Consul中文文档—ACL系统故障排查(Consul ACL进阶四)

最新推荐文章于 2024-05-15 02:11:46 发布
最新推荐文章于 2024-05-15 02:11:46 发布
阅读量5.1k 收藏 4
点赞数 1
分类专栏: Consul工作原理及落地实践 微服务 文章标签: consul consul acl acl reset consul acl故障排查
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuai_wy/article/details/111365435
版权

整理自: Troubleshoot the Access Control System

摘要: 使用如下Consul CLI命令 进行ACL故障排查, 以及在紧急情况下重置ACL系统。

Consul-ACL进阶
转载请注明🙂,喜欢请一键三连哦 😊

文章目录

一、Consul members

当给Agent配置令牌时, 可以通过 consul members命令确认Agent是否有足够权限加入数据中心。

如果在members列表中,无法找到对应的Agent, 可能是没有正确配置Agent令牌 或者令牌没有足够权限。

consul members
Node       Address         Status    Type    Build  Protocol  DC   Segment
server-1  172.17.0.2:8301  alive     server  1.4.4  2         dc1  <all>
server-2  172.17.0.3:8301  alive     server  1.4.4  2         dc1  <all>
server-3  172.17.0.4:8301  alive     server  1.4.4  2         dc1  <all>

consul acl 命令将帮助定位是否有令牌权限。

二、Consul catalog

consul catalog nodes -detailed 检查是否能够显示包含节点信息以及TaggedAddresses节点信息。

如果 Agent TaggedAddresses 是Null, 可以查看下Consul 所有节点的日志,如果ACL正确地启用了,可以通过consul acl 命令查看下Agent Token。

consul catalog nodes -detailed
Node      ID                  Address   DC  TaggedAddresses
server-1  a82c7db3-fdc3  192.168.1.191  kc  lan=192.168.1.191, wan=192.168.1.190
server-2  a82c7db3-fdc3  192.168.1.192  kc  lan=192.168.1.192, wan=192.168.1.190
server-3  a82c7db3-fdc3  192.168.1.193   kc  lan=192.168.1.193, wan=192.168.1.190

三、Consul ACL命令

如果确认出现的问题不是因为配置错误, 可以通过下面的命令帮助定位TokenPolicy问题。

3.1 Consul ACL pollicy list

consul acl policy list命令将输出全部可用的策略。

consul acl policy list
global-management:
   ID:           00000000-0000-0000-0000-000000000001
   Description:  Builtin Policy that grants unlimited access
   Datacenters:
server-one-policy:
   ID:           0bcee22c-6602-9dd6-b147-964958069426
   Description:  policy for server one
   Datacenters:

也可以通过consul acl policy read -id <policy_id> 查看指定的策略。

3.2 Consul ACL token list

可以通过consul acl token list 查看令牌列表。 确定列表中的Token是在用的,这对于数据中心安全性是重要的,因为Token不会过期,完全拒绝于运维人员什么时候删除。

global-management: ACL系统启动时由Consul创建的,管理员权限。

Anonymous Token: 由Consul系统创建,默认匿名策略,没有任何权限。

通过consul acl token read -id <AccessorID> 可以查看指定Token信息。

consul acl policy read -id 0bcee22c-6602-9dd6-b147-964958069426
ID:           0bcee22c-6602-9dd6-b147-964958069426
Name:         server-one-policy
Description:  policy for server one
Datacenters:
Rules:
node "consul-server-one" {
  policy = "write"
}

如果consul catalogconsul members命令没有得到期待的结果,可以通过这个命令确认下Token对应的策略是否有相应权限。

四、Consul 重置ACL系统

如果你遇到无法解决的问题,或令牌(比如管理员令牌)找不到了,可以通过更新索引来重置ACL系统。

  1. 确认Leader节点

可以通过curl 172.17.0.1:8500/v1/status/leader 确认Leader节点。 重置必须要在Leader节点下完成。

  1. 重新运行ACL启动命令,确认索引号。
consul acl bootstrap
Failed ACL bootstrapping: Unexpected response code: 403 (Permission denied: ACL bootstrap no longer allowed (reset index: 13))
  1. 重置索引

echo 13 >> <data-directory>/acl-bootstrap-reset

  1. 可以通过consul acl bootstrap 重新创建一个global-management Token。

     Note, resetting the ACL system will invalidate all tokens generated before the reset.

