Consul中文文档—自定义 Agent,KV,UI访问策略(Consul ACL进阶二)

最新推荐文章于 2024-08-30 10:01:37 发布
最新推荐文章于 2024-08-30 10:01:37 发布
阅读量1.2k 收藏
点赞数
分类专栏: Consul工作原理及落地实践 微服务 文章标签: consul consul acls consul acl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuai_wy/article/details/111298370
版权

自定义 Agent,KV,UI访问策略

翻译自: Secure Consul with Access Control Lists (ACLs)
Consul-ACL进阶
转载请注明🙂,喜欢请一键三连哦 😊

上一节,我们有专门介绍最常用的Consul ACL控制Service 访问策略, 本节我们介绍其他场景的几个场景,限制 Agent,KV,UI的访问权限。

文章目录

一、定义Agent 访问策略

创建Agent Policy

创建一个策略,允许节点相关的操作有权限,包含在Catalog注册自己,更新节点健康检查,有权限访问配置文件。
节点规则可参考:

## consul-server-one-policy.hcl

node "consul-server-one" {
  policy = "write"
}


consul acl policy create \
-name consul-server-one \
-rules @consul-server-one-policy.hcl

创建Policy对应的Token

$ consul acl token create -description "consul-server-one agent token" \
-policy-name consul-server-one

Agent增加Token

consul acl set-agent-token agent "<agent token here>"

二、定义KV访问策略

创建Consul KV Token流程与Node,Service相似的。 但是KV可能会有各种各样的场景:

  • Service 可能需要访问配置数据中的KV数据;

  • 可能会想存储Sessions分布式锁信息;

  • 运维可能需要更权限取更新KV中的配置值;

KV规则包含四个策略级别: deny,write,read,and list。

下面分别介绍几种KV场景:

  • 递归读
key_prefix "redis/" {
  policy = "read"
}
  • 指定Key写权限

包含创建Key, 删除Key,更新Key

key "dashboard-app" {
  policy = "write"
}
  • 指定Key的读权限
key "counting-app" {
  policy = "read"
}

