consul + consul-template + tls 安装指南

最新推荐文章于 2024-05-11 16:38:19 发布
最新推荐文章于 2024-05-11 16:38:19 发布
阅读量2.5k 收藏 2
点赞数
分类专栏: kubernetes consul 文章标签: kubernetes consul consul-templae cfssl xls
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kozazyh/article/details/79844609
版权
实验环境:
Consul v0.8.1
consul-template v0.19.0

consul参考:
https://github.com/hashicorp/consul-template
https://github.com/hashicorp/consul

证书制作参考:
https://github.com/cloudflare/cfssl
https://coreos.com/os/docs/latest/generate-self-signed-certificates.html

使用cfssl 创建 consul 证书:
各个节点必须同步时钟:ntpdate cn.ntp.org.cn

使用cfssl制作证书以及consul安装过程:


(一)安装cfssl (参考:https://github.com/cloudflare/cfssl) 

$ wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
$ chmod +x cfssl_linux-amd64
$ sudo mv cfssl_linux-amd64 /root/local/bin/cfssl


$ wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
$ chmod +x cfssljson_linux-amd64
$ sudo mv cfssljson_linux-amd64 /root/local/bin/cfssljson


$ wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
$ chmod +x cfssl-certinfo_linux-amd64
$ sudo mv cfssl-certinfo_linux-amd64 /root/local/bin/cfssl-certinfo


$ export PATH=/root/local/bin:$PATH
$ mkdir ssl
$ cd ssl
$ cfssl print-defaults config > config.json
$ cfssl print-defaults csr > csr.json

(二)创建 CA (Certificate Authority)
创建 CA 配置文件: 
$ cat ca-config.json
{
  "signing": {
    "default": {
      "expiry": "8760h"
    },
    "profiles": {
      "consul": {
        "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ],
        "expiry": "8760h"
      }
    }
  }
}
ca-config.json:可以定义多个 profiles,分别指定不同的过期时间、使用场景等参数;后续在签名证书时使用某个 profile;
signing:表示该证书可用于签名其它证书;生成的 ca.pem 证书中 CA=TRUE;
server auth:表示 client 可以用该 CA 对 server 提供的证书进行验证;

client auth:表示 server 可以用该 CA 对 client 提供的证书进行验证;


创建 CA 证书签名请求: 
$ cat ca-csr.json
{
  "CN": "*.example.com",
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "BeiJing",
      "L": "BeiJing",
      "O": "consul-group",
      "OU": "System"
    }
  ]
}
"CN":Common Name,浏览器使用该字段验证网站是否合法;
"O":Organization,所属的组 (Group);
生成 CA 证书和私钥: 
$ cfssl gencert -initca ca-csr.json | cfssljson -bare ca
$ ls ca*
ca-config.json  ca.csr  ca-csr.json  ca-key.pem  ca.pem
(三)创建consul 集群 TLS 秘钥和证书
创建 consul 证书签名请求: 
$ cat > consul-csr.json <<EOF
{
  "CN": "*.example.com",
  "hosts": [],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "BeiJing",
      "L": "BeiJing",
      "O": "consul-group",
      "OU": "System"
    }
  ]
}
EOF

hosts 字段指定授权使用该证书的 consul 节点 IP,不填即任何节点都可以用;

生成 consul 证书和私钥: 
$ cfssl gencert -ca=./ca.pem \
  -ca-key=./ca-key.pem \
  -config=./ca-config.json \
  -profile=consul consul-csr.json | cfssljson -bare consul
$ ls consul*
consul.csr  consul-csr.json  consul-key.pem  consul.pem

