服务器间dubbo 服务访问不了_Solutions:安全的APM服务器访问

最新推荐文章于 2022-09-22 09:39:40 发布
最新推荐文章于 2022-09-22 09:39:40 发布
阅读量113 收藏
点赞数
文章标签: 服务器间dubbo 服务访问不了

转载自:安全

APM Agents 访问APM server若是不作安全的设置,那么任何一个应用都有可能把数据传输到APM server中。
若是是恶意的软件,那么咱们可能获得的数据是错误的。那么怎么保证咱们的安全传输呢?
答案是在传输的时候使用secret token。

服务器

Secret token 是什么?

您能够配置一个Secret token来受权对APM服务器的请求。 这样能够确保只有您的Agent才能将数据发送到您的APM服务器。
代理和APM服务器都必须配置相同的Secret toke,而且scecret token仅在与SSL/TLS结合使用时才提供安全性。app

要使用Secret token 保护APM代理与APM服务器之间的通讯安全:elasticsearch

  • 在APM服务器中启用SSL/TLS
  • 在Agent和服务器中设置Secret token
  • 在APM agent中启用HTTPS

c19665bdac2d2df98e94bf44c3507a19.png

3ce725757d74a412770d7105eadb2028.png

生成证书

在Elasticsearch安装的根目录下打入以下的命令:ide

./bin/elasticsearch-certutil ca --pem

This tool assists you in the generation of X.509 certificates and certificate
signing requests for use with SSL/TLS in the Elastic stack.
 
The 'ca' mode generates a new 'certificate authority'
This will create a new X.509 certificate and private key that can be used
to sign certificate when running in 'cert' mode.
 
Use the 'ca-dn' option if you wish to configure the 'distinguished name'
of the certificate authority
 
By default the 'ca' mode produces a single PKCS#12 output file which holds:
    * The CA certificate
    * The CA's private key
 
If you elect to generate PEM format certificates (the -pem option), then the output will
be a zip file containing individual files for the CA certificate and private key
 
Please enter the desired output file []:

上面的命令将会生成一个名字叫作的文件。咱们接着使用以下的命令把上面的文件进行解压:测试

unzip  
Archive:  
   creating: ca/
  inflating: ca/               
  inflating: ca/

在当前的目录下生成了一个新的目录ca,里面含有两个文件:及。请注意这里的证书将在咱们一下的agent里将会被用到。 接下来,咱们按照以下的命令来生成证书:ui

./bin/elasticsearch-certutil cert --ca-cert ./ca/ --ca-key ./ca/ --pem --name localhost
This tool assists you in the generation of X.509 certificates and certificate
signing requests for use with SSL/TLS in the Elastic stack.
 
The 'cert' mode generates X.509 certificate and private keys.
    * By default, this generates a single certificate and key for use
       on a single instance.
    * The '-multiple' option will prompt you to enter details for multiple
       instances and will generate a certificate and key for each one
    * The '-in' option allows for the certificate generation to be automated by describing
       the details of each instance in a YAML file
 
    * An instance is any piece of the Elastic Stack that requires an SSL certificate.
      Depending on your configuration, Elasticsearch, Logstash, Kibana, and Beats
      may all require a certificate and private key.
    * The minimum required value for each instance is a name. This can simply be the
      hostname, which will be used as the Common Name of the certificate. A full
      distinguished name may also be used.
    * A filename value may be required for each instance. This is necessary when the
      name would result in an invalid file or directory name. The name provided here
      is used as the directory name (within the zip) and the prefix for the key and
      certificate files. The filename is required if you are prompted and the name
      is not displayed in the prompt.
    * IP addresses and DNS names are optional. Multiple values can be specified as a
      comma separated string. If no IP addresses or DNS names are provided, you may
      disable hostname verification in your SSL configuration.
 
    * All certificates generated by this tool will be signed by a certificate authority (CA).
    * The tool can automatically generate a new CA for you, or you can provide your own with the
         -ca or -ca-cert command line options.
 