官网原话说, 重置后,之前创建的策略将失效,但是我亲手测试结果,发现以前创建的Token仍然是存在且可用的。另外,本篇文章中涉及到的ACL命令都有对应的HTTP接口,可以通过HTTP接口进行操作。

后序

本篇文章是ACL实践的最后一篇文章,其实还有一篇重要的文章我没有翻译,也推荐大家阅读,就是关于如何有效ACL,比如说,就是说要控制最小权限,以及哪些场景需要哪些权限的Case, 推荐给大家。
Understand Access Control Privileges

本篇主要设计一些实践内容,理论知识请参考我翻译的官网原文或我翻译的 Consul中文文档

超帅的菜鸟博主
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
consul中文版帮助文档
12-19
consul中文版帮助文档
Consul中文文档Consul介绍
shuai_wy的专栏
10-28 7351
Consul是什么, 有哪些功能, 解决什么问题。
Consul中文文档ACL系统故障排查(Consul ACL进阶)_failed acl bootstrapping unexpected response code
最新发布
m0_60635637的博客
05-15 651
官网原话说, 重置后,之前创建的策略将失效,但是我亲手测试结果,发现以前创建的Token仍然是存在且可用的。另外,本篇文章中涉及到的ACL命令都有对应的HTTP接口,可以通过HTTP接口进行操作。本篇文章是ACL实践的最后一篇文章,其实还有一篇重要的文章我没有翻译,也推荐大家阅读,就是关于如何有效ACL,比如说,就是说要控制最小权限,以及哪些场景需要哪些权限的Case, 推荐给大家。确定列表中的Token是在用的,这对于数据中心安全性是重要的,因为Token不会过期,完全拒绝于运维人员什么时候删除。
Consul中文文档Consul整体架构
shuai_wy的专栏
10-26 1362
Consul原理篇-Consul架构
Consul工作原理及落地实践(Consul中文文档
shuai_wy的专栏
12-14 1092
Consul专栏文章目录,Consul中文文档Consul工作原理及落地实践经验。
Consul中文文档Consul作为注册中心场景下的高可用分析
shuai_wy的专栏
01-12 848
Consul 节点故障影响、Consul压力分析、使用Consul作为注册中心,在高可用层面要做哪些工作?
Consul Windows操作系统64位
04-27
Consul Windows操作系统64位安装包,解压即可附带详细安装教程:https://blog.csdn.net/qq_45774406/article/details/138251814,教程中有很详细的安装教程,以及关于Consul持久化和开机启动的解决办法!!
Consul官方文档1
08-08
Consul可以作为证书授权来单独部署,或者和外部的签名授权集成,如vaultLearn moreEncrypted communication加密通讯All
consul-migrate:用于迁移Consul ACL令牌的宝石
05-09
consul-migrate是用于迁移ConsulACL数据中心的Ruby gem。 Consul本身不支持这种迁移机制,但确实提供了用于访问ACL的API。 consul-migrate使用此API从当前权威的ACL数据中心导出ACL令牌,并将其导入到另一个数据...
consul.zip
06-01
在使用"consul.zip"中的内容时,用户需要解压文件,然后按照提供的文档或教程进行操作,包括安装Consul、配置服务器和客户端、设置服务发现规则、启用健康检查以及可能的ACL策略配置。最后,通过运行Consul命令或...
Consul中文文档—一篇文章带你搭建Consul开发环境
shuai_wy的专栏
01-10 1363
Consul开发环境搭建, K8s Helm部署Consul,Dokcer部署Consul, 云主机CentOS/Linux 部署Consul, Mac安装Consul
consul 中文开发指南
09-30
Consul 是一个支持多数据中心分布式高可用的服务发现和配置共享的服务软件,由 HashiCorp 公司用 Go 语言开发, 基于 Mozilla Public License 2.0 的协议进行开源. Consul 支持健康检查,并允许 HTTP 和 DNS 协议调用 API 存储键值对. 命令行超级好用的虚拟机管理软件 vgrant 也是 HashiCorp 公司开发的产品. 一致性协议采用 Raft 算法,用来保证服务的高可用. 使用 GOSSIP 协议管理成员和广播消息, 并且支持 ACL 访问控制. Consul 的使用场景 docker 实例的注册与配置共享 coreos 实例的注册与配置共享 vitess 集群 SaaS 应用的配置共享 与 confd 服务集成,动态生成 nginx 和 haproxy 配置文件 Consul 的优势 使用 Raft 算法来保证一致性, 比复杂的 Paxos 算法更直接. 相比较而言, zookeeper 采用的是 Paxos, 而 etcd 使用的则是 Raft. 支持多数据中心,内外网的服务采用不同的端口进行监听。 多数据中心集群可以避免单数据中心的单点故障,而其部署则需要考虑网络延迟, 分片等情况等. zookeeper 和 etcd 均不提供多数据中心功能的支持. 支持健康检查. etcd 不提供此功能. 支持 http 和 dns 协议接口. zookeeper 的集成较为复杂, etcd 只支持 http 协议. 官方提供web管理界面, etcd 无此功能. 综合比较, Consul 作为服务注册和配置管理的新星, 比较值得关注和研究.