(四)配置consul 集群 TLS : 
(一般 一个client,3个server)
(
bootstrap : "bootstrap": true, "server": true,
server : "bootstrap": false, "server": true,
client : "bootstrap": false, "server": false,
)
把证书分发到各个节点: 
[root@etcd-client ssl]#scp ./consul*.pem ./ca.pem root@192.168.5.7:/etc/consul.d/ssl
root@192.168.5.7's password:
consul-key.pem                                100% 1675     1.6KB/s   00:00    
consul.pem                                    100% 1424     1.4KB/s   00:00    
ca.pem                                        100% 1391     1.4KB/s   00:00
配置consul证书(配置文件只有一台bootstrap,当3台节点加入集群后,bootstrap改为false,让集群自动选举leader): 
[root@etcd-host0 consul.d]# cat /etc/consul.d/config.json
{
"bootstrap": true,
"server": true,
"client_addr": "192.168.5.7",
"bind_addr": "192.168.5.7",
"datacenter": "hyd",
"ui": true,
"data_dir": "/var/consul",
"encrypt": "QTW1Rcdes9eyQFnUng/84g==",
"log_level": "DEBUG",
"enable_syslog": true,


"ports": {
  "https": 8501
},


"key_file": "/etc/consul.d/ssl/consul-key.pem",
"cert_file": "/etc/consul.d/ssl/consul.pem",
"ca_file": "/etc/consul.d/ssl/ca.pem",


"verify_outgoing": true,
"verify_incoming": true


}

启动集群: 
[root@etcd-host0 consul.d]# cat /etc/systemd/system/consul.service
[Unit]
Description=consul agent
Requires=network-online.target
After=network-online.target


[Service]
EnvironmentFile=-/etc/sysconfig/consul
Environment=GOMAXPROCS=2
Restart=on-failure
ExecStart=/usr/local/bin/consul agent -config-file=/etc/consul.d/config.json -rejoin
ExecReload=/bin/kill -HUP $MAINPID
KillSignal=SIGTERM


[Install]
WantedBy=multi-user.target

其他节点加入集群: 
[root@k8s-client ssl]# consul join -client-cert=./consul.pem -client-key=./consul-key.pem -ca-file=./ca.pem -http-addr=https://h1.example.com:8501 192.168.5.8
[root@k8s-client ssl]# consul join -client-cert=./consul.pem -client-key=./consul-key.pem -ca-file=./ca.pem -http-addr=https://h1.example.com:8501 192.168.5.86

查看节点: 
[root@etcd-client ssl]# consul members -client-cert=./consul.pem -client-key=./consul-key.pem -ca-file=./ca.pem -http-addr=https://h1.example.com:8501
Node        Address            Status  Type    Build  Protocol  DC
etcd-host0  192.168.5.7:8301   alive   server  0.8.5  2         hyd
etcd-host1  192.168.5.8:8301   alive   server  0.8.5  2         hyd
etcd-host2  192.168.5.86:8301  alive   client  0.8.5  2         hyd

(五)一般不使用服务的证书访问,再生成一份客户端的证书(可以设置客户端证书的过期时间短些,这里就没有使用ca-config.json,而新建一个证书配置文件ca-config-admin.json,把过期时间设置为60小时): 
[root@etcd-client ssl]# cat admin-csr.json
{
  "CN": "*.example.com",
  "hosts": [],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "BeiJing",
      "L": "BeiJing",
      "O": "k8s",
      "OU": "System"
    }
  ]
}
[root@etcd-node1 ssl]# cat ./ca-config-admin.json
{
  "signing": {
    "default": {
      "expiry": "60h"
    },
    "profiles": {
      "consul": {
        "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ],
        "expiry": "60h"
      }
    }
  }
}


生成客户端证书: 
cfssl gencert -ca=./ca.pem \
  -ca-key=./ca-key.pem \
  -config=./ca-config-admin.json \
  -profile=consul admin-csr.json | cfssljson -bare admin
验证证书: 
[root@etcd-client ssl]# cfssl-certinfo -cert ./admin.pem
[root@etcd-client ssl]# openssl x509  -noout -text -in  admin.pem

