consul ACL配置使用

最新推荐文章于 2024-07-20 23:30:05 发布
最新推荐文章于 2024-07-20 23:30:05 发布
阅读量1w 收藏 2
点赞数
分类专栏: consul

转自:https://www.xiaomastack.com/2016/06/11/cousnl-acl/


consul自带ACL控制功能,看了很多遍官方文档,没有配置步骤https://www.consul.io/docs/internals/acl.html 主要对各种配置参数解释,没有明确的步骤,当时唯一疑惑的是怎样生成ACL规则。看了很多相关的blog都是相似的内容,都是基础的安装测试而已,没有提到具体配置ACL,估计更多的只是实验尝试而已,没有涉及ACL配置使用。后来有辛搜到了一片文章才恍然大悟,明白ACL配置是怎么回事了,http://qiita.com/yunano/items/931448a590c7f346ed01。我之后是这样配置的:
1、对数据中心的每个server,添加acl_config.json配置:

{
   "acl_datacenter" : "datacenter-tag" ,
   "acl_master_token" : "xxxxxxxxxx9cda01" ,
   "acl_default_policy" : "deny"
}

这3个参数每个server模式的node都必须有。相关参数解释官方文档都有,https://www.consul.io/docs/agent/options.html
acl_default_policy默认值值是allow,即能够执行任何操作,这里需要关闭。
acl_master_token需要在每个server上配置,有management级别的权限,相当于一个种子token。
acl_datacenter区域的标识。
2、通过API接口 /v1/acl/create 创建一个management用户用于管理token的权限分配,这里生成这个management级别的token需要之前配置文件里面的种子token。

curl -H "X-Consul-Token: secret" -X PUT -d '{"Name": "datacenter-tag", "Type": "management"}' http: //127 .0.0.1:8500 /v1/acl/create ?token=xxxxxxxxxx9cda01
{ "ID" : "xxxxxxxxxxx-xxxx-xxxx-xxxxxxxxxxx" }

3、可以将这个management权限的token配置在ui节目管理的节点上,便于管理ACL、k/v、service等(但是我没有这么干,不然这个node的权限太大,不便于控制)。

{
   "acl_datacenter" : "datacenter-tag" ,
   "acl_master_token" : "xxxxxxxxxxx9cda01" ,
   "acl_token" : "b9exxxxx-xxxx-xxxx-xxx-xxxxxxxxxx291ba" ,
   "acl_default_policy" : "deny"
}

现在就可以通过ui界面管理token的权限分配了(制订ACL规则)。
consul-acl
4、合理分配token的权限(制定ACL规则),官方文档有一例分配说明:

# Default all keys to read-only
key "" {
   policy = "read"
}
key "foo/" {
   policy = "write"
}
key "foo/private/" {
   # Deny access to the dir "foo/private"
   policy = "deny"
}
# Default all services to allow registration. Also permits all
# services to be discovered.
service "" {
     policy = "write"
}
# Deny registration access to services prefixed "secure-".
# Discovery of the service is still allowed in read mode.
service "secure-" {
     policy = "read"
}
# Allow firing any user event by default.
event "" {
     policy = "write"
}
# Deny firing events prefixed with "destroy-".
event "destroy-" {
     policy = "deny"
}
# Default prepared queries to read-only.
query "" {
     policy = "read"
}
# Read-only mode for the encryption keyring by default (list only)
keyring = "read"

API注册ACL规则用JSION数据格式:

{
   "key" : {
     "" : {
       "policy" : "read"
     },
     "foo/" : {
       "policy" : "write"
     },
     "foo/private" : {
       "policy" : "deny"
     }
   },
   "service" : {
       "" : {
           "policy" : "write"
       },
       "secure-" : {
           "policy" : "read"
       }
   },
   "event" : {
     "" : {
       "policy" : "write"
     },
     "destroy-" : {
       "policy" : "deny"
     }
   },
   "query" : {
     "" : {
       "policy" : "read"
     }
   },
   "keyring" : "read"
}

创建好ACL后,将生成的acl_token xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxx 配置到每个agent,除了那个ui的server节点,当然这个节点也可以配置这个token,只是权限没有那么大了,管理不是很便捷。
client节点的acl_config.json配置:

