Consul中文文档—控制Service访问(Consul ACL进阶一)

最新推荐文章于 2024-04-28 01:39:34 发布
最新推荐文章于 2024-04-28 01:39:34 发布
阅读量2.1k 收藏 1
点赞数
分类专栏: Consul工作原理及落地实践 微服务 文章标签: Consul ACL Consul Consul安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuai_wy/article/details/111181280
版权

使用Token控制Service访问列表

翻译自: Secure Consul with Access Control Lists (ACLs)
在一些ToB场景中, 这个问题可能是大家最常问的— 如何实现服务安全的、保护我的数据安全?

特别是我的服务与其他业务服务同处于一个服务注册中心,但是我的服务是敏感服务(如银行场景),虽然我的服务内置了鉴权逻辑, 但是我不想暴露我的节点信息。

针对这个问题,Consul是如何处理的呢?
Consul-ACL进阶
转载请注明🙂,喜欢请一键三连哦 😊

文章目录

一、自定义Service Token

假设存在dashboard Service 要增加授权。

curl -X PUT \
  'http://127.0.0.1:8500/v1/agent/service/register?replace-existing-checks=true' \
  -H 'Content-Type: application/json' \
  -H 'Postman-Token: 5a3a1b88-8dbe-4d82-bacd-57ce48fcf0d1' \
  -H 'X-Consul-Token: 498b2322-f2c9-45c0-1d8b-daf8dcd1c710' \
  -H 'cache-control: no-cache' \
  -d '{
  "ID": "dashboard-1",
  "Name": "dashboard",
  "Tags": ["primary", "v1"],
  "Address": "127.0.0.1",
  "Port": 8500,
  "Meta": {
    "web_version": "4.0"
  },
  "EnableTagOverride": false,
  "Check": {
    "DeregisterCriticalServiceAfter": "5m",
    "http": "http://127.0.0.1:8500/v1/agent/members",
    "Interval": "10s",
    "Timeout": "5s"
  },
  "Weights": {
    "Passing": 10,
    "Warning": 1
  }
}'

与创建和应用Agent Policy是相似的。 先创建策略,用策略去创建一个令牌, 最后讲令牌应用至Service.

规则编写可以参考:Service Rules

serviceservice_prefix 资源控制的是服务级别的注册、CataLog API的访问、通过 Health API 服务发现访问。

1.1 创建Service Policy

以, 创建dashboard Service的注册(写)权限为例。

Request:

curl -X PUT \
  http://127.0.0.1:8500/v1/acl/policy \
  -H 'X-Consul-Token: e5beb23c-a6f5-e2d0-144c-8b9bee87398a' \
  -d '{
  "Name": "dashboard-policy",
  "Description": "Grants write access to dashboard service information",
  "Rules": "service \"dashboard\" {policy = \"write\"}",
  "Datacenters": ["dc1"]
}'

Response:

{
    "ID": "8d35d70f-5a4c-5799-db32-d9b6138a0db4",
    "Name": "dashboard-policy",
    "Description": "Grants write access to dashboard service information",
    "Rules": "service \"dashboard\" {policy = \"write\"}",
    "Datacenters": [
        "dc1"
    ],
    "Hash": "htiP/DxtVLH28eSuExBpLbfIadj14CUywBl4cWgovoE=",
    "CreateIndex": 1760,
    "ModifyIndex": 1760
}

1.2 创建Policy对应的Token

创建dashboard-policy对应的Token:

Request:

curl -X PUT \
  http://127.0.0.1:8500/v1/acl/token \
  -H 'X-Consul-Token: e5beb23c-a6f5-e2d0-144c-8b9bee87398a' \
  -d '{
  "Description": "Write token for '\''dashboard'\'' Service",
  "Policies": [
    {
      "ID": "8d35d70f-5a4c-5799-db32-d9b6138a0db4"
    },
    {
      "Name": "dashboard-policy"
    }
  ],
  "Local": false
}