[root@k8s-node1 ssl]# consul members -client-cert=./admin.pem -client-key=./admin-key.pem -ca-file=./ca.pem -http-addr=https://h1.example.com:8501
Node        Address            Status  Type    Build  Protocol  DC
etcd-host0  192.168.5.7:8301   alive   server  0.8.5  2         hyd
etcd-host1  192.168.5.8:8301   alive   server  0.8.5  2         hyd
etcd-host2  192.168.5.86:8301  alive   client  0.8.5  2         hyd

查看master节点: 
[root@etcd-client ssl]# curl -k https://h1.example.com:8501/v1/status/leader?pretty --key ./admin-key.pem --cert ./admin.pem
"192.168.5.7:8300"
consul-template 客户端连接consul: 
[root@etcd-client consul]# cat template-config.json
consul {
address = "h1.example.com:8501"  
ssl {
  enabled = true
  verify = false
  ca_cert = "/root/consul/ssl/ca.pem"
  cert = "/root/consul/ssl/admin.pem"
  key = "/root/consul/ssl/admin-key.pem"
  }
}

log_level = "debug"  

template {  
source = "./tmpltest.ctmpl"  
destination = "./result"  
}

[root@k8s-node1 consul]# consul-template -config=./template-config.json -once

技巧:
1. 为了使证书更安全,最好生成证书时带上IP,这样该证书只能在指定的IP上使用(就是上面提到的hosts)。
2.外部访问可以生成一个1小时的证书,一小时后证书失效。
附录:
https://www.openssl.org/docs/manmaster/man5/x509v3_config.html#Extended-Key-Usage
extended Key Usage (扩展密钥的使用说明:)
 Value                  Meaning
 -----                  -------
 serverAuth             SSL/TLS Web Server Authentication.
 clientAuth             SSL/TLS Web Client Authentication.

bugs:

1.
./consul-template -consul-addr 192.168.5.7:8501 -template "./tmpltest.ctmpl:./result" -once -consul-ssl -consul-ssl-cert=./admin.pem -consul-ssl-key=./admin-key.pem -consul-ssl-ca-cert=./ca.pem -log-level=debug


2017/07/06 17:20:45.786509 [WARN] (view) kv.block(com/test/name): Get https://192.168.5.7:8501/v1/kv/com/test/name?stale=&wait=60000ms: x509: certificate signed by unknown authority (retry attempt 4 after "2s")
出现该问题原因:
consul-template 版本问题,升级 consul-template v0.18.5 (9902dd5) 到 consul-template v0.19.0 (33b34b3) 问题解决。
参考: https://github.com/hashicorp/consul-template/issues/965

2.
zyh@local:~/consul/ssl$ consul members -ca-file=./ca.cert -client-cert=./consul.cert -client-key=./consul.key -http-addr=https://192.168.0.9:8080
Error retrieving members: Get https://192.168.0.9:8080/v1/agent/members: x509: cannot validate certificate for 192.168.0.9 because it doesn't contain any IP SANs
出现该问题的原因:使用IP访问,改为域名访问就好了。
在输出证书的时候,你填写了域名,请使用该域名访问:

3.
[root@k8s-node1 ssl]# consul members -client-cert=./consul.pem -client-key=./consul-key.pem -ca-file=./ca.pem -http-addr=https://h1.example.com:8501
Error retrieving members: Get https://h1.example.com:8501/v1/agent/members: remote error: tls: bad certificate
各个节点和客户端的时钟不同步,请先同步时钟,问题就解决了。(ntpdate cn.ntp.org.cn)

(六)其他

openssl 制作证书方法: 

参考 https://www.digitalocean.com/community/tutorials/how-to-secure-consul-with-tls-encryption-on-ubuntu-14-04

