consul的ACL配置

最新推荐文章于 2024-07-20 23:30:05 发布
最新推荐文章于 2024-07-20 23:30:05 发布
阅读量6k 收藏 4
点赞数
分类专栏: Spring-cloud系列
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/llianlianpay/article/details/79028916
版权

[1] consul的查询

下载后,启动 consul agent -dev

查询服务:

DNS方式:dig @127.0.0.1 -p 8600 web.service.consul SRV

Http方式:curl http://localhost:8500/v1/catalog/service/consul

dig @127.0.0.1 -p 8600 consul-conf-client.service.consul SRV

; <<>> DiG 9.9.7-P3 <<>> @127.0.0.1 -p 8600 consul-conf-client.service.consul SRV
; (1 server found)

----- 

curl http://localhost:8500/v1/catalog/service/consul
[
    {
        "ID": "bff31206-a6f5-9027-faac-b6ad65b92d5d",
        "Node": "sunkaixiangdeMacBook-Pro.local",
        "Address": "127.0.0.1",
        "Datacenter": "dc1",
        "ServiceID": "consul",
        "ServiceName": "consul",
    }
]
查询节点 

dig @127.0.0.1 -p 8600 sunkaixiangdeMacBook-Pro.local.node.consul

; <<>> DiG 9.9.7-P3 <<>> @127.0.0.1 -p 8600 sunkaixiangdeMacBook-Pro.local.node.consul
; (1 server found)

curl 127.0.0.1:8500/v1/catalog/nodes
查询kv值 
curl http://localhost:8500/v1/kv/test

consul ACL配置使用

启动server 
./consul agent -server -bootstrap-expect=1 -data-dir=/home/sunkx/22/consul-data -node=agent-one -bind=192.168.1.101 -config-dir=/home/sunkx/22/consul-config -client 0.0.0.0 -ui
启动slave 
consul agent -advertise 192.168.1.100 -data-dir=Users/sunkaixiang/pro/consul-templet/consul-data -config-dir=/Users/sunkaixiang/pro/consul-templet/consul-config  -node=agent-two -bind=192.168.1.100 -join 192.168.1.101
查看成员 
./consul members
Node       Address             Status  Type    Build  Protocol  DC   Segment
agent-one  192.168.1.101:8301  alive   server  1.0.2  2         dc1  <all>
agent-two  192.168.1.100:8301  alive   client  1.0.2  2         dc1  <default>
Http api使用
consul http api可用于操作nodes, services, checks, configuration等等的CRUD( create, read, update and delete)。
查看成员: 
$ curl  http://192.168.1.101:8500/v1/agent/members
[{"Name":"agent-one","Addr":"192.168.1.101","Port":8301,..},
{"Name":"agent-two","Addr":"192.168.1.100","Port":8301,..}..]
配置acl
1.server服务器
config-dir目录下新建文件acl.json 

{
	"datacenter": "datacenter-tag",
	"acl_datacenter": "datacenter-tag",
	"acl_master_token": "16c5413b-276c-45ab-9b0e-9664126f1161",
	"acl_default_policy": "deny",
	"server": true,
	"log_level": "DEBUG",
	"bootstrap_expect": 1,
        "client_addr": "0.0.0.0"
}
这里的 acl_master_token可以由  uuidgen | awk '{print tolower ( $0 ) }' 生成。
启动server ,在acl里面把  16c5413b-276c-45ab-9b0e-9664126f1161   填写到token里,然后关闭。就可看到node,services相关的信息。
consul的ACL规则用法 - 第1张 | linux工匠|关注运维自动化|Python开发|linux高可用集群|数据库维护|性能提优|系统架构

2.新建client-token

consul的ACL规则用法 - 第2张 | linux工匠|关注运维自动化|Python开发|linux高可用集群|数据库维护|性能提优|系统架构


create一个ACL,命名为client,rules里面写规则,规则其实比较简单,规则对象有:agent、event、key、keyring、node、operator、query、service、session。规则权限有:read、write、deny。
我这就只添加了一个名称,其他为空。
 consul的ACL规则用法 - 第3张 | linux工匠|关注运维自动化|Python开发|linux高可用集群|数据库维护|性能提优|系统架构
将右上角生成的token拷贝出来,在client机器192.168.1.100上的consul-dir目录中的acl.json中写上: 
{
  "datacenter": "datacenter-tag",
  "acl_datacenter": "datacenter-tag",
  "acl_token": "2e7c81a9-2150-91ca-824a-998cbc8eb03c",
  "server":false,
   "log_level": "DEBUG",
   "client_addr": "0.0.0.0"
}
注意两边的datacenter和acl_datacenter保持一致。
然后启动client: 
consul agent -advertise 192.168.1.100  -data-dir=/Users/sunkaixiang/pro/consul-templet/consul-data -config-dir=/Users/sunkaixiang/pro/consul-templet/consul-config -node=agent-two -bind=192.168.1.100 -join 192.168.1.101 -rejoin -node-id=$(uuidgen | awk '{print tolower($0)}')
此时:

