 和普通客户端配置相同 四、注意事项 1、注册中心 如果使用eureka作为注册中心,客户端更改如下配置
权限管理—ACL权限--最大有效权限与删除
qq_46363011的博客
07-01 779
1、最大有效权限maskmask是用来指定最大有效权限的。如果我给用户赋予了acl权限,是需要和mask的权限“相与”才能得到用户的真正权限。2、修改最大有效权限#setfacl -m m:rx 文件名 -------- 设定mask权限为r-x,使用“m:权限“格式3、删除acl权限#setfacl -x u:用户名 文件名 -------- 删除指定用户的acl权限#setfacl -x g:组名 文件名 --------- 删除指定用户组的acl权限#setfacl -b 文件名 ----------
consul acl
09-02
Consul ACL(Access Control List)是Consul中用于配置和管理访问控制的功能。引用中提到了配置ACL的步骤,包括在各节点启动时启用ACL,并在配置文件夹目录中添加acl.hcl文件。这个文件包含了ACL的配置信息,如启用ACL、默认策略、令牌持久化等。通过重新启动节点,ACL的配置就会生效。 引用中提到了根据规则文件生成策略的步骤。在Consul中,可以通过创建策略来定义ACL的规则。可以使用命令行工具consul acl policy create来创建策略,并指定策略的名称、规则文件和对应的权限令牌。这样就可以为不同的访问需求创建不同的策略。 另外,引用提到了AWS SSM参数引导和管理Consul ACL的实用程序。这个工具可以让您安全地从AWS SSM中存储ACL定义和令牌ID,并简化在多环境场景中引导ACL的过程。 所以,Consul ACL是用于配置和管理Consul访问控制的功能,它可以通过配置文件和命令行工具来实现。同时,AWS SSM参数也提供了方便的管理工具来简化ACL的引导和管理过程。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [consul--基础--06--ACL](https://blog.csdn.net/zhou920786312/article/details/127738110)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [consulssm:通过AWS SSM参数引导和管理Consul ACL](https://download.csdn.net/download/weixin_42162171/18299398)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值