三、定义UI访问策略

UI策略生效步骤与Service策略是一样的,在此不展开,举一个策略例子,如:访问Service,Node, KV权限

## operator-ui.hcl

service_prefix "" {
  policy = "read"
}
key_prefix "" {
  policy = "read"
}
node_prefix "" {
  policy = "read"
}
超帅的菜鸟博主
关注
专栏目录
consul 配置---K/V存储及ACL
08-28 3170
consul 配置—K/V存储及ACL标签(空格分隔): consul Consul简介 安装及运行 K/V存储 Java案例(基于Spring boot) ACL配置 小结 1.Consul简介1.1 consul的作用 服务发现 Consul clients提供服务(例如API) 其他的client发现服务的提供者(通过DNS或http,应用可以轻松的发现他
Consul:4:可视化UI界面
热门推荐
知行合一 止于至善
02-29 1万+
Consul本身提供了一个可视化的UI界面,这篇文章对此进行简单介绍。
Consul中文文档Consul运维常用API及常用CLI命令(最新版本)
shuai_wy的专栏
05-18 3510
Consul运维常用CLI及API接口
Lagent 自定义你的 Agent 智能体
qq_42137576的博客
08-17 472
基于 Lagent 自定义自己的智能体。Lagent 中关于工具部分的介绍文档位于 https://lagent.readthedocs.io/zh-cn/latest/tutorials/action.html。继承 BaseAction 类实现简单工具的 run 方法;或者实现工具包内每个子工具的功能简单工具的 run 方法可选被 tool_api 装饰;工具包内每个子工具的功能都需要被 tool_api 装饰下面实现一个调用 MagicMaker API 以完成文生图的功能。
consul中文版帮助文档
12-19
consul中文版帮助文档
Consul中文文档Consul介绍
shuai_wy的专栏
10-28 7486
Consul是什么, 有哪些功能, 解决什么问题。
Consul中文文档ACL系统故障排查(Consul ACL进阶四)
shuai_wy的专栏
12-18 5554
使用如下Consul CLI命令 进行ACL故障排查, 以及在紧急情况下重置ACL系统。
Consul中文文档Consul整体架构
shuai_wy的专栏
10-26 1503
Consul原理篇-Consul架构
Consul工作原理及落地实践(Consul中文文档
shuai_wy的专栏
12-14 1243
Consul专栏文章目录,Consul中文文档Consul工作原理及落地实践经验。
consul命令行查看服务_Consul 命令行最全文档
weixin_39918043的博客
12-20 3738
1.启动一个带ACL 控制的Agent首先,从这个网址下载consul,解压后发现就是个可执行文件,如果不可以执行,chmod +x consul 一下。为了试验Consul较多的功能,这里我们打算启用一个dev模式,带ACL控制的Consul代理。配置文件config.json如下{"datacenter":"dc1","primary_datacenter":"dc1","data_dir":...
consul.zip
06-04
Consul 还有一个 Web UI,可以通过浏览器访问,直观地查看服务、健康检查和 KV 存储的状态。这对于监控和调试非常有用。 综上所述,Consul 是一个强大的工具,用于构建和管理分布式系统中的服务发现和配置。在本地...
consul 中文开发指南
09-30
Consul 是一个支持多数据中心分布式高可用的服务发现和配置共享的服务软件,由 HashiCorp 公司用 Go 语言开发, 基于 Mozilla Public License 2.0 的协议进行开源. Consul 支持健康检查,并允许 HTTP 和 DNS 协议调用 API 存储键值对. 命令行超级好用的虚拟机管理软件 vgrant 也是 HashiCorp 公司开发的产品. 一致性协议采用 Raft 算法,用来保证服务的高可用. 使用 GOSSIP 协议管理成员和广播消息, 并且支持 ACL 访问控制. Consul 的使用场景 docker 实例的注册与配置共享 coreos 实例的注册与配置共享 vitess 集群 SaaS 应用的配置共享 与 confd 服务集成,动态生成 nginx 和 haproxy 配置文件 Consul 的优势 使用 Raft 算法来保证一致性, 比复杂的 Paxos 算法更直接. 相比较而言, zookeeper 采用的是 Paxos, 而 etcd 使用的则是 Raft. 支持多数据中心,内外网的服务采用不同的端口进行监听。 多数据中心集群可以避免单数据中心的单点故障,而其部署则需要考虑网络延迟, 分片等情况等. zookeeper 和 etcd 均不提供多数据中心功能的支持. 支持健康检查. etcd 不提供此功能. 支持 http 和 dns 协议接口. zookeeper 的集成较为复杂, etcd 只支持 http 协议. 官方提供web管理界面, etcd 无此功能. 综合比较, Consul 作为服务注册和配置管理的新星, 比较值得关注和研究.
consul web ui
05-05
consul ,windows ,linux 版本和 webui 的工具
《Linux运维总结:基于Ubuntu22.04操作系统+x86_64架构CPU部署consul v1.18.1之进制版TLS/ACL集群》
最新发布
东城绝神
08-30 1013
《Linux运维总结:基于Ubuntu22.04操作系统+x86_64架构CPU部署consul v1.18.1之进制版TLS/ACL集群》
Consul中文文档Consul作为注册中心场景下的高可用分析
shuai_wy的专栏
01-12 984
Consul 节点故障影响、Consul压力分析、使用Consul作为注册中心,在高可用层面要做哪些工作?
Consul中文文档—一篇文章带你搭建Consul开发环境
shuai_wy的专栏
01-10 1560
Consul开发环境搭建, K8s Helm部署Consul,Dokcer部署Consul, 云主机CentOS/Linux 部署Consul, Mac安装Consul
2024,了解云原生技术栈收藏这一篇就够了(附学习笔记)
2301_79054215的博客
04-26 506
本人现在工作中负责云原生服务管理平台的研发(主要管理各类云原生基础设施,平台服务和第三方托管应用),但即便如此,常被问起云原生是什么时,我也很难简洁的向人表述清楚,导致自我也经常问一遍,云原生究竟是什么,我又在做什么。
Consul中文文档Consul调优思路(推荐)
shuai_wy的专栏
10-22 2371
Consul调优思路总结
Flume编程-自定义Agent
weixin_42455459的博客
12-23 274
1.自定义Interceptor 可以自定义Interceptor,对agent接收的event header中添加KV值。在后面的Selector中根据添加的KV值来决定将event分发到channel的分发规则。 例如下面代码定义了一个interceptor,当接收event的body中含有Hello字符串时,向header添加type:hello键值对;否则添加type:nonhello键值对。若selector接收的event header type是hello,则将其分发到channel c1
consul控制ui界面访问鉴权
07-28
对于Consul控制UI界面的访问鉴权,你可以通过以下步骤进行设置: 1. 配置Consul服务端的ACL(Access Control List):使用ConsulACL功能来定义用户、角色和权限。你可以创建一个包含有限访问权限的角色,并将用户分配到这些角色中。 2. 为UI界面创建一个独立的ACL令牌:生成一个ACL令牌,该令牌具有访问UI界面所需的权限。确保该令牌只限于UI界面的访问,并且不授予其他敏感操作的权限。 3. 配置Consul UI界面的访问控制:编辑Consul的配置文件,指定仅允许使用特定ACL令牌的用户访问UI界面。这可以通过设置`ui_acl_token`参数来实现。 4. 重新启动Consul服务:保存配置文件更改后,重新启动Consul服务以使其生效。 通过这些步骤,你可以实现对Consul UI界面的访问鉴权,只允许具有相应ACL令牌的用户进行访问。这样可以提高系统的安全性和可控性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值