Consul中文文档—ACL系统故障排查(Consul ACL进阶四)

最新推荐文章于 2024-09-11 15:21:29 发布
最新推荐文章于 2024-09-11 15:21:29 发布
阅读量5.6k 收藏 5
点赞数 1
分类专栏: Consul工作原理及落地实践 微服务 文章标签: consul consul acl acl reset consul acl故障排查
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuai_wy/article/details/111365435
版权

整理自: Troubleshoot the Access Control System

摘要: 使用如下Consul CLI命令 进行ACL故障排查, 以及在紧急情况下重置ACL系统。

Consul-ACL进阶
转载请注明🙂,喜欢请一键三连哦 😊

文章目录

一、Consul members

当给Agent配置令牌时, 可以通过 consul members命令确认Agent是否有足够权限加入数据中心。

如果在members列表中,无法找到对应的Agent, 可能是没有正确配置Agent令牌 或者令牌没有足够权限。

consul members
Node       Address         Status    Type    Build  Protocol  DC   Segment
server-1  172.17.0.2:8301  alive     server  1.4.4  2         dc1  <all>
server-2  172.17.0.3:8301  alive     server  1.4.4  2         dc1  <all>
server-3  172.17.0.4:8301  alive     server  1.4.4  2         dc1  <all>

consul acl 命令将帮助定位是否有令牌权限。

二、Consul catalog

consul catalog nodes -detailed 检查是否能够显示包含节点信息以及TaggedAddresses节点信息。

如果 Agent TaggedAddresses 是Null, 可以查看下Consul 所有节点的日志,如果ACL正确地启用了,可以通过consul acl 命令查看下Agent Token。

consul catalog nodes -detailed
Node      ID                  Address   DC  TaggedAddresses
server-1  a82c7db3-fdc3  192.168.1.191  kc  lan=192.168.1.191, wan=192.168.1.190
server-2  a82c7db3-fdc3  192.168.1.192  kc  lan=192.168.1.192, wan=192.168.1.190
server-3  a82c7db3-fdc3  192.168.1.193   kc  lan=192.168.1.193, wan=192.168.1.190

三、Consul ACL命令

如果确认出现的问题不是因为配置错误, 可以通过下面的命令帮助定位TokenPolicy问题。

3.1 Consul ACL pollicy list

consul acl policy list命令将输出全部可用的策略。

consul acl policy list
global-management:
   ID:           00000000-0000-0000-0000-000000000001
   Description:  Builtin Policy that grants unlimited access
   Datacenters:
server-one-policy:
   ID:           0bcee22c-6602-9dd6-b147-964958069426
   Description:  policy for server one
   Datacenters:

也可以通过consul acl policy read -id <policy_id> 查看指定的策略。

3.2 Consul ACL token list

可以通过consul acl token list 查看令牌列表。 确定列表中的Token是在用的,这对于数据中心安全性是重要的,因为Token不会过期,完全拒绝于运维人员什么时候删除。

global-management: ACL系统启动时由Consul创建的,管理员权限。

Anonymous Token: 由Consul系统创建,默认匿名策略,没有任何权限。

通过consul acl token read -id <AccessorID> 可以查看指定Token信息。

consul acl policy read -id 0bcee22c-6602-9dd6-b147-964958069426
ID:           0bcee22c-6602-9dd6-b147-964958069426
Name:         server-one-policy
Description:  policy for server one
Datacenters:
Rules:
node "consul-server-one" {
  policy = "write"
}

如果consul catalogconsul members命令没有得到期待的结果,可以通过这个命令确认下Token对应的策略是否有相应权限。

四、Consul 重置ACL系统

如果你遇到无法解决的问题,或令牌(比如管理员令牌)找不到了,可以通过更新索引来重置ACL系统。

  1. 确认Leader节点

可以通过curl 172.17.0.1:8500/v1/status/leader 确认Leader节点。 重置必须要在Leader节点下完成。

  1. 重新运行ACL启动命令,确认索引号。
consul acl bootstrap
Failed ACL bootstrapping: Unexpected response code: 403 (Permission denied: ACL bootstrap no longer allowed (reset index: 13))
  1. 重置索引

echo 13 >> <data-directory>/acl-bootstrap-reset

  1. 可以通过consul acl bootstrap 重新创建一个global-management Token。

     Note, resetting the ACL system will invalidate all tokens generated before the reset.

