Consul中文文档—Consul启用ACL

最新推荐文章于 2024-09-11 22:14:33 发布
最新推荐文章于 2024-09-11 22:14:33 发布
阅读量5.4k 收藏 8
点赞数 2
分类专栏: Consul工作原理及落地实践 中间件 微服务 文章标签: consul consul acl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuai_wy/article/details/111150583
版权

翻译自: Secure Consul with Access Control Lists (ACLs)
转载请注明🙂,喜欢请一键三连哦 😊
Consul ACL

文章目录

前言

Consul通过ACLS 来确保安全的访问 UI, API, CLI, servie 通信,Agent通信。

如果想要确保数据中心安全,你应该首先配置ACLS。

ACL核心原理是,将规则分组为策略, 然后一个或多个策略于令牌关联。

启用ACL系统分为两步, 开启ACL创建令牌(Token)

Consul ACL 引导

启用ACL

default_plolicy: 默认策略, deny标识默认拒绝所有操作, allow标识默认允许所有操作。
enable_token_persistence :持久化到磁盘,重启时重新加载。

acl = {
  enabled = true
  default_policy = "deny"
  enable_token_persistence = true
}

PS: docker 启用ACL方式如下:


docker run -d -p 8500:8500  --name=consul-server1 consul agent -server -bind='172.17.0.2'  -bootstrap=true -node='172.17.0.2' -client='0.0.0.0' -ui -hcl=' acl { enabled = true
	enable_token_persistence = true 
	default_policy = \"deny\"  
}'

初始化ACL Tocken

创建初始令牌—— 内置策略(全局管理),相当于管理员令牌,可以授予一部份管理员全局访问权限。

执行如下命令:


consul acl bootstrap

或通过 HTTP API:

curl \
    --request PUT \
    http://127.0.0.1:8500/v1/acl/bootstrap

Response:

AccessorID:       42542b87-de2a-7173-2ce3-f96ef41dbf01
SecretID:         477cf0a8-0d69-5551-7313-db40a33ae78f
Description:      Bootstrap Token (Global Management)
Local:            false
Create Time:      2020-12-15 02:30:39.804724128 +0000 UTC
Policies:
   00000000-0000-0000-0000-000000000001 - global-management

ACL启动后,会创建全局的管理的内置策略, 相当于管理员最高权限, SecretID即为 global-management策略的Token.

到这里, Consul ACL 系统就已经启动了。

验证

此时,执行 HTTP请求 或 CLI命令,会发现返回结果为[], 或直接返回权限不足403。访问UI界面,此时需要登陆才能观测到数据。

X-Consul-Token 添加至Header, 或设置 CONSUL_HTTP_TOKEN 环境变量, VALUE为 Policy的Secret ID,此时将返回正确解决结果。 鉴权可参考: Consul HTTP API-Authentication