{
   "acl_datacenter" : "datacenter-tag" ,
   "acl_token" : "xxxxxx-4bf0-xxxx-2079-xxxxxxxxx"
}

server节点的acl_config.json配置(UI的server节点除外):

{
   "acl_datacenter" : "datacenter-tag" ,
   "acl_master_token" : "xxxxxxxxxxxxxxxxx" ,
   "acl_token" : "xxxxxxx-xxxx-xxxx-2079-xxxxxxxxxx" ,
   "acl_default_policy" : "deny"
}

测试ACL是否生效:

[root@xx-xx-xxxx ~] # curl -X PUT -d 'test' http://127.0.0.1:8500/v1/kv/web/key1
rpc error: Permission denied
[root@xx-xx-xxxx ~] #
[root@xx-xx-xxxx ~] # curl -X PUT -d 'test' http://127.0.0.1:8500/v1/kv/foo/key1
true

虽然分享了知识但也得为安全考虑,文章中所有敏感信息均已处理,比如token都是未知或无效的等。
文章出处:consul ACL配置使用

大坨-童鞋
关注
专栏目录
运维小姐姐说这篇Consul集群和ACL配置超给力(保姆级)
zyq025的专栏
03-24 467
前言 上一篇简单介绍了Consul,并使用开发模式(dev)进行流程演示,但在实际开发中需要考虑Consul的高可用和操作安全性,所以接着来聊聊集群和ACL的相关配置,涉及到的命令会在环境搭建过程中详细介绍。 正文 关于集群,第一反应就是多搞几台机器(或者容器等),将其关联在一块,提供功能即可;在搭建集群环境之前,需要对几个角色进行熟悉,因为在Consul中,它们至关重要。见下图(以一个数据中心为例): 数据中心(DataCenter):Consul运行的节点集连接在一起称为数据中心..
consul配置ACL
纤手小白
05-30 1513
因为牵扯到自动注册服务,需要在脚本中使用linux命令,所以不使用docker方式启动consul,直接使用下载安装包,命令启动,具体如下: consul最好使用集群方式启动,但考虑到服务器数量少的缘故,所以使用一台机器即做服务端又做客户端。 下载安装包: wget https://releases.hashicorp.com/consul/1.5.0/consul_1.5.0_linux_...
consul开启acl
selsilo的博客
07-28 505
consul开启acl 开启acl相关配置 ##代表开启ACL; enabled=true ##默认为allow,如果需要自定义权限,需要将其设置为deny default_policy=“deny” ##开启token持久化,将token持久化到磁盘上 enable_token_persistence=true cd /data/consul/config { "acl_datacenter": "dc1", "acl_master_token": "-Eoyxn*2U#DttzJ", "acl_d
Consul开启ACL控制
qq_42489223的博客
03-30 4673
记录一下Consul开启 ACL方法和遇到的小坑 一、ConsulACL是什么 ACL:访问策略控制 ConsulACL用来控制访问API和Key/Value文档,做到访问控制。 二、达成目标 启动Consul ACL后,可以对服务注册和调用、Key/Value文档的访问控制,进行授权访问。 三、使用方法 一、开启ACL 1、添加consul配置文件,开启ACL。 创建config-dir目录,将以下配置文件放在此目录下,命名为acl.json { "acl": { "enabl
树莓派K8s集群的consul部署和简单使用
最新发布
weixin_52823539的博客
07-20 1204
2024.5.29日更新本文对K8s部署consul进行简单介绍,并设置pv静态存储和nfs-nas动态存储配置。实现了k8s-consul与k8s自有注册数据库(etcd)同步。k8s问题请查看日志和其他文档。
consul--基础--06--ACL
zhou920786312的博客
11-07 2277
Consul使用 Access Control Lists 来保护对UI、API、CLI、服务通信和代理通信的访问。
Consul中文文档—Consul启用ACL
shuai_wy的专栏
12-14 5272
Consul ACL概述, Consul启用ACL系统步骤。
Consul使用ACL使用
Happywzy~的博客
10-09 1287
接前文,需要开启consul ACL配置,如下 #enable_key_list_policy开启true,为kv配置acl控制 "acl":{ "enabled":true, "default_policy":"deny", "enable_token_persistence":true, "enable_key_list...