By default the 'cert' mode produces a single PKCS#12 output file which holds:
    * The instance certificate
    * The private key for the instance certificate
    * The CA certificate
 
If you specify any of the following options:
    * -pem (PEM formatted output)
    * -keep-ca-key (retain generated CA key)
    * -multiple (generate multiple certificates)
    * -in (generate certificates from an input file)
then the output will be be a zip file containing individual certificate/key files
 
Please enter the desired output file []: 
 
Certificates written to /Users/liuxg/elastic3/elasticsearch-7.6.2/
 
This file should be properly secured as it contains the private key for 
your instance.
 
After unzipping the file, there will be a directory for each instance.
Each instance has a certificate and private key.
For each Elastic product that you wish to configure, you should copy
the certificate, key, and CA certificate to the relevant configuration directory
and then follow the SSL configuration instructions in the product guide.
 
For client applications, you may only need to copy the CA certificate and
configure the client to trust this certificate.

在上面的命令中,咱们生产一个绑定localhost的证书,也便是说这个证书只能在当前的localhost中进行使用。就像上面显示的那样,它在当前的目录中生产一个叫作的文件。这文件含有咱们所须要的证书信息。咱们使用以下的命令来解压缩这个文件:this

unzip  
Archive:  
   creating: localhost/
  inflating: localhost/  
  inflating: localhost/

它在localhost中生成了咱们想要的证书文件及。咱们把这两个文件拷入到咱们的APM 服务器安装的根目录中。spa

另注:咱们能够使用以下的命令把一个.crt的证书转换为一个.pem的证书:.net

openssl x509 -in mycert.crt -out mycert.pem -outform PEM

配置APM 服务器

为咱们的APM服务器配置SSL/TLS
打开文件,并把以下的配置加到该文件的最后面:

apm-server.ssl.enabled: true
apm-server.secret_token: "123456"
: ""
: ""

经过上面的配置后,咱们从新启动咱们的APM server:

./apm-server -e

测试APM agent

把以前生成的证书拷入到该应用的根目录中,而后再引用的配置中新增俩参数

    serviceName: 'zipcode service',
    secretToken: '1234561', # 修改
    serverUrl: 'http://localhost:8200'
    verifyServerCert: true, # 新增
    serverCaCertFile: "" # 新增,最好使用绝对路径
weixin_39610488
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
不同私网云服务器部署Docker微服务(dubbo)遇到的注册IP问题
weixin_43720004的博客
08-11 967
问题发生在我做实验项目的时候,背景: 1.拥有两台云服务器,分别是轻量级服务器,ECS 2.在两台服务器上使用docker容器运行两个dubbo服务,使用zookeeper作为注册中心 3.两台云服务私网IP是不互通的 服务的报错: No provider available from registry 1XX.XX.XX.XX:2181 for service org.apache.dubbo.monitor.MonitorService on consumer 172.XX.XX.XX use dub
dubbo远程调用服务在一个系统调用另一个系统连接失败案例
qq_37062458的博客
06-08 2288
项目终于熬上线,项目上线前组长请假了,回来时快上线了我才晓得有老项目需要对接,部分业务调用老项目,RPC框架用的是dubbo,通过zookeeper注册服务,新系统调用老系统。于是赶紧改接口  ┭┮﹏┭┮。项目采用maven项目将老项目接口依赖,采用dubbo新系统调用老系统服务正常。但扔到服务器上却总报连接错误,dubbo监控中心服务提供者,消费者都正常连接,项目配置文件无错误,接口jar导入也...
基于Dubbo的跨主机容器通信遇到的问题
qi20088的专栏
11-11 176
最近在项目中使用到Docker和Dubbo,想在Docker中运行一个服务并把该服务自身的信息发布到Dubbo注册中心。 刚开始测试时候将所有容器都放在同一台主机中,测试过程很顺利,但是当进行Docker主机扩展,将容器部署不同的主机时候,就发现一个奇怪的现象:应用之调试不通了。 这里对具体问题解释一下:Dubbo提供了一个方便的服务发现机制,每个服务(这里称为提供者)只要向Dubbo注册...
高性能RPC通信框架——Dubbo详解,深入浅出带你进军Java开发
python6_quanzhan的博客
07-23 365
假设你正在参与公司一项非常重要的项目开发,在做需求沟通时,要求系统在分布式场景下实现高并发、高可扩展、自动容错和高可用,如果这个项目由你主导,你会怎么做呢? 在分布式场景下,可能最先想到的是分布式通信的问题,在Google或国内网站上搜索分布式RPC框架,就会搜索到Dubbo。 一般熟悉一个框架,首先会查阅官网,然后下载最新代码,仔细阅读代码示例或新手指南,最后动手编写代码或打开示例代码,在开发工具中快速运行。如果已经有不错的编程经验,那么或许能顺利“跑通”,如果是编程新手则可能被一些配置或编译错误难倒
Dubbo消费者无法连接到生产者提供的服务?内网IP?
ystyaoshengting的专栏
12-24 1915
转载自https://blog.csdn.net/xlgen157387/article/details/52702659 环境:Cent OS 7.0 背景: 这篇文章的标题可以设置为如下几个,因为他都是同一个解决方法:  (1)Dubbo注册zookepper时为什么会自动使用内网IP?  (2)Dubbo消费者无法连接到生产者提供的服务  (3)。。。 场景还原 1、项目部署架构 ...
seckill-dubbo::red_apple:seckill-dubbo:red_apple:分布式Java秒杀系统
03-11
seckill-dubbo 项目介绍 本项目是基于Dubbo的分布式秒杀项目。 项目特性: 秒杀的时候系统的并发量会非常的大,系统要在短短的几秒内完成非常大的访问处理。 并发量大的同时,网络的流量也会瞬变的很大。 秒杀项目...
7-服务器部署Dubbo服务1
08-08
1、pom.xml修改<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://
dubbo-http-nacos_demo:dubbo_nacos_各种demo
04-06
分布式服务框架Dubbo-基于注解配置的方式; 分布式服务框架Dubbo-基于XML配置的方式; 分布式服务框架Dubbo-事件通知; 分布式服务框架Dubbo-异步调用; 分布式服务框架Dubbo-缓存策略; 分布式服务框架Dubbo-参数回调; ...
Dubbo无法访问远程Zookeeper已注册服务的问题解决方案
08-26
然而,当我们将Zookeeper和生产者放到远程服务器上,然后消费者在访问消费时,可能会出现无法找到服务的问题。 内网环境使用情况 ------------- 在内网环境中,我们可以使用以下代码来配置生产者和消费者: 生产...