Docker-Consul概述以及集群环境搭建(图文详解)
weixin_53560205的博客
12-06 2704
文章目录一、Docker consul概述Consul的特性二、基于 nginx 与 consul 构建自动发现即高可用的 Docker 服务架构1.项目需求2.环境准备3.部署步骤①在主节点上部署consul②nginx 服务器连接 consul 并创建 nginx 容器服务③consul 群集添加 consul-template 以实现容器自动加入④新增一个 nginx 容器节点以测试自动更新⑤测试访问代理服务器⑥consul 多节点配置 一、Docker consul概述 容器服务更新与发现:先发现再
运维小姐姐说这篇Consul集群和ACL配置超给力(保姆级)
zyq025的专栏
03-24 497
前言 上一篇简单介绍了Consul,并使用开发模式(dev)进行流程演示,但在实际开发中需要考虑Consul的高可用和操作安全性,所以接着来聊聊集群和ACL的相关配置,涉及到的命令会在环境搭建过程中详细介绍。 正文 关于集群,第一反应就是多搞几台机器(或者容器等),将其关联在一块,提供功能即可;在搭建集群环境之前,需要对几个角色进行熟悉,因为在Consul中,它们至关重要。见下图(以一个数据中心为例): 数据中心(DataCenter):Consul运行的节点集连接在一起称为数据中心..
consul ACL配置使用
热门推荐
天生我才必有用!
01-23 1万+
转自:https://www.xiaomastack.com/2016/06/11/cousnl-acl/ consul自带ACL控制功能,看了很多遍官方文档,没有配置步骤https://www.consul.io/docs/internals/acl.html 主要对各种配置参数解释,没有明确的步骤,当时唯一疑惑的是怎样生成ACL规则。看了很多相关的blog都是相似的内容,都是
helm安装consul集群并启用ACL
最新发布
sj1163739403的博客
09-11 163
helm安装ACLconsul集群
Consul开启ACL控制
qq_42489223的博客
03-30 4873
记录一下Consul开启 ACL方法和遇到的小坑 一、ConsulACL是什么 ACL:访问策略控制 ConsulACL用来控制访问API和Key/Value文档,做到访问控制。 二、达成目标 启动Consul ACL后,可以对服务注册和调用、Key/Value文档的访问控制,进行授权访问。 三、使用方法 一、开启ACL 1、添加consul配置文件,开启ACL。 创建config-dir目录,将以下配置文件放在此目录下,命名为acl.json { "acl": { "enabl
consul开启acl
selsilo的博客
07-28 529
consul开启acl 开启acl相关配置 ##代表开启ACL; enabled=true ##默认为allow,如果需要自定义权限,需要将其设置为deny default_policy=“deny” ##开启token持久化,将token持久化到磁盘上 enable_token_persistence=true cd /data/consul/config { "acl_datacenter": "dc1", "acl_master_token": "-Eoyxn*2U#DttzJ", "acl_d
consul--基础--06--ACL
zhou920786312的博客
11-07 2438
Consul使用 Access Control Lists 来保护对UI、API、CLI、服务通信和代理通信的访问。
Consul使用【ACL使用】
Happywzy~的博客
10-09 1311
接前文,需要开启consul ACL配置,如下 #enable_key_list_policy开启true,为kv配置acl控制 "acl":{ "enabled":true, "default_policy":"deny", "enable_token_persistence":true, "enable_key_list...
consul acl
09-02
引用中提到了配置ACL的步骤,包括在各节点启动时启用ACL,并在配置文件夹目录中添加acl.hcl文件。这个文件包含了ACL的配置信息,如启用ACL、默认策略、令牌持久化等。通过重新启动节点,ACL的配置就会生效。 引用中...
consul.zip
06-01
在使用"consul.zip"中的内容时,用户需要解压文件,然后按照提供的文档或教程进行操作,包括安装Consul、配置服务器和客户端、设置服务发现规则、启用健康检查以及可能的ACL策略配置。最后,通过运行Consul命令或...
consul config 多环境 dev test prod
09-22
可以启用 ACL(访问控制列表)系统,对读写配置的操作进行权限控制。 6. **动态配置**:除了静态导入配置,还可以使用 Consul 的动态配置功能,允许服务在运行时修改配置,无需重启。 通过以上步骤,我们可以有效...
《Linux运维总结:基于Ubuntu22.04操作系统+x86_64架构CPU部署consul v1.18.1之二进制版TLS/ACL集群》
东城绝神
08-30 1050
《Linux运维总结:基于Ubuntu22.04操作系统+x86_64架构CPU部署consul v1.18.1之二进制版TLS/ACL集群》
consul配置ACL
u011105165的博客
05-17 2095
1、consul配置文件目录下新增配置文件acl.json 内容如下(实际使用时,将注释删除才可使用) { "acl_datacenter": "dc1", //需要acl配置的数据中心 一般默认是dc1 除非启动时指定了 data-center配置 "acl_master_token": "********", //这个是随机生成的字符串,不要含有 + 号和空格 以及一些会引起base64问题的字符 "acl_default_policy": "deny.
Docker下部署Consul集群和ACL权限配置
Wolex--KEEP MOVING
05-06 5855
文章目录Docker下部署Consul集群和ACL权限配置规划与准备搭建Consul集群创建server1配置文件,启动server1节点创建server2配置文件,启动server2节点创建server3配置文件,启动server3节点加入集群验证Consul集群选举机制配置join参数,节点自动加入集群server节点退出集群节点自动加入集群节点之间加入通讯密钥增加ACL token权限配置启...
Consul中文文档ACL系统故障排查(Consul ACL进阶四)
shuai_wy的专栏
12-18 5689
使用如下Consul CLI命令 进行ACL故障排查, 以及在紧急情况下重置ACL系统。
consul 配置/KV/ACL
liberalman的专栏
11-01 6063
[TOCM]Consul版本 v0.9.31. 配置1.1 CLI配置Consul Agent有各种各样的配置项可以在命令行或者配置文件进行定义,所有的配置项都是可选择的,当加载配置文件的时候,Consul从配置文件或者配置目录加载配置。后面定义的配置会合并前面定义的配置,但是大多数情况下,合并的意思是后面定义的配置会覆盖前面定义的配置,但是有些情况,例如event句柄,合并仅仅是添加到前面定义的句
Consul1.5.0 带ACL控制集群搭建
weixin_33834679的博客
06-01 395
这篇文章的目的:搭建带有ACL控制的consul1.5集群。 具体概念及配置说明,后面我会再写文章补充说明。 1.机器规划 我这里起了四台虚拟机,三台用作Server agent,一台用作Client agent。(说明:当然Client可以配置多个,这里由于开太多虚拟机比较耗费资源,就只设置了一个。) 机器ip(机器名) http端口(其他端口使用默认值) Agent类型 节点名称 ...
consul配置ACL安全认证
菜鸟运维升级之路
09-11 1565
因为现阶段属于护网期,因此公司对服务器、业务的安全都很关注,只要再次期间被漏扫出来的漏洞,都需要及时响应处理,恰好昨天下午我负责维护的一个项目被漏扫出来了Consul未授权访问漏洞【原理扫描】HashiCorp Consul 安全漏洞(CVE-2021-41803)这两个漏洞,经过查询漏洞编号及名称,并验证该项目上的consul,才发现是因为该consul未配置任何安全认证,即当在浏览器访问consul的web界面时会直接暴露出已注册的services、nodes等相关信息,容易导致信息泄露。
搭建带ACL控制的Consul集群
qq_40965644的博客
07-03 290
1.设备 机器ip(机器名) http端口 Agent类型 节点名称 192.168.43.120 8500 server consul-server1 192.168.43.121 8500 server consul-server2 192.168.43.122 8500 client带UI consul-client1 2.配置文件 文件放入位置:/usr/bin/start-conf/ server1:把其他节点加入集群 { "datacenter":"dc1",
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值