Consul ACL

最新推荐文章于 2023-08-04 16:17:50 发布
最新推荐文章于 2023-08-04 16:17:50 发布
阅读量1.2k 收藏
点赞数 1
文章标签: java consul
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42740258/article/details/110954445
版权

Consul ACL

Consul和其他系统ACL的区别

  • 通常的ACL授权例如etcd使用用户名:密码对的方式来认证用户,用户名是可能是公开的,密码是保密的用户自己知道;但是consul没有使用用户名:密码对的方式,就使用一个token值;那么既然只有一个值,就必须注意保密,不能使用约定的名字字符串,例如root, tom, jerry等,因为别人很容易猜出来,现在consul使用的字符串时UUID,既唯一又随机,不能被猜出来。
  • consul的三类权限类型
    • read: 读
    • write: 读和写
    • deny: 不能访问,既不能读也不能写了。

激活ACL

consul的ACL激活需要在所有的consul节点上,办法是,创建一个json格式的配置文件:

{
   "acl": {
       "enabled": true,
       "default_policy": "allow",
       "enable_token_persistence": true,
       "tokens": {
           "master": "***"
      }
   }
}

注意:该文件一定要放置到consul agent通过参数-config-dir指定的目录下面,缺省目录是:/consul/config/

这个相同的文件需要部署到所有的consul节点上。

关于tokens.master值,这个就是Bootstrap Token
Bootstrap Token相当于Unix系统中的root,具有所有的权限。
其名字可以是任意字符串,不一定是一个UUID值。(使用UUID为了安全用户无法猜测。)

配置acl

创建一个agent token

先创建一个policy,可以用api也可以用ui界面,这里通过Ui来配置。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-rSHU2hOS-1607585820285)(C:\Users\taiji\Desktop\consul\consul acl.png)]

用这个policy创建一个token

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xVF0GXzr-1607585820287)(C:\Users\taiji\Desktop\consul\consul acl1.png)]

查看token值 ,可以用api也可以用ui界面

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-iEztYG3f-1607585820288)(C:\Users\taiji\Desktop\consul\consul acl2.png)]

修改服务配置文件,将"default_policy"值改为"deny","tokens"节点新增"agent"值

{
   "acl": {
       "enabled": true,
       "default_policy": "allow",
       "enable_token_persistence": true,
       "tokens": {
           "master": "***"
           "agent":"920dfd67-88c1-f82c-ef34-c1d39d72bee0"
       }
   }
}

修改客户端配置文件,新增acl配置

{
   "acl": {
       "tokens": {
           "agent":"920dfd67-88c1-f82c-ef34-c1d39d72bee0"
       }
   }
}

重新启动consul,加载新的配置文件。

添加服务注册token

没配置ACL之前默认策略为allow,可以任意进行服务注册,配置acl后,可以添加一个用于服务注册的token,某个服务要注册到consul,必须带上这个token。

先添加一个策略,可以用api也可以用ui界面

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-gupTZmMs-1607585820290)(C:\Users\taiji\Desktop\consul\consul acl3.png)]

再用这个策略创建一个token,可以用api也可以用ui界面

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-2KMwOaxw-1607585820291)(C:\Users\taiji\Desktop\consul\consul acl4.png)]

查看token值

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-0wpzwJRY-1607585820292)(C:\Users\taiji\Desktop\consul\consul acl5.png)]

服务注册

把查看到的token复制到acl-token 对应的value中。

spring:
  profiles: dev
  cloud:
    consul:
      host: localhost
      port: 8500
      config:
        enabled: true
        format: YAML
        prefix: config
        profile-separator: ","
        data-key: data
        acl-token: 2e21c3fd-beab-c10d-cf13-5f1aeebae81b
      discovery:
        healthCheckInterval: 30s
        acl-token: 2e21c3fd-beab-c10d-cf13-5f1aeebae81b

启动服务,查看是否注册成功。

ACL规则

合理分配token的权限(制定ACL规则),官方文档有一例分配说明:

