Consul开启ACL控制

最新推荐文章于 2022-11-07 20:05:30 发布
最新推荐文章于 2022-11-07 20:05:30 发布
阅读量4.4k 收藏 13
点赞数 6
文章标签: consul spring cloud
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42489223/article/details/115330883
版权
记录一下Consul开启 ACL方法和遇到的小坑
一、Consul的ACL是什么

ACL:访问策略控制

Consul的ACL用来控制访问API和Key/Value文档,做到访问控制。

二、达成目标

启动Consul ACL后,可以对服务注册和调用、Key/Value文档的访问控制,进行授权访问。

三、使用方法
一、开启ACL
1、添加consul配置文件,开启ACL。

创建config-dir目录,将以下配置文件放在此目录下,命名为acl.json

{
    "acl": {
        "enabled": true,        //是否开启ACLToken
        "default_policy": "deny",  //allow和deny两个值。allow模式下,ACL是黑名单,允许任何未明确禁止的操作。deny模式下,ACL是白名单,阻止任何未明确允许的操作。
		"enable_token_persistence": true //值为true时,API使用的令牌集合将被保存到磁盘,并且当代理重新启动时会重新加载。
    }
}

启动consul

启动命令:

consul.exe agent -server -bootstrap -advertise 127.0.0.1 -data-dir ./data -ui -config-dir ./config-dir/acl.json

2、使用Postman调用API,获取超级管理员token。

localhost:8500/v1/acl/bootstrap
在这里插入图片描述

将AccessorID添加到配置文件中,重新启动Consul

{
    "acl": {
        "enabled": true,        
        "default_policy": "deny",  
		"enable_token_persistence": true,
		"tokens": {
			"master": "d90be899-26c6-7fb7-84c3-68ba051611a8"
		}
    }
}

具有全局管理的权限,也就是最大的权限。它允许操作员使用令牌密钥ID来引导ACL系统。需要在所有的server agent上设置同一个值,可以设置为一个随机的UUID。这个值权限最大,注意保管好。

3、使用Postman调用API,创建客户端token。

localhost:8500/v1/acl/create

在Headers中填写

keyvalue
X-Consul-Token上一步获取的master token
Content-Typeapplication/json

在这里插入图片描述

将获得的token添入到配置文件中,重新启动。

{
    "acl": {
        "enabled": true,        
        "default_policy": "deny",  
		"enable_token_persistence": true,
		"tokens": {
			"master": "d90be899-26c6-7fb7-84c3-68ba051611a8",
			"agent": "a7744c70-9aab-a190-9ff6-e935a87c117f"
		}
    }
}

如果不配置控制台会报

[WARN] agent: Coordinate update blocked by ACLs

4、复制master的token,输入

在这里插入图片描述

在这里插入图片描述

5、在bootstrap.yml配置文件中加入如下属性

服务的注册和获取

spring:
  cloud:
    consul:
      discovery:
        acl-token: 输入创建的token

配置文件Key/Value获取

spring:
  cloud:
    consul:
      config:
        acl-token: 输入创建的token
二、自定义策略
1、首先进行策略设置

在这里插入图片描述

在这里插入图片描述

2、创建token并且添加策略

在这里插入图片描述

查看权限列表选择权限并且保存。

在这里插入图片描述

保存完成后可以在token列表看到刚才添加的token。

在这里插入图片描述

点击进去后查看token进行使用。

三、配置策略信息

在这里插入图片描述

https://learn.hashicorp.com/tutorials/consul/access-control-manage-policies(官方文档)

示例格式:

用于服务注册

service_prefix ""{
	policy = "write"
}

用于key/value获取

key_prefix "" {
	policy = "read"
}

官方文档给出,调用服务的ACL需要节点可读,服务可读。(只给了单独服务的可读权限会获取不到),策略如下:

# 安全性低, 所有节点和服务名都可以暴露,基本等同于Master Token
node_prefix "" { policy = "read" }
service_prefix "" { policy = "read" }

# 仅开放相关node和service的可读权限
node "xxxxx" { policy = "read" }
service "xxxxx" { policy = "read" }
四、注意

在开启ACL后,要重写心跳检测(在consulACL项目consul包下已重写)

https://my.oschina.net/u/4227761/blog/3114951(心跳检测方法重写资料)

五、开启心跳检测与consul自己的健康检查会发生互斥

源码:

public static NewService.Check createCheck(Integer port,
      HeartbeatProperties ttlConfig, ConsulDiscoveryProperties properties) {
   NewService.Check check = new NewService.Check();
   if (StringUtils.hasText(properties.getHealthCheckCriticalTimeout())) {
      check.setDeregisterCriticalServiceAfter(
            properties.getHealthCheckCriticalTimeout());
   }
    //如果开启就会设置为心跳检查。
   if (ttlConfig.isEnabled()) {
      check.setTtl(ttlConfig.getTtl());
      return check;
   }