静默启动: 
nohup consul agent -advertise 192.168.1.100 -data-dir=/Users/sunkaixiang/pro/consul-templet/consul-data -config-dir=/Users/sunkaixiang/pro/consul-templet/consul-config -node=agent-two -bind=192.168.1.100 -join 192.168.1.101 -rejoin -node-id=$(uuidgen | awk '{print tolower($0)}') &

查看成员:

./consul members -token=16c5413b-276c-45ab-9b0e-9664126f1161
Node       Address             Status  Type    Build  Protocol  DC              Segment
agent-one  192.168.1.101:8301  alive   server  1.0.2  2         datacenter-tag  <all>
agent-two  10.211.55.5:8301    failed  client  1.0.2  2         datacenter-tag  <default>
要加上token
此时再用程序去连接consul会报错: 

OperationException(statusCode=403, statusMessage='Forbidden', statusContent='Permission denied')

如何配置?

@Value("${consul.token:${CONSUL_TOKEN:${spring.cloud.consul.token:${SPRING_CLOUD_CONSUL_TOKEN:}}}}")
    private String aclToken;


https://www.consul.io/docs/guides/acl.html

http://www.jishux.com/plus/view-692181-1.html

http://blog.csdn.net/u010046908/article/details/61916389

llianlianpay
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
consul.zip
06-01
在使用"consul.zip"中的内容时,用户需要解压文件,然后按照提供的文档或教程进行操作,包括安装Consul配置服务器和客户端、设置服务发现规则、启用健康检查以及可能的ACL策略配置。最后,通过运行Consul命令或...
入门Consul注册、配置中心(代码演示)
m0_71751187的博客
06-06 1456
快速入门consul配置中心、注册中心
Consul中文文档—ACL系统故障排查(Consul ACL进阶四)
shuai_wy的专栏
12-18 5313
使用如下Consul CLI命令 进行ACL故障排查, 以及在紧急情况下重置ACL系统。
树莓派K8s集群的consul部署和简单使用
最新发布
weixin_52823539的博客
07-20 1097
2024.5.29日更新本文对K8s部署consul进行简单介绍,并设置pv静态存储和nfs-nas动态存储配置。实现了k8s-consul与k8s自有注册数据库(etcd)同步。k8s问题请查看日志和其他文档。
使用consul做注册中心报OperationException错误
Eddie-Wang的博客
08-12 1万+
2017-12-13 12:34:15.103 ERROR 25532 --- [pool-5-thread-3] error : consul heartbeat-set check pass error!serviceid:192.168.1.126:8313-com.xtr.appapi.api.service.client.ClientOperateLogsService com.ec...
403Forbidden错误的原因和解决方法
09-09 7万+
403错误是网站访问过程中,常见的错误提示。资源不可用,服务器理解客户的请求,但拒绝处理它。通常由于服务器上文件或目录的权限设置导致,比如IIS或者Apache设置了访问权限不当。一般会出现以下提示: 403 Forbidden是什么意思? 403 Forbidden是HTTP协议中的一个状态码(Status Code)。可以简单的理解为没有权限访问此站。该状态表示服务器理解了本次请求但是拒绝执行该任务,该请求不该重发给服务器。在Http请求的方法不是“Head”,并且服务器想让客户端知道为什么没有
项目报错com.ecwid.consul.transport.TnansportException Create breakpoint : java.net,SocketTimeoutExceptio
Analyze_ing的博客
02-22 929
项目报错com.ecwid.consul.transport.TnansportException Create breakpoint : java.net,SocketTimeoutException
TSF应用启动时报Value is too long (limit: 512 characters)') 问题
我的Java之路,关注Java技术的发展
09-10 2412
这里写自定义目录标题Value is too long (limit: 512 characters)') 问题 Value is too long (limit: 512 characters)’) 问题 解决方案 启动参数没-Dtsf.swagger.enabled=false 问题现象 2019-09-10 09:48:22.387 ERROR [provider-demo,,,] 27...
403 Forbidden错误的原因和解决方法
热门推荐
半块菠萝的博客
03-04 14万+
403 Forbidden错误的原因和解决方法
consul.zip压缩包
05-29
Consul 是一款由 HashiCorp 公司开发的开源工具,用于实现分布式系统的服务发现、配置管理和安全。在本文中,我们将深入探讨 Consul 的核心功能、架构、使用场景以及如何在 Linux 环境中安装和配置。 一、Consul 的...
Consul Windows免安装版
04-02
- Consul支持基于TLS的加密通信和ACL(访问控制列表)系统,确保数据传输安全和资源访问权限控制。 8. **监控与日志** - Consul提供丰富的监控指标,可通过Prometheus、Graphite等集成进行可视化展示。 - 默认...
consul网关资源下载
03-10
此外,它还提供了 ACL(访问控制列表)系统,允许对 Consul 的 API 进行细粒度的权限控制,确保只有授权的实体才能操作服务和数据。 6. **服务网格**: 虽然 Consul 并不是严格意义上的服务网格(如 Istio 或 ...
Consul开启ACL控制
qq_42489223的博客