官网原话说, 重置后,之前创建的策略将失效,但是我亲手测试结果,发现以前创建的Token仍然是存在且可用的。另外,本篇文章中涉及到的ACL命令都有对应的HTTP接口,可以通过HTTP接口进行操作。

后序

本篇文章是ACL实践的最后一篇文章,其实还有一篇重要的文章我没有翻译,也推荐大家阅读,就是关于如何有效ACL,比如说,就是说要控制最小权限,以及哪些场景需要哪些权限的Case, 推荐给大家。
Understand Access Control Privileges

本篇主要设计一些实践内容,理论知识请参考我翻译的官网原文或我翻译的 Consul中文文档

超帅的菜鸟博主
关注
专栏目录
consul中文版帮助文档
12-19
consul中文版帮助文档
consul1.2.1
08-15
在新版本中,健康检查的可靠性可能得到了提升,提高了故障排查的效率。 3. **KV 存储**:Consul 提供了一个键值存储系统,用于共享配置或协调任务。在 Consul 1.2.1 中,可能会对读写性能进行优化,提升了数据一致...
Consul中文文档Consul运维常用API及常用CLI命令(最新版本)
shuai_wy的专栏
05-18 3630
Consul运维常用CLI及API接口
consul配置ACL安全认证
最新发布
菜鸟运维升级之路
09-11 1455
因为现阶段属于护网期,因此公司对服务器、业务的安全都很关注,只要再次期间被漏扫出来的漏洞,都需要及时响应处理,恰好昨天下午我负责维护的一个项目被漏扫出来了Consul未授权访问漏洞【原理扫描】HashiCorp Consul 安全漏洞(CVE-2021-41803)这两个漏洞,经过查询漏洞编号及名称,并验证该项目上的consul,才发现是因为该consul未配置任何安全认证,即当在浏览器访问consul的web界面时会直接暴露出已注册的services、nodes等相关信息,容易导致信息泄露。
Consul中文文档Consul介绍
shuai_wy的专栏
10-28 7563
Consul是什么, 有哪些功能, 解决什么问题。
Consul中文文档Consul整体架构
shuai_wy的专栏
10-26 1533
Consul原理篇-Consul架构
Consul中文文档Consul作为注册中心场景下的高可用分析
shuai_wy的专栏
01-12 1016
Consul 节点故障影响、Consul压力分析、使用Consul作为注册中心,在高可用层面要做哪些工作?
Consul工作原理及落地实践(Consul中文文档
shuai_wy的专栏
12-14 1276
Consul专栏文章目录,Consul中文文档Consul工作原理及落地实践经验。
最新版windows consul-1.13.3-windows-amd64.zip
10-26
5. **Web UI**:Consul提供了一个直观的Web界面,用户可以方便地查看服务状态、进行健康检查、管理KV存储等操作,这对于监控和故障排查非常有用。 6. **安全性**:Consul通过SSL/TLS加密通信,确保服务间的通信安全...
presentation-consul
07-18
7. **故障排查与性能调优**:讨论如何监控和调试Consul,提高系统的稳定性和效率。 8. **未来发展趋势**:可能还会展望Consul的未来发展,以及它在分布式系统中的角色可能会如何演变。 这个压缩包中的内容对于想要...
consul_1.8.0_linux_amd64.zip
07-23
Consul是由HashiCorp公司开发的一款开源工具,用于实现分布式系统的服务发现与配置。这个“consul_1.8.0_linux_amd64.zip”压缩包文件包含了Consul的1.8.0版本,专为Linux x86_64架构设计。Consul作为一个强大的服务...
consul 中文开发指南
09-30
