Consul中文文档—ACL系统故障排查(Consul ACL进阶四)

整理自: Troubleshoot the Access Control System

摘要: 使用如下Consul CLI命令 进行ACL故障排查, 以及在紧急情况下重置ACL系统。

Consul-ACL进阶
转载请注明🙂,喜欢请一键三连哦 😊

一、Consul members

当给Agent配置令牌时, 可以通过 consul members命令确认Agent是否有足够权限加入数据中心。

如果在members列表中,无法找到对应的Agent, 可能是没有正确配置Agent令牌 或者令牌没有足够权限。

consul members
Node       Address         Status    Type    Build  Protocol  DC   Segment
server-1  172.17.0.2:8301  alive     server  1.4.4  2         dc1  <all>
server-2  172.17.0.3:8301  alive     server  1.4.4  2         dc1  <all>
server-3  172.17.0.4:8301  alive     server  1.4.4  2         dc1  <all>

consul acl 命令将帮助定位是否有令牌权限。

二、Consul catalog

consul catalog nodes -detailed 检查是否能够显示包含节点信息以及TaggedAddresses节点信息。

如果 Agent TaggedAddresses 是Null, 可以查看下Consul 所有节点的日志,如果ACL正确地启用了,可以通过consul acl 命令查看下Agent Token。

consul catalog nodes -detailed
Node      ID                  Address   DC  TaggedAddresses
server-1  a82c7db3-fdc3  192.168.1.191  kc  lan=192.168.1.191, wan=192.168.1.190
server-2  a82c7db3-fdc3  192.168.1.192  kc  lan=192.168.1.192, wan=192.168.1.190
server-3  a82c7db3-fdc3  192.168.1.193   kc  lan=192.168.1.193, wan=192.168.1.190

三、Consul ACL命令

如果确认出现的问题不是因为配置错误, 可以通过下面的命令帮助定位TokenPolicy问题。

3.1 Consul ACL pollicy list

consul acl policy list命令将输出全部可用的策略。

consul acl policy list
global-management:
   ID:           00000000-0000-0000-0000-000000000001
   Description:  Builtin Policy that grants unlimited access
   Datacenters:
server-one-policy:
   ID:           0bcee22c-6602-9dd6-b147-964958069426
   Description:  policy for server one
   Datacenters:

也可以通过consul acl policy read -id <policy_id> 查看指定的策略。

3.2 Consul ACL token list

可以通过consul acl token list 查看令牌列表。 确定列表中的Token是在用的,这对于数据中心安全性是重要的,因为Token不会过期,完全拒绝于运维人员什么时候删除。

global-management: ACL系统启动时由Consul创建的,管理员权限。

Anonymous Token: 由Consul系统创建,默认匿名策略,没有任何权限。

通过consul acl token read -id <AccessorID> 可以查看指定Token信息。

consul acl policy read -id 0bcee22c-6602-9dd6-b147-964958069426
ID:           0bcee22c-6602-9dd6-b147-964958069426
Name:         server-one-policy
Description:  policy for server one
Datacenters:
Rules:
node "consul-server-one" {
  policy = "write"
}

如果consul catalogconsul members命令没有得到期待的结果,可以通过这个命令确认下Token对应的策略是否有相应权限。

四、Consul 重置ACL系统

如果你遇到无法解决的问题,或令牌(比如管理员令牌)找不到了,可以通过更新索引来重置ACL系统。

  1. 确认Leader节点

可以通过curl 172.17.0.1:8500/v1/status/leader 确认Leader节点。 重置必须要在Leader节点下完成。

  1. 重新运行ACL启动命令,确认索引号。
consul acl bootstrap
Failed ACL bootstrapping: Unexpected response code: 403 (Permission denied: ACL bootstrap no longer allowed (reset index: 13))

  1. 重置索引

echo 13 >> <data-directory>/acl-bootstrap-reset

  1. 可以通过consul acl bootstrap 重新创建一个global-management Token。

     Note, resetting the ACL system will invalidate all tokens generated before the reset.
    

官网原话说, 重置后,之前创建的策略将失效,但是我亲手测试结果,发现以前创建的Token仍然是存在且可用的。另外,本篇文章中涉及到的ACL命令都有对应的HTTP接口,可以通过HTTP接口进行操作。

后序

本篇文章是ACL实践的最后一篇文章,其实还有一篇重要的文章我没有翻译,也推荐大家阅读,就是关于如何有效ACL,比如说,就是说要控制最小权限,以及哪些场景需要哪些权限的Case, 推荐给大家。
Understand Access Control Privileges

本篇主要设计一些实践内容,理论知识请参考我翻译的官网原文或我翻译的 Consul中文文档

评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值