03-30 4485
记录一下Consul开启 ACL方法和遇到的小坑 一、ConsulACL是什么 ACL:访问策略控制 ConsulACL用来控制访问API和Key/Value文档,做到访问控制。 二、达成目标 启动Consul ACL后,可以对服务注册和调用、Key/Value文档的访问控制,进行授权访问。 三、使用方法 一、开启ACL 1、添加consul配置文件,开启ACL。 创建config-dir目录,将以下配置文件放在此目录下,命名为acl.json { "acl": { "enabl
403状态码----详解
DreamSun的博客
04-13 4万+
在访问网站的时候,会时不时的出现403 Forbidden错误,浏览器会给出403 Forbidden错误提示,在打开Access Error中列出的URL之后, 出现以下错误: 403 Forbidden   Access to this resource on the server is denied!   Powered By LiteSpeed Web Server   LiteSpeed...
openstack api报错ClientResponseException,status=403, status-code=FORBIDDEN
luckySnow的博客
11-12 549
ClientResponseException{message=(((((rule:update_port and (rule:update_port:fixed_ips and (rule:update_port:fixed_ips:ip_address and rule:update_port:fixed_ips:subnet_id))) and rule:update_port:device_owner) and rule:update_port:allowed_address_pairs) and
Consul ACL访问控制列表配置
weixin_33790053的博客
01-10 983
简介 Consul有多个组件,但是整体上,consul通常作为服务发现工具来使用。 Consul主要由以下特点: 服务发现 健康检查 KV存储 多数据中心 Consul一般与zookeeper,serf,eureka等软件做对比,具体差异可以参考文档 这里我主要记录下Consul ACL配置与使用。AC...
运维小姐姐说这篇Consul集群和ACL配置超给力(保姆级)
zyq025的专栏
03-24 448
前言 上一篇简单介绍了Consul,并使用开发模式(dev)进行流程演示,但在实际开发中需要考虑Consul的高可用和操作安全性,所以接着来聊聊集群和ACL的相关配置,涉及到的命令会在环境搭建过程中详细介绍。 正文 关于集群,第一反应就是多搞几台机器(或者容器等),将其关联在一块,提供功能即可;在搭建集群环境之前,需要对几个角色进行熟悉,因为在Consul中,它们至关重要。见下图(以一个数据中心为例): 数据中心(DataCenter):Consul运行的节点集连接在一起称为数据中心..
Centos环境部署consul集群,使用join操作报错:Failed to join any nodes.
✅ Java 开发工程师,从事 Web 应用程序的研发,擅长 Spring、SpringBoot 等技术。 ✅ 热爱编程,业余时间学习新知识,通过 CSDN 记录学习心得和笔记内容。
08-25 1747
(1)问题描述 Centos环境部署consul集群,使用join操作报错: [zhuyb@centos8 consul]$ ./consul join 192.168.78.101 Error joining address '192.168.78.101': Unexpected response code: 500 (1 error occurred: * Failed to join 192.168.78.101: dial tcp 192.168.78.101:8301: connect:
centos7 nginx 网站403无法访问-is forbidden (13: Permission denied)
qq_39298644的博客
08-09 2292
小编今天在centos7环境搭建lnmp,安装nginx的时候,外网正常访问,安装完MySQL和PHP后,修改完配置文件,一切正常,添加了个PHP文件后,尝试访问结果html和PHP文件均无法访问,查看错误日志后发现 “/var/nginx/html/index.html” is forbidden (13: Permission denied), client: 192.168.101.18, ...
consul 怎么配置Acl
05-16
ACL(Access Control List)即访问控制列表,是Consul中用来控制访问权限的一种机制。在Consul中,为了保证数据的安全性,需要对访问Consul的用户进行认证和授权。配置ACL可以建立一些规则来限制用户的访问权限,保护数据的安全性。 要配置ACL,首先需要在Consul配置文件中开启ACL功能,例如: ``` { "acl_datacenter": "dc1", "acl_default_policy": "deny", "acl_down_policy": "extend-cache", "acl_master_token": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx", "acl_token": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" } ``` 其中,“acl_datacenter”表示ACL的数据中心,“acl_default_policy”表示默认的授权策略,“acl_down_policy”表示如果无法和 agent 连接时应该使用的授权策略,“acl_master_token”表示管理 token,“acl_token”表示客户端 token。 然后,需要创建一个管理员token,用于管理ACL,例如: ``` consul acl bootstrap ``` 最后,可以在Consul中创建、修改、删除ACL规则,例如: ``` consul acl policy create -name "web-service" -description "Grant permissions required by the web service" -rules @web-service-policy.hcl consul acl token create -description "Token for accessing the web service" -policy-name "web-service" consul acl token update -id <ACCESSOR_ID> -description "Token for accessing the web service" -policy-name "web-service" ``` 以上是关于Consul如何配置ACL的简单介绍,如有疑问,请您进一步了解。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值