大飞哥2
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
consul】在阿里云kubernetes集群上(AKS)通过Helm 安装consul集群
云原生,DevOps,Kubernetes
12-10 938
官方文档: https://www.consul.io/docs/k8s/installation/install 官方文档总是多少会有些坑的 如下是我整理的安装文档: #添加官方helm仓库 helm repo add hashicorp https://helm.releases.hashicorp.com #确定可安装的版本 helm search repo hashicorp/consul
consul部署以及配置template
weixin_51614581的博客
03-26 409
consul部署以及配置template一,consul部署查看集群信息容器服务自动加入nginx集群1.安装 Gliderlabs/Registrator Gliderlabs/Registrator2,测试服务发现功能是否正常3,验证 http 和 nginx 服务是否注册到 consul4,准备template nginx 模板文件5,编译安装nginx6,配置nginx7,配置并启动 template 一,consul部署 创建文件 mkdir /root/consul cp consul_
Consul踢除失效服务和移除Node节点
最新发布
zy08403的专栏
05-11 732
它们虽然不会影响到正常的服务消费过程,但是它们会干扰我们的监控,所以我们可以实现一个清理接口,在确认故障实例可以清理的时候进行调用来将这些无效信息清理掉。在实际使用过程中,可能因为一些操作失误、环境变更等原因让Consul中存在一些无效实例信息,而这些实例在Consul中会长期存在,并处于断开状态。在该consul agent节点服务器上可使用127.0.0.1,如果不在则使用该node节点服务器ip。参考官网:https://www.consul.io/api/agent/service.html。
consul-template配置文件
weixin_33895695的博客
04-26 760
翻译至:https://github.com/hashicorp/consul-templateConsul-Template配置文件是使用[HashiCorp Configuration Language (HCL)]编写的.这意味着```Consul Template是和JSON兼容的,查看更多信息请查看 [HCL 规范](https:#github.com/hashic...
consul-helm:Helm图表以安装Consul和其他相关组件
03-19
领事舵图 :star:我们正在寻找有关人们如何在Kubernetes上使用Consul的反馈。请填写我们的简短! :star: 该存储库包含用于在Kubernetes安装和配置Consul的官方HashiCorp Helm图表。该图表根据提供的值支持KubernetesConsul的多个使用案例。 有关此Helm图表的完整文档以及将ConsulKubernetes结合使用的所有方式,请参阅。 先决条件 Helm 3.0+ (不支持Helm 2) Kubernetes 1.13+ -这是经过测试的Kubernetes的最早版本。该图表可能适用于早期版本,但未经测试。 用法 为领事对Kubernetes详细的安装说明中找到。 添加HashiCorp Helm存储库: $ helm repo add hashicorp https://helm.releases.hashicorp.com "has
consul+springboot+gradle-demo.zip
06-14
总的来说,这个`consul+springboot2+gradle-demo.zip`项目提供了一个实际操作的示例,演示了如何在`Spring Boot 2`应用中集成`Consul`进行服务发现和配置管理,以及使用`Gradle`作为构建工具。这个项目对于理解和...
consul镜像+docker-compose.yaml
02-07
consul镜像+docker-compose.yaml
Consul+Ocelot+.NetCore Api+IdentityServer 4
12-28
在构建分布式系统时,服务发现和路由是两个关键组件,Consul、Ocelot和IdentityServer 4分别在这两个领域发挥着重要作用。本项目结合了这些技术,为.NET Core API应用提供了一套全面的服务治理解决方案。 Consul是...
Consul+Grafana+Prometheus实现服务器监控-window版.zip
12-14
本资源包"Consul+Grafana+Prometheus实现服务器监控-window版.zip"提供了一套完整的解决方案,专为Windows环境设计,用于实时监控服务器的健康状况和性能指标。让我们深入探讨这三大组件的功能及其在Windows环境中的...