dubbo_2.2.7_source:dubbo原始码学习,分支为2.2.7
03-24
访问以获取快速入门和文档,以及访问以获得新闻,常见问题解答和发行说明。 现在,我们正在收集dubbo用户信息,以帮助我们更好地改善Dubbo。 请为您提供有关 ,谢谢:) / 建筑学 特征 基于透明接口的RPC 智能...
Dubbo 可观测性实践之 Metrics 功能解析
lxmtim的博客
09-22 621
在 2018 年,Observability(即可观测性)首次被引入 IT 领域,并逐渐取代只关注系统整体可用性的传统监控。随着云原生技术的不断发展,企业从单体架构发展到分布式架构,使用容器部署拆分出来的一众微服务、与业务联系紧密,传统的监控仅适合报告系统的整体运行情况无法进行高度细化的分析与关联,于是需要将研发视角融入监控,发展具有比原有监控更广泛、更主动、更细粒度的能力,这种能力就是可观测性。
dubbo分布式系统链路追踪_zipkin
johnhuster的专栏
09-11 5036
dubbo分布式系统链路追踪 zipkin
elastic APM 深入测试 二 基于spring cloud微服务框架的分布式追踪
点火三周的专栏
02-18 4505
文章目录测试的基本架构技术栈测试框架逻辑拓扑微服务应用的搭建搭建Eureka注册服务器Eureka服务器配置创建provider service创建 rest endpoint创建consumerFeign配置使用apm java agent进行探测测试启动流程测试分布式追踪 微服务架构现在已经是各个互联网应用的标配,并且开始作为一个技术框架的基本要求,慢慢扩展到其他行业,比如金融,保险等面向大量...
Dubbo入门(特性、核心组件、调用过程)
xingze的博客
07-19 1027
文章目录1. Dubbo(开源分布式服务框架)1.1 Dubbo的特性1.2 Dubbo分层1.3 Dubbo的核心组件1.4 Dubbo总体调用过程 1. Dubbo(开源分布式服务框架) Dubbo(读音[ˈdʌbəʊ])是阿里巴巴公司开源的一个高性能优秀的服务框架,使得应用可通过高性能的 RPC 实现服务的输出和输入功能,可以和 [1] Spring框架无缝集成。 Dubbo是一款高性能、...
分分钟钟搭建基于skywalking的APM系统
weixin_33912445的博客
04-11 258
2019独角兽企业重金招聘Python工程师标准>>> ...
dubbo优雅停机时做了什么,会不会等待消费方调用完成
千里小马回忆录
11-07 8342
模拟了一次服务停机,并且调用方正在调用的场景。 通过查看服务端和消费方的log,写出了双方关闭的全过程。 服务端 1、从zookeeper移除注册的服务 Close all registries、Destroy registry、Unregister、Unsubscribe 2、关闭spring容器    调用了spring的ClassPathXmlApplicatio
Apache Skywalking + ElasticSearch 服务搭建及微服务链路追踪应用
lihuifen2011的博客
01-14 1353
一、Apache Skywalking是什么 专门为微服务架构和云原生架构系统而设计并且支持分布式链路追踪的APM()系统。Apache Skywalking(Incubator)通过加载探针的方式收集应用调用链路信息,并对采集的调用链路信息进行分析,生成应用关系和服务关系以及服务指标。 Apache Skywalking (Incubating)目前支持多种语言,其中包括Java,.Net Core,Node.js和Go语言。架构如下: 二、安装 1.先安装存储,这里选择的是elastic
dubbo多注册中心同一平台服务器无法调用服务问题
weixin_41443212的博客
07-14 442
基于dubbo+zookeeper的问题总结 遇到的第一个问题: 三台服务器运行zookeeper三台服务器分别为a:huaweicloud b:aliyun c:aliyun 在b上运行消费端 c上运行服务端 进行多注册中心调用,启动消费端报出一个错误,无法创建bean类,看了一下 地址竟然是本地地址,搜了下原来是两台阿里服务器走了本地ip,修改阿里服务器暴露外网地址就好了。 ...
Dubbo 整合 Pinpoint 做分布式服务请求跟踪
架构师专栏
03-19 4635
在使用Dubbo进行服务化或者整合应用后,假设某个服务后台日志显示有异常,这个服务又被多个应用调用的情况下,我们通常很难判断是哪个应用调用的,问题的起因是什么,因此我们需要一套分布式跟踪系统来快速定位问题,Pinpoint可以帮助我们快速定位问题(当然,解决方案也不止这一种)。 什么是Pinpoint 摘自Pinpoint学习笔记 https://skyao.gitbooks.io/le...
服务器配置dubbo
最新发布
09-26
2、在服务器或者本地搭建好dubbo-admin,并启动dubbo-admin服务。 3、使用XML方式配置dubbo服务,可以在dubbo的配置文件中指定服务的相关信息,例如协议、端口等。 4、通过浏览器输入dubbo-admin的网址,可以查看已...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值