网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
二、Consul catalog
consul catalog nodes -detailed
检查是否能够显示包含节点信息以及TaggedAddresses
节点信息。
如果 Agent TaggedAddresses
是Null, 可以查看下Consul 所有节点的日志,如果ACL正确地启用了,可以通过consul acl
命令查看下Agent Token。
consul catalog nodes -detailed
Node ID Address DC TaggedAddresses
server-1 a82c7db3-fdc3 192.168.1.191 kc lan=192.168.1.191, wan=192.168.1.190
server-2 a82c7db3-fdc3 192.168.1.192 kc lan=192.168.1.192, wan=192.168.1.190
server-3 a82c7db3-fdc3 192.168.1.193 kc lan=192.168.1.193, wan=192.168.1.190
三、Consul ACL命令
如果确认出现的问题不是因为配置错误, 可以通过下面的命令帮助定位Token
和Policy
问题。
3.1 Consul ACL pollicy list
consul acl policy list
命令将输出全部可用的策略。
consul acl policy list
global-management:
ID: 00000000-0000-0000-0000-000000000001
Description: Builtin Policy that grants unlimited access
Datacenters:
server-one-policy:
ID: 0bcee22c-6602-9dd6-b147-964958069426
Description: policy for server one
Datacenters:
也可以通过consul acl policy read -id <policy_id>
查看指定的策略。
3.2 Consul ACL token list
可以通过consul acl token list
查看令牌列表。 确定列表中的Token是在用的,这对于数据中心安全性是重要的,因为Token不会过期,完全拒绝于运维人员什么时候删除。
global-management
: ACL系统启动时由Consul创建的,管理员权限。
Anonymous Token
: 由Consul系统创建,默认匿名策略,没有任何权限。
通过consul acl token read -id <AccessorID>
可以查看指定Token信息。
consul acl policy read -id 0bcee22c-6602-9dd6-b147-964958069426
ID: 0bcee22c-6602-9dd6-b147-964958069426
Name: server-one-policy
Description: policy for server one
Datacenters:
Rules:
node "consul-server-one" {
policy = "write"
}
如果consul catalog
或 consul members
命令没有得到期待的结果,可以通过这个命令确认下Token对应的策略是否有相应权限。
四、Consul 重置ACL系统
如果你遇到无法解决的问题,或令牌(比如管理员令牌)找不到了,可以通过更新索引来重置ACL系统。
- 确认Leader节点
可以通过curl 172.17.0.1:8500/v1/status/leader
确认Leader节点。 重置必须要在Leader节点下完成。
- 重新运行ACL启动命令,确认索引号。
consul acl bootstrap
Failed ACL bootstrapping: Unexpected response code: 403 (Permission denied: ACL bootstrap no longer allowed (reset index: 13))
- 重置索引
echo 13 >> <data-directory>/acl-bootstrap-reset
- 可以通过
consul acl bootstrap
重新创建一个global-management
Token。
Note, resetting the ACL system will invalidate all tokens generated before the reset.
官网原话说, 重置后,之前创建的策略将失效,但是我亲手测试结果,发现以前创建的Token仍然是存在且可用的。另外,本篇文章中涉及到的ACL命令都有对应的HTTP接口,可以通过HTTP接口进行操作。
后序
本篇文章是ACL实践的最后一篇文章,其实还有一篇重要的文章我没有翻译,也推荐大家阅读,就是关于如何有效ACL,比如说,就是说要控制最小权限,以及哪些场景需要哪些权限的Case, 推荐给大家。
Understand Access Control Privileges
本篇主要设计一些实践内容,理论知识请参考我翻译的官网原文或我翻译的 Consul中文文档。
最全的Linux教程,Linux从入门到精通
======================
-
linux从入门到精通(第2版)
-
Linux系统移植
-
Linux驱动开发入门与实战
-
LINUX 系统移植 第2版
-
Linux开源网络全栈详解 从DPDK到OpenFlow
第一份《Linux从入门到精通》466页
====================
内容简介
====
本书是获得了很多读者好评的Linux经典畅销书**《Linux从入门到精通》的第2版**。本书第1版出版后曾经多次印刷,并被51CTO读书频道评为“最受读者喜爱的原创IT技术图书奖”。本书第﹖版以最新的Ubuntu 12.04为版本,循序渐进地向读者介绍了Linux 的基础应用、系统管理、网络应用、娱乐和办公、程序开发、服务器配置、系统安全等。本书附带1张光盘,内容为本书配套多媒体教学视频。另外,本书还为读者提供了大量的Linux学习资料和Ubuntu安装镜像文件,供读者免费下载。
本书适合广大Linux初中级用户、开源软件爱好者和大专院校的学生阅读,同时也非常适合准备从事Linux平台开发的各类人员。
需要《Linux入门到精通》、《linux系统移植》、《Linux驱动开发入门实战》、《Linux开源网络全栈》电子书籍及教程的工程师朋友们劳烦您转发+评论
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!