Response:

{
  "AccessorID": "11434213-cc50-7f2e-f273-32a54dfbc55f",
  "SecretID": "fcf5875c-de3f-2a24-3c28-e0fa6564c97a",
  "Description": "Write token for 'dashboard' Service",
  "Policies": [
      {
          "ID": "8d35d70f-5a4c-5799-db32-d9b6138a0db4",
          "Name": "dashboard-policy"
      }
  ],
  "Local": false,
  "CreateTime": "2020-12-11T13:36:04.828902208Z",
  "Hash": "3SOLFkcmgrL+2wZMnqqIUf7m9UyBSrsUtN03ck6XUIs=",
  "CreateIndex": 1778,
  "ModifyIndex": 1778
}

1.3 验证

此时, 我们可以是用所有读权限(service_prefix “” {policy = “read”})的Token无法完成注册。

返回状态码 403, 且提示信息为: Permission denied: Missing service:write on dashboard

更换Token ,更换成我们上面创建的写权限Token, 注册成功 !!

超帅的菜鸟博主
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Consul中文文档Consul启用ACL
shuai_wy的专栏
12-14 4990
Consul ACL概述, Consul启用ACL系统步骤。
consul-unauthorized:consul未授权访问
04-24
consul可以进入后台,威胁敏感信息,对网络设备进行操作
Consul中文文档ACL系统故障排查(Consul ACL进阶四)_failed acl bootstrapping unexpected response code
最新发布
2401_83947255的博客
04-28 296
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
CentOs安装consul提示Permissiondenied的解决方法
qq_42362240的博客
04-22 2236
cd到consul的目录, 使用 ls -l consul 即可查看consul的权限。 -rw-r--r-- 1 root root 107811060 Apr 22 11:18 consul 其中r代表写读权限(可用数字4代替) w代表写权限(可用数字2代替) x代表可执行权限(可用数字1代替) 其中-rw-r–r--代表着三个用户,依次代表属主、属组、其他用户 如果想让属主拥有可执行权限...
Consul中文文档ACL系统故障排查(Consul ACL进阶四)
shuai_wy的专栏
12-18 5154
使用如下Consul CLI命令 进行ACL故障排查, 以及在紧急情况下重置ACL系统。
consulACL配置
llianlianpay的博客
01-10 5958
[1] consul的查询 下载后,启动 consul agent -dev 查询服务: DNS方式:dig @127.0.0.1 -p 8600 web.service.consul SRV Http方式:curl http://localhost:8500/v1/catalog/service/consul dig @127.0.0.1 -p 8600 c
centos7 nginx 网站403无法访问-is forbidden (13: Permission denied)
qq_39298644的博客
08-09 2254
小编今天在centos7环境搭建lnmp,安装nginx的时候,外网正常访问,安装完MySQL和PHP后,修改完配置文件,一切正常,添加了个PHP文件后,尝试访问结果html和PHP文件均无法访问,查看错误日志后发现 “/var/nginx/html/index.html” is forbidden (13: Permission denied), client: 192.168.101.18, ...
consul中文版帮助文档
12-19
这个“Consul中文版帮助文档”很显然是为了帮助中国用户更好地理解和使用Consul而准备的。以下是对Consul及其核心功能的详细介绍: 1. **服务发现**:Consul提供了基于DNS和HTTP的API接口,使得服务之间的发现变得...
Consul官方文档1
08-08
Consul可以作为证书授权来单独部署,或者和外部的签名授权集成,如vaultLearn moreEncrypted communication加密通讯All