Consul 是一个支持多数据中心分布式高可用的服务发现和配置共享的服务软件,由 HashiCorp 公司用 Go 语言开发, 基于 Mozilla Public License 2.0 的协议进行开源. Consul 支持健康检查,并允许 HTTP 和 DNS 协议调用 API 存储键值对. 命令行超级好用的虚拟机管理软件 vgrant 也是 HashiCorp 公司开发的产品. 一致性协议采用 Raft 算法,用来保证服务的高可用. 使用 GOSSIP 协议管理成员和广播消息, 并且支持 ACL 访问控制. Consul 的使用场景 docker 实例的注册与配置共享 coreos 实例的注册与配置共享 vitess 集群 SaaS 应用的配置共享 与 confd 服务集成,动态生成 nginx 和 haproxy 配置文件 Consul 的优势 使用 Raft 算法来保证一致性, 比复杂的 Paxos 算法更直接. 相比较而言, zookeeper 采用的是 Paxos, 而 etcd 使用的则是 Raft. 支持多数据中心,内外网的服务采用不同的端口进行监听。 多数据中心集群可以避免单数据中心的单点故障,而其部署则需要考虑网络延迟, 分片等情况等. zookeeper 和 etcd 均不提供多数据中心功能的支持. 支持健康检查. etcd 不提供此功能. 支持 http 和 dns 协议接口. zookeeper 的集成较为复杂, etcd 只支持 http 协议. 官方提供web管理界面, etcd 无此功能. 综合比较, Consul 作为服务注册和配置管理的新星, 比较值得关注和研究.
consul ui放在公网上 有哪些安全措施?
05-05
2. 访问控制:使用Consul ACL(访问控制列表)来限制对Consul UI的访问,并将只有授权用户才能访问。 3. 防火墙规则:在您的服务器上设置防火墙规则,以限制对Consul UI的访问。 4. 更新Consul:确保您使用最新...
Consul中文文档—一篇文章带你搭建Consul开发环境
shuai_wy的专栏
01-10 1598
Consul开发环境搭建, K8s Helm部署Consul,Dokcer部署Consul, 云主机CentOS/Linux 部署Consul, Mac安装Consul
2024,了解云原生技术栈收藏这一篇就够了(附学习笔记)
2301_79054215的博客
04-26 605
本人现在工作中负责云原生服务管理平台的研发(主要管理各类云原生基础设施,平台服务和第三方托管应用),但即便如此,常被问起云原生是什么时,我也很难简洁的向人表述清楚,导致自我也经常问一遍,云原生究竟是什么,我又在做什么。
Consul中文文档Consul调优思路(推荐)
shuai_wy的专栏
10-22 2406
Consul调优思路总结
Consul中文文档Consul打通k8s内外服务发现
shuai_wy的专栏
01-18 7772
Consul Sync组件,实现Consul服务同步至K8s, 实现K8s Services同步至Consul,打通Kubernetes内外服务发现。
Consul中文文档Consul读写能力调优
shuai_wy的专栏
10-20 1554
主要介绍如何对Consul集群读、写能力进行调优。
Consul官方文档【译文】4-2、Service - Agent HTTP API
08-27 463
Service - Agent HTTP API /agent/service端点与Consul中本地代理的检查进行交互。这些不应该与目录中的服务混淆。 »列表服务 此端点返回在本地代理程序中注册的所有服务。这些服务是通过配置文件提供的,也可以使用HTTP API动态...
Docker-Compose部署Consul v1.18.1 ACL集群的全攻略
而“分布式”、“集群”、“ACL”等关键词则突出了Consul在分布式系统中的作用和重要性。 【压缩包子文件的文件名称列表】中“consul_tools”则可能是一个包含Docker Compose文件、Consul二进制文件、配置文件以及...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值