# Default all keys to read-only
key "" {
  policy = "read"
}
key "foo/" {
  policy = "write"
}
key "foo/private/" {
  # Deny access to the dir "foo/private"
  policy = "deny"
}
# Default all services to allow registration. Also permits all
# services to be discovered.
service "" {
    policy = "write"
}
# Deny registration access to services prefixed "secure-".
# Discovery of the service is still allowed in read mode.
service "secure-" {
    policy = "read"
}
# Allow firing any user event by default.
event "" {
    policy = "write"
}
# Deny firing events prefixed with "destroy-".
event "destroy-" {
    policy = "deny"
}
# Default prepared queries to read-only.
query "" {
    policy = "read"
}
# Read-only mode for the encryption keyring by default (list only)
keyring = "read"
Li commander
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
consul-access
06-23
领事访问 使用 Nginx 为 Consul HTTP 提供轻量级密码保护。 使用 consul-access 只需使用别名consul链接到正在运行的 Consul 容器,并使用HTPASSWD环境变量提供用户名和密码: $ docker pull progrium/consul-access $ docker run -d \ --link consul:consul \ --env "HTPASSWD=<username> <password>" \ --publish 80:80 progrium/consul-access 如果您在--net=host模式下运行 Consul, --net=host可以使用--add-host手动设置 IP: $ docker run -d \ --add-host consul:<consul> \ --env "H
consulssm:通过AWS SSM参数引导和管理Consul ACL
05-01
领事通过AWS SSM参数引导和管理Consul ACL的实用程序。概述领事的目的是简化和简化领事ACL的管理过程。 它允许您从AWS SSM中的Consul安全地带外存储ACL定义及其各自的令牌ID,并简化了在高度动态的多环境场景中引导...
Consul入门07 - Consul Web界面
weixin_33973609的博客
05-09 948
Consul还带来了一个界面美观,功能强大的,开箱即用的Web界面。通过该界面我们可以查看所有的服务以及节点,查看所有的健康监测及其当前的状态,以及读取和设置键/值数据。该Web界面自动支持多数据中心。 有俩个方法来运行Web界面:使用Atlas by HashiCorp主机以及使用自有主机 使用Atlas主机 你必须在你的配置中增加两...
ubuntu9.10下配置需要用户名及密码的上网代理(squid)
weixin_34240657的博客
03-28 372
1 安装squidsudo apt-get install squid2 安装 htpasswd (如果装了apache就省掉这一步)(这个是用来产生密码的)  sudo apt-get install apache2-utils也可以sudo apt-get install  mini-httpd 3  生成密码文件 htpasswd -c /etc/squid/passwd user1会让你输...
consul服务注册中心
itzhangzx的博客
06-17 329
1.springc loud netf1ix eureka 作用:微服务架构充当服务注册中心 两个角色: eureka server服务注册中心、eureka client微服务 不好消息:eureka 组件1.0(稳定) 2.0版本停止更新 不在推荐使用eureka服务注册中心: 1.最新版本停止更新2.每次必须手动通过代码形式开发服务注册中心 2.服务注册中心组件 eureka,zookeeper,consul,nacos 3 . consul 服务注册中心spring cloud s
ConsulConsul实践指导-Encryption配置
渡江客涂鸦板
08-23 5568
Consul Agent支持对其所有的网络数据流进行加密。加密方法后续介绍。有两个独立的加密系统:Gossip Traffic和RPC。
服务注册中心consul的服务健康监控及告警
天草二十六
08-04 809
consul既可以作为服务注册中心,也可以作为分布式配置中心。当它作为服务注册中心的时候,java微服务之间的调用,会定期查询服务的实例列表,并且实例的状态是健康可用。如果发现被调用的服务,注册到consul的实例,没有一个是健康可用的时候,就会出现HystrixRuntimeException错误。所以,我们要及时发现不健康的实例,本文就讨论下如何做好consul服务的监控及告警。
consul-migrate:用于迁移Consul ACL令牌的宝石
05-09
consul-migrate是用于迁移ConsulACL数据中心的Ruby gem。 Consul本身不支持这种迁移机制,但确实提供了用于访问ACL的API。 consul-migrate使用此API从当前权威的ACL数据中心导出ACL令牌,并将其导入到另一个数据...