Consul中文文档Consul调优思路(推荐)
shuai_wy的专栏
10-22 2256
Consul调优思路总结
Consul中文文档Consul打通k8s内外服务发现
shuai_wy的专栏
01-18 7128
Consul Sync组件,实现Consul服务同步至K8s, 实现K8s Services同步至Consul,打通Kubernetes内外服务发现。
15k运维面试题带答案分享_mysql的账号root, 密码123 ,数据库名字test_db
2401_83944596的博客
04-14 576
mysql的账号root, 密码123 ,数据库名字test_db. 端口3310 主机地址 10.10.1.1 请写出备份此数据库的命令。2、在工作中,运维人员经常需要跟运营人员打交道,请问运营人员是做什么工作的?6、Squid、Varinsh和Nginx有什么区别,工作中你怎么选择?5、LVS、Nginx、HAproxy有什么区别?9、讲述一下Tomcat8005、8009、8080三个端口的含义?7、Tomcat和Resin有什么区别,工作中你怎么选择?15、讲述一下LVS三种模式的工作过程?
Consul中文文档Consul读写能力调优
shuai_wy的专栏
10-20 1424
主要介绍如何对Consul集群读、写能力进行调优。
服务注册中心 | 记一次Consul故障分析与优化
爱奇艺技术产品团队
11-13 2363
前言在微服务体系中,服务注册中心是最基础的组件,它的稳定性会直接影响整个服务体系的稳定性。本文主要介绍了爱奇艺微服务平台基于Consul的服务注册中心建设方式,与内部容器平台、API网关...
22.注册中心之Consul-全网最全文档
weixin_43159673的博客
04-15 257
注册中心 Consul的安装环境搭建以及基本使用文档...
consul 怎么配置Acl
05-16
ACL(Access Control List)即访问控制列表,是Consul中用来控制访问权限的一种机制。在Consul中,为了保证数据的安全性,需要对访问Consul的用户进行认证和授权。配置ACL可以建立一些规则来限制用户的访问权限,保护数据的安全性。 要配置ACL,首先需要在Consul配置文件中开启ACL功能,例如: ``` { "acl_datacenter": "dc1", "acl_default_policy": "deny", "acl_down_policy": "extend-cache", "acl_master_token": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx", "acl_token": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" } ``` 其中,“acl_datacenter”表示ACL的数据中心,“acl_default_policy”表示默认的授权策略,“acl_down_policy”表示如果无法和 agent 连接时应该使用的授权策略,“acl_master_token”表示管理 token,“acl_token”表示客户端 token。 然后,需要创建一个管理员token,用于管理ACL,例如: ``` consul acl bootstrap ``` 最后,可以在Consul中创建、修改、删除ACL规则,例如: ``` consul acl policy create -name "web-service" -description "Grant permissions required by the web service" -rules @web-service-policy.hcl consul acl token create -description "Token for accessing the web service" -policy-name "web-service" consul acl token update -id <ACCESSOR_ID> -description "Token for accessing the web service" -policy-name "web-service" ``` 以上是关于Consul如何配置ACL的简单介绍,如有疑问,请您进一步了解。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值