consul配置文件参数说明

• datacenter 此标志表示代理运行的数据中心。如果未提供，则默认为“dc1”。
  Consul拥有对多个数据中心的一流支持，但它依赖于正确的配置。同一数据中心中的节点应在同一个局域网内。

• primary_datacenter: 这指定了对ACL信息具有权威性的数据中心。必须提供它才能启用ACL。

• bootstrap_expect: Consul将等待指定数量的服务器可用，然后才会引导群集。这允许自动选择初始领导者。

• start_join: 一个字符串数组，指定是其他的consul server agent的地址。这里这样配置，会在启动时，尝试将consul-server2，consul-server3这两个节点加进来，形成一个集群。

• retry_join: 允许start_join时失败时，继续重新连接。重试的时间间隔，可以用retry_interval设置，默认是30s;重试的最大次数，可以用retry_max设置，默认是0，也就是无限次重试。关于retry_interval和retry_max，这里都是用的默认值。

• bind_addr: 内部群集通信绑定的地址。这是群集中所有其他节点都应该可以访问的IP地址。默认情况下，这是“0.0.0.0”，这意味着Consul将绑定到本地计算机上的所有地址，并将第一个可用的私有IPv4地址通告给群集的其余部分。如果有多个私有IPv4地址可用，Consul将在启动时退出并显示错误。如果指定“[::]”，Consul将通告第一个可用的公共IPv6地址。如果有多个可用的公共IPv6地址，Consul将在启动时退出并显示错误。 Consul同时使用TCP和UDP，并且两者使用相同的端口。如果您有防火墙，请务必同时允许这两种协议。

• advertise_addr: 更改我们向群集中其他节点通告的地址。默认情况下，会使用-bind参数指定的地址.

• server: 是否是server agent节点。

• connect.enabled: 是否启动Consul Connect，这里是启用的。

• node_name：节点名称。

• data_dir: agent存储状态的目录。

• enable_script_checks： 是否在此代理上启用执行脚本的健康检查。有安全漏洞，默认值就是false，这里单独提示下。

• enable_local_script_checks: 与enable_script_checks类似，但只有在本地配置文件中定义它们时才启用它们。仍然不允许在HTTP API注册中定义的脚本检查。

• log-file: 将所有Consul Agent日志消息重定向到文件。这里指定的是/opt/consul/log/目录。

• log_rotate_bytes：指定在需要轮换之前应写入日志的字节数。除非指定，否则可以写入日志文件的字节数没有限制

• log_rotate_duration：指定在需要旋转日志之前应写入日志的最长持续时间。除非另有说明，否则日志会每天轮换（24小时。单位可以是"ns", “us” (or “µs”), “ms”, “s”, “m”, “h”， 比如设置值为24h

• encrypt：用于加密Consul Gossip 协议交换的数据。在启动各个server之前，配置成同一个UUID值就行，或者你用命令行consul keygen 命令来生成也可以。

• acl.enabled: 是否启用acl.

• acl.default_policy: “allow”或“deny”; 默认为“allow”，但这将在未来的主要版本中更改。当没有匹配规则时，默认策略控制令牌的行为。在“allow”模式下，ACL是黑名单：允许任何未明确禁止的操作。在“deny”模式下，ACL是白名单：阻止任何未明确允许的操作.

• acl.enable_token_persistence: 可能值为true或者false。值为true时，API使用的令牌集合将被保存到磁盘，并且当代理重新启动时会重新加载。

• acl.tokens.master: 具有全局管理的权限，也就是最大的权限。它允许操作员使用众所周知的令牌密钥ID来引导ACL系统。需要在所有的server agent上设置同一个值，可以设置为一个随机的UUID。这个值权限最大，注意保管好。

• acl.tokens.agent: 用于客户端和服务器执行内部操作.比如catalog api的更新，反熵同步等。

• client_addr: Consul将绑定客户端接口的地址，包括HTTP和DNS服务器

• ui: 启用内置Web UI服务器和对应所需的HTTP路由

• ports.http： 更改默认的http端口。
  2.3.2. 生成两个token，让部门A，B各自管理自己的服务
  首先我们来生成部门A的policy， 意思度所有节点具有写权限（写权限包括读），并且只能写deptA开头的服务。

2.3.2.1先生成部门A的token
node_prefix “” {
policy = “write”
}

service_prefix “deptA”{
policy = “write”
}
下面是具体的生成过程
1.新建policy并保存

2.生成token

3.查看token列表，并点击deptA-policy那一项查看并复制token

2.3.2. 2.在生成部门B的token
只需要把policy稍作修改就可以，其他部门和部门A的类似，这里就不贴图了。

node_prefix “” {
policy = “write”
}

service_prefix “deptB”{
policy = “write”
}
2.3.用不同的token来获取服务列表
最后我们拿到部门A和部门B的token，以及master的token
我这里deptA的token是：8764c083-0acb-e11e-433d-8d8803db9bd2
deptB的token是： 052f467f-9581-cc7c-a8a5-84d8df51dc9d
master token是: d76a0f7-5535-40cc-8696-073462acc6c7
下面用postman测试一下，看看不同token返回的服务列表

deptA-token
http://127.0.0.1:7110/v1/agent/services?token=8764c083-0acb-e11e-433d-8d8803db9bd2

deptB-token
http://127.0.0.1:7110/v1/agent/services?token=052f467f-9581-cc7c-a8a5-84d8df51dc9d

master-token
http://127.0.0.1:7110/v1/agent/services?token=cd76a0f7-5535-40cc-8696-073462acc6c7

可以发现deptA-token只能看到部门A的服务，deptB-token只能看到部门B的服务，master-token可以看到所以的。
另外取消注册，注册之类的验证大家可以自己试试，都与上面的方式差不多，只不过要使用不同的Http API