docker-compose-ha-consul-vault-ui:HA Consul + Vault + Vault UI的docker-compose示例
05-09
consul-template会更新dnsmasq配置,并在配置更改后重新启动dnsmasq(例如,即时增加consul群集的大小)。 这使领事DNS查找HA。 保管箱通过通过Consul DNS公开的服务发现进行注册。 只要正常关闭集群,数据就会在...
helm部署consul集群
weixin_43224068的博客
02-08 2277
[root@master1 consul]# kubectl create ns consul [root@master1 consul]# helm fetch stable/consul [root@master1 consul]# tar zxvf consul [root@master1 consul]# vim consul/values.yam 改为自己的storageclass存...
Kubernetes安装Consul服务过程及问题解决
xiaoxinghappy的散记
09-19 1980
介绍 本文主要介绍consul做为单纯的服务发现程序使用,在Kubernetes安装的过程,以及碰到的问题和解决的方法。 一、环境介绍 项目 内容 备注 节点娄 3 master/node1/node2 操作系统 Centos7.5 内存 2G CPU 2核 硬盘 40G 这次的安装是基于个人在天翼云上申请的主机上安装的,所以服务器的配置比较低,特别是存储空间,单机40G已经是所有...
k8s搭建有状态应用consul
soonyigkka的博客
03-09 2980
k8s搭建有状态应用consul
5分钟让你看懂Consul特性及搭建
热门推荐
Jlion 技术博客
04-06 9万+
一、前言 虽然说牛逼的公司都有那么几个牛逼的运维团队,牛逼的运维团队都有着神秘黑科技般敲代码的姿势;本人虽然不是一个运维工程师,但是有幸自己比较爱倒腾这些东西,也会那么一点点运维知识,虽然不算专业,但是还是可以在linux平台下敲一敲代码。去年由于自己业余时间搞了一个app项目,当时自己兼任后端开发,又同时兼任运维,经过多少个夜晚才把后端API网关 搭建起来,当时技术选型主要使用微服务架构,说到微...
探索 Consul-K8s:服务发现与网格控制的新维度
gitblog_00027的博客
04-14 242
探索 Consul-K8s:服务发现与网格控制的新维度 项目地址:https://gitcode.com/hashicorp/consul-k8s 项目简介 Consul-K8s 是 HashiCorp 公司为 Kubernetes(K8s)环境设计的一款集成式服务发现和网格控制解决方案。它将 Consul 的强大功能与 Kubernetes 的灵活性相结合,为云原生应用提供了全面的服务发现、健康...
consul命令行查看服务_Consul 命令行最全文档
weixin_39918043的博客
12-20 3688
1.启动一个带ACL 控制的Agent首先,从这个网址下载consul,解压后发现就是个可执行文件,如果不可以执行,chmod +x consul 一下。为了试验Consul较多的功能,这里我们打算启用一个dev模式,带ACL控制的Consul代理。配置文件config.json如下{"datacenter":"dc1","primary_datacenter":"dc1","data_dir":...
Consul 命令(CLI)
12-20 1万+
Consul通过一个非常简单易用的命令行界面(CLI)进行控制。Consul只是一个单一的命令行应用程序:Consul。 然后,这个应用程序将取代诸如“ agent”或“members”的子命令。子命令的完整列表位于左侧的导航栏中。   Consul CLI是一个运行良好的命令行应用程序。在错误的情况下,返回非零退出状态。就像你最期待的那样它也会响应-h和--help。而一些需要输入的命令接受“-
consul配置参数大全、详解、总结
xwnxwn的专栏
03-05 2674
以下选项全部在命令行中指定。 -advertise- 通告地址用于更改我们通告给集群中其他节点的地址。默认情况下,-bind地址是通告的。但是,在某些情况下,可能存在无法绑定的可路由地址。这个标志使闲聊不同的地址来支持这一点。如果此地址不可路由,则节点将处于持续振荡状态,因为其他节点会将非可路由性视为故障。在Consul 1.0和更高版本中,这可以设置为go-sockaddr模板。 -advertise-wan- 广告WAN地址用于更改我们向通过WAN加入的服务器节点发布的地址。这也...
Consul+Registrator+Nginx
07-09
Consul、Registrator和Nginx是一组常用的工具和技术,用于实现服务发现、负载均衡和容器编排。 1. Consul: Consul是一个分布式的服务发现和配置工具。它提供了服务注册、健康检查、服务发现和KV存储等功能。通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值