consul 日志配置_consul配置使用
weixin_30578645的博客
12-23 2664
一:consul介绍#consul用于提供服务发现和服务配置的工具。有以下特性:1. 服务发现consul的客户端提供一个服务,比如api或者mysql,另外一个客户端就可以去发现指定服务的服务提供者。通过DNS或者HTTP应用程序可以容易找到所依赖的服务2. 健康检查consul 可以提供健康检查服务(比如:webserver是否返回了200 ok状态码)或者使用本地节点(比如:内存使用大于90...
Consul集群配置
weixin_45735613的博客
03-31 2103
Consul集群配置Consul集群配置Consul集群配置Consul集群配置Consul集群配置Consul集群配置
consul acl
09-02
可以使用命令行工具consul acl policy create来创建策略,并指定策略的名称、规则文件和对应的权限令牌。这样就可以为不同的访问需求创建不同的策略。 另外,引用提到了AWS SSM参数引导和管理Consul ACL的实用程序...
Consul中文文档—ACL系统故障排查(Consul ACL进阶四)
shuai_wy的专栏
12-18 5558
使用如下Consul CLI命令 进行ACL故障排查, 以及在紧急情况下重置ACL系统。
springcloud之consul使用
qq_35200444的博客
07-04 333
自从微服务流行以来,springcloud 可谓是独占了半边天,但当netflex宣布Spring Cloud Netflix 进入维护模式后,大家开时寻找springcloud 全家桶中的各种替代组件。其中 注册中心就是比较热门的一个组件。 以前大家普遍使用 eureka 作为注册中心。但是 netflex 的退出使eureka 的前途蒙上了一层阴影。现在有人基于 aookeeper、ap...
SpringCloud(14)之SpringCloud Consul
jokeMqc的博客
02-22 775
一、Consul介绍我们知道 Eureka 2.X遇到困难停止开发了,所以我们需要寻找其他的替代技术替代Eureka,这一小 节我们就讲解一个新的组件Consul。一、Consul介绍Consul 是HashiCorp公司推出的开源工具,用于实现分布式系统的服务发现与配置。与其它分布式服务注册与发现的方案,Consul的方案更一站式,内置了服务注册与发现框 架、分布一致性协议实 现、健康检查、Key/Value存储、多数据中心方案,不再需要依赖其它工具(比如ZooKeeper。
手把手教学,SpringCloud使用Consul作为配置中心实战
BASK2311的博客
02-29 2048
当然也可以支持bootstrap.yml方式来管理配置,这样就不会出现这个报错了 这里我们直接改用bootstrap.yml 把之前的application.yml全部改成bootstrap.yml,就可以成功启动服务了。也就是说,当Consul面板重新启动时,之前创建的配置数据,都会消失。这显然不是我们预期的结果。其中config/application文件夹中的配置对所有注册到consul的服务都可用, config/testApp 文件夹中的配置只是对服务"testApp"可用。
SpringCloud - Consul服务注册中心
你今天真好看呀
11-14 513
文章目录SpringCloud - Consul服务注册与发现0. Consul 概述1. Consul 安装2. 服务提供者payment8006注册进consul3. 服务消费者orderconsul80注册进consul4. CAP理论 SpringCloud - Consul服务注册与发现 0. Consul 概述 1 服务发现以及注册: 当服务Producer 启动时,会将自己的Ip/host等信息通过发送请求告知 ConsulConsul 接收到 Producer 的注册信息后,每隔一段时间会
consul配置acl:允许注册和访问所有节点,并读取任何服务
琦彦
01-30 3157
添加acl配置文件 # vim acl.json { "acl": { "enabled": true, "default_policy": "deny", "down_policy": "extend-cache" } } 重启consul # docker restart consul_server 生成初始token # consul ac...
consul ACL2
weixin_30808693的博客
10-31 304
简介 Consul有多个组件,但是整体上,consul通常作为服务发现工具来使用Consul主要由以下特点: 服务发现 健康检查 KV存储 多数据中心 Consul一般与zookeeper,serf,eureka等软件做对比,具体差异可以参考文档 这里我主要记录下Consul ACL配置使用ACLConsul用来控制访问API与data的。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值