Spring Cloud Consul中文文档.pdf
06-21
Spring Cloud Consul中文文档
ansible-consul:Hashicorp Consul集群的Ansible角色
01-31
请注意,此角色的最初设计目标更多地与Consul服务器群集环境的初始安装和引导有关,因此,当前(对所有这些)与正在进行的群集维护无关。 许多用户表示,基于Vagrant的环境可以使工作的本地Consul服务器群集环境...
Consul开启ACL控制
qq_42489223的博客
03-30 4344
记录一下Consul开启 ACL方法和遇到的小坑 一、ConsulACL是什么 ACL访问策略控制 ConsulACL用来控制访问API和Key/Value文档,做到访问控制。 二、达成目标 启动Consul ACL后,可以对服务注册和调用、Key/Value文档访问控制,进行授权访问。 三、使用方法 一、开启ACL 1、添加consul配置文件,开启ACL。 创建config-dir目录,将以下配置文件放在此目录下,命名为acl.json { "acl": { "enabl
【超详细】Consul的安装的使用附多环境配置(傻瓜式教程)
weixin_46099455的博客
08-15 8327
Consul 是 HashiCorp 公司推出的开源工具,用于实现分布式系统的服务发现与配置。与其他分布式服务注册与发现的方案,Consul 的方案更“一站式”,内置了服务注册与发现框架、分布一致性协议实现、健康检查、Key/Value 存储、多数据中心方案,不再需要依赖其他工具(比如 ZooKeeper 等)。使用起来也较 为简单。Consul 使用Go 语言编写,因此具有天然可移植性(支持Linux、windows和Mac OS X);......
consul服务启动失败解决
sunshine151的专栏
08-02 1483
启动服务时,碰到如图所示的错误,查看不到错误,此时,可以在浏览器输入 http://192.168.50.**:11001/actuator/health 查看错误
关于微服务SpringCloud注册中心Consul使用异常的一次大坑
eternally_zh128@sina.com的博客
04-03 658
有可能会产生重启服务后,在服务调用的时候,之前缓存的实例名称还在,就可能产生即使你重启了容器,但服务调用取的实例仍然是consul缓存的(可能之前的容器实例已经停止),就会造成调用失败。
consul提示某服务service checks错误
一只喜欢学习的猪仔
11-08 1万+
启动某个微服务后,consul控制台看到该服务health checks有个错误。 访问 http://localhost:8500/v1/agent/checks 查看服务状态,提示该服务状态为down。访问output提供的地址, http://192.168.1.102:5001/actuator/health 只是简单的提示了down。并没有详细信息。 修改yaml配置文件,添加如下配...
Consul官方文档【译文】4-1、API-Agent
08-27 379
Check - Agent HTTP API /agent/check端点与Consul中的本地代理的检查进行交互。这些不应该与目录中的检查混淆。 »列表检查 此端点返回对本地代理注册的所有检查。这些检查是通过配置文件提供的,也可以使用HTTP API动态添加。 重...
(精华)2020年9月22日 微服务 Consul注册服务中心详解
热门推荐
时光隧道
09-07 44万+
if (!(Test-Path -Path $PROFILE)) { New-Item -ItemType File -Path $PROFILE -Force }
consul 操作
叱咤少帅的博客
07-29 536
consul的增删改查
consul控制ui界面访问鉴权
07-28
对于Consul控制UI界面的访问鉴权,你可以通过以下步骤进行设置: 1. 配置Consul服务端的ACL(Access Control List):使用ConsulACL功能来定义用户、角色和权限。你可以创建一个包含有限访问权限的角色,并将用户分配到这些角色中。 2. 为UI界面创建一个独立的ACL令牌:生成一个ACL令牌,该令牌具有访问UI界面所需的权限。确保该令牌只限于UI界面的访问,并且不授予其他敏感操作的权限。 3. 配置Consul UI界面的访问控制:编辑Consul的配置文件,指定仅允许使用特定ACL令牌的用户访问UI界面。这可以通过设置`ui_acl_token`参数来实现。 4. 重新启动Consul服务:保存配置文件更改后,重新启动Consul服务以使其生效。 通过这些步骤,你可以实现对Consul UI界面的访问鉴权,只允许具有相应ACL令牌的用户进行访问。这样可以提高系统的安全性和可控性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值