   Assert.notNull(port, "createCheck port must not be null");
   Assert.isTrue(port > 0, "createCheck port must be greater than 0");

   if (properties.getHealthCheckUrl() != null) {
      check.setHttp(properties.getHealthCheckUrl());
   }
   else {
      check.setHttp(String.format("%s://%s:%s%s", properties.getScheme(),
            properties.getHostname(), port, properties.getHealthCheckPath()));
   }
   check.setHeader(properties.getHealthCheckHeaders());
   check.setInterval(properties.getHealthCheckInterval());
   check.setTimeout(properties.getHealthCheckTimeout());
   check.setTlsSkipVerify(properties.getHealthCheckTlsSkipVerify());
   return check;
}

如果要开启ACL权限访问控制,就需要关闭心跳检测,让consul使用自己的健康检测机制。主要因为:

@Override
public void run() {
   TtlScheduler.this.client.agentCheckPass(this.checkId);
   if (log.isDebugEnabled()) {
      log.debug("Sending consul heartbeat for: " + this.checkId);
   }
}

心跳检测调用的方法没有token,所以会一直403过不去权限检测。

六、更改配置文件

spring官方文档配置:

在这里插入图片描述

在bootstrap.yml中 更改健康检查路径的地址为 /actuator/health

年迈的安度因
关注
  • 6
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
consul.zip
06-01
5. **Consul ACL系统**:ACLAccess Control List)是Consul的一个重要特性,它提供了细粒度的权限控制,可以对操作进行读、写、执行等权限设置,确保了系统的安全。 在描述中提到的链接指向了一个详细的搭建教程...
consul-migrate:用于迁移Consul ACL令牌的宝石
05-09
consul-migrate是用于迁移ConsulACL数据中心的Ruby gem。 Consul本身不支持这种迁移机制,但确实提供了用于访问ACL的API。 consul-migrate使用此API从当前权威的ACL数据中心导出ACL令牌,并将其导入到另一个数据...
Consul中文文档—Consul启用ACL
shuai_wy的专栏
12-14 5043
Consul ACL概述, Consul启用ACL系统步骤。
Consul使用【ACL使用】
Happywzy~的博客
10-09 1271
接前文,需要开启consul ACL配置,如下 #enable_key_list_policy开启true,为kv配置acl控制 "acl":{ "enabled":true, "default_policy":"deny", "enable_token_persistence":true, "enable_key_list...
consul开启acl
selsilo的博客
07-28 481
consul开启acl 开启acl相关配置 ##代表开启ACL; enabled=true ##默认为allow,如果需要自定义权限,需要将其设置为deny default_policy=“deny” ##开启token持久化,将token持久化到磁盘上 enable_token_persistence=true cd /data/consul/config { "acl_datacenter": "dc1", "acl_master_token": "-Eoyxn*2U#DttzJ", "acl_d
consul--基础--06--ACL
zhou920786312的博客
11-07 2047
Consul使用 Access Control Lists 来保护对UI、API、CLI、服务通信和代理通信的访问。
consul配置ACL
u011105165的博客
05-17 1813
1、consul配置文件目录下新增配置文件acl.json 内容如下(实际使用时,将注释删除才可使用) { "acl_datacenter": "dc1", //需要acl配置的数据中心 一般默认是dc1 除非启动时指定了 data-center配置 "acl_master_token": "********", //这个是随机生成的字符串,不要含有 + 号和空格 以及一些会引起base64问题的字符 "acl_default_policy": "deny.
consul ACL配置使用
天生我才必有用!
01-23 1万+
转自:https://www.xiaomastack.com/2016/06/11/cousnl-acl/ consul自带ACL控制功能,看了很多遍官方文档,没有配置步骤https://www.consul.io/docs/internals/acl.html 主要对各种配置参数解释,没有明确的步骤,当时唯一疑惑的是怎样生成ACL规则。看了很多相关的blog都是相似的内容,都是
跟大家介绍一下关于Spring Cloud Consul
qq_40354025的博客
11-13 671
Spring Cloud Consul项目是针对Consul的服务治理实现。Consul是一个分布式高可用的系统,它包含多个组件,但是作为一个整体,在微服务架构中为我们的基础设施提供服务发现和服务配置的工具...