consul.zip
06-01
5. **Consul ACL系统**:ACL(Access Control List)是Consul的一个重要特性,它提供了细粒度的权限控制,可以对操作进行读、写、执行等权限设置,确保了系统的安全。 在描述中提到的链接指向了一个详细的搭建教程...
consul.rar
03-31
此外,它还提供了 ACL(访问控制列表)系统,以实现对资源的精细控制,保证服务的安全性。 9. **服务网格**: 虽然 Consul 不是一个全面的服务网格解决方案,如 Istio 或 Linkerd,但它可以作为服务网格的一部分,...
Consul可执行配置打包
03-10
Consul v1.9.3 windows下可直接运行的配置,包含1个主服务,2两个备用服务和1客户端服务以及Nginx配置,使用方式见command.txt中的指令
最新版consul1.4版本用户SpringCloud注册中心/配置中心
05-08
最新版consul,在所在盘符路径上输入cmd进入,输入consul.exe agent -dev启动,之后在浏览器中输入localhost:8500/即可看到consul管理界面,将consul作为注册中心讲解请关注本人博客
zinst_consul:Hincorp领事的打包和设置自动化by Zinst
04-29
Hincorp的Zinst领事包 您可以通过zinst使用Bootstrap安装领事服务器和客户端 Bootstrap服务器中的Consul集群设置 添加用于密钥部署的公钥 cat ~/.ssh/id_rsa.pub > /root/authorized_keys 密钥部署到其他服务器和客户端(需要root密码) 主机清单: 自举192.168.133.20 伺服器:192.168.133.2 [1-2] 客户端:192.168.133.3 [1-2] zinst keydep -h 192.168.133.2[1-2] 192.168.133.3[1-2] -pass 设置其他服务器和客户端 zinst set consul.encrypt="`cat /data/var/consul_key`" -set consul.start_join="192.168.133.2
consul1.2.1
08-15
新版本可能增强了安全特性,比如加强了证书管理,改进了 ACL(访问控制列表)策略,使得服务间的通信更加安全。 5. **多数据中心**:Consul 支持多数据中心的部署,使得全球分布式系统可以进行有效的交互。Consul ...
consul.zip压缩包
05-29
5. **安全性**:Consul 提供了 ACL(访问控制列表)系统,以确保只有授权的实体才能访问资源。 6. **HTTP API 和 GUI**:Consul 提供了丰富的 HTTP API 和图形用户界面,方便开发者和管理员进行操作。 二、Consul ...
consul UI用127可以访问,指定ip无法访问
热门推荐
三月神的专栏
12-22 1万+
./consul agent -dev  -client 0.0.0.0 -ui 需要加上红色这段才能指定ip访问
consul的server模式启用ui
weixin_33923148的博客
04-23 696
为什么80%的码农都做不了架构师?>>> ...
consul配置参数大全、详解、总结
xwnxwn的专栏
03-05 2736
以下选项全部在命令行中指定。 -advertise- 通告地址用于更改我们通告给集群中其他节点的地址。默认情况下,-bind地址是通告的。但是,在某些情况下,可能存在无法绑定的可路由地址。这个标志使闲聊不同的地址来支持这一点。如果此地址不可路由,则节点将处于持续振荡状态,因为其他节点会将非可路由性视为故障。在Consul 1.0和更高版本中,这可以设置为go-sockaddr模板。 -advertise-wan- 广告WAN地址用于更改我们向通过WAN加入的服务器节点发布的地址。这也...
16、注册中心-consul
qq23001186的博客
07-30 2154
user_web层需既要完成服务发现、也需要完成服务注册。
consul acl
最新发布
09-02
Consul ACL(Access Control List)是Consul中用于配置和管理访问控制的功能。引用中提到了配置ACL的步骤,包括在各节点启动时启用ACL,并在配置文件夹目录中添加acl.hcl文件。这个文件包含了ACL的配置信息,如启用ACL、默认策略、令牌持久化等。通过重新启动节点,ACL的配置就会生效。 引用中提到了根据规则文件生成策略的步骤。在Consul中,可以通过创建策略来定义ACL的规则。可以使用命令行工具consul acl policy create来创建策略,并指定策略的名称、规则文件和对应的权限令牌。这样就可以为不同的访问需求创建不同的策略。 另外,引用提到了AWS SSM参数引导和管理Consul ACL的实用程序。这个工具可以让您安全地从AWS SSM中存储ACL定义和令牌ID,并简化在多环境场景中引导ACL的过程。 所以,Consul ACL是用于配置和管理Consul中访问控制的功能,它可以通过配置文件和命令行工具来实现。同时,AWS SSM参数也提供了方便的管理工具来简化ACL的引导和管理过程。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [consul--基础--06--ACL](https://blog.csdn.net/zhou920786312/article/details/127738110)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [consulssm:通过AWS SSM参数引导和管理Consul ACL](https://download.csdn.net/download/weixin_42162171/18299398)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值