Consul Windows免安装版
04-02
- Consul支持基于TLS的加密通信和ACL(访问控制列表)系统,确保数据传输安全和资源访问权限控制。 8. **监控与日志** - Consul提供丰富的监控指标,可通过Prometheus、Graphite等集成进行可视化展示。 - 默认...
consul-1.11.4
03-08
1.11.4 版本可能提供了更好的服务网格控制和可观测性,包括更精细的服务路由规则、故障切换策略以及更丰富的监控指标。 4. **健康检查更新**:Consul 提供了自动健康检查功能,可检测服务是否正常运行。新版本可能...
Consul安装升级.md
07-17
### Consul 安装与升级知识点 #### 一、Consul 安装目录规划 - **Consul 安装目录**: `/usr/local/consul-VERSION` (其中 `VERSION` 表示当前版本号),安装完成后,通过软链接指向 `/usr/local/consul`。 - **二...
Consul中文文档—ACL系统故障排查(Consul ACL进阶四)
shuai_wy的专栏
12-18 5195
使用如下Consul CLI命令 进行ACL故障排查, 以及在紧急情况下重置ACL系统。
consul 配置/KV/ACL
liberalman的专栏
11-01 5903
[TOCM]Consul版本 v0.9.31. 配置1.1 CLI配置Consul Agent有各种各样的配置项可以在命令行或者配置文件进行定义,所有的配置项都是可选择的,当加载配置文件的时候,Consul从配置文件或者配置目录加载配置。后面定义的配置会合并前面定义的配置,但是大多数情况下,合并的意思是后面定义的配置会覆盖前面定义的配置,但是有些情况,例如event句柄,合并仅仅是添加到前面定义的句
Consul1.5.0 带ACL控制集群搭建
weixin_33834679的博客
06-01 361
这篇文章的目的:搭建带有ACL控制consul1.5集群。 具体概念及配置说明,后面我会再写文章补充说明。 1.机器规划 我这里起了四台虚拟机,三台用作Server agent,一台用作Client agent。(说明:当然Client可以配置多个,这里由于开太多虚拟机比较耗费资源,就只设置了一个。) 机器ip(机器名) http端口(其他端口使用默认值) Agent类型 节点名称 ...
(精华)2020年8月22日 微服务 Consul的介绍
热门推荐
时光隧道
08-20 49万+
public static void Proccess() { int port = 2018; string host = "127.0.0.1"; IPAddress ip = IPAddress.Parse(host); IPEndPoint ipe = new IPEndPoint(ip, port); Socket sSocket = new Socket(AddressFamily.InterNetwork, SocketType.Stream, Pr
搭建带ACL控制Consul集群
qq_40965644的博客
07-03 245
1.设备 机器ip(机器名) http端口 Agent类型 节点名称 192.168.43.120 8500 server consul-server1 192.168.43.121 8500 server consul-server2 192.168.43.122 8500 client带UI consul-client1 2.配置文件 文件放入位置:/usr/bin/start-conf/ server1:把其他节点加入集群 { "datacenter":"dc1",
centos6 安装consul ACL
qinheJ的博客
11-14 584
文章目录一、下载安装包二、解压安装包四、测试五、生产六、集群七、consul概念 一、下载安装包 去node官网下载最新的node.js10.13.0版本,地址: consul官方下载地址 不需要下载到自己的客户机上,直接在服务器里面用wget下载更快 拷贝下载链接 cd /home/download wget https://releases.hashicorp.com/consul/1.3.1...
consul acl
最新发布
09-02
Consul ACLAccess Control List)是Consul中用于配置和管理访问控制的功能。引用中提到了配置ACL的步骤,包括在各节点启动时启用ACL,并在配置文件夹目录中添加acl.hcl文件。这个文件包含了ACL的配置信息,如启用ACL、默认策略、令牌持久化等。通过重新启动节点,ACL的配置就会生效。 引用中提到了根据规则文件生成策略的步骤。在Consul中,可以通过创建策略来定义ACL的规则。可以使用命令行工具consul acl policy create来创建策略,并指定策略的名称、规则文件和对应的权限令牌。这样就可以为不同的访问需求创建不同的策略。 另外,引用提到了AWS SSM参数引导和管理Consul ACL的实用程序。这个工具可以让您安全地从AWS SSM中存储ACL定义和令牌ID,并简化在多环境场景中引导ACL的过程。 所以,Consul ACL是用于配置和管理Consul中访问控制的功能,它可以通过配置文件和命令行工具来实现。同时,AWS SSM参数也提供了方便的管理工具来简化ACL的引导和管理过程。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [consul--基础--06--ACL](https://blog.csdn.net/zhou920786312/article/details/127738110)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [consulssm:通过AWS SSM参数引导和管理Consul ACL](https://download.csdn.net/download/weixin_42162171/18299398)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值