Nacos使用https保护数据安全

最新推荐文章于 2024-07-12 14:29:35 发布
最新推荐文章于 2024-07-12 14:29:35 发布
阅读量7.5k 收藏 6
点赞数 1
分类专栏: Java 文章标签: java spring https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaojian90/article/details/105175635
版权

目录

背景

我们生产环境是一个独立机房,机房内的服务器不允许远程,而且开发人员不能运维。代码的配置文件放在应用本地就很被动,这个时候我们想到使用配置中心组件,然后就了解到Nacos,使用起来也挺好。但是我们不想把Nacos部署在生产环境,这样的话我们要考虑Nacos的HA和维护的问题,所以我们要把Nacos部署在办公环境机房,方便维护。但是办公机房和生产机房没有专线,只能走互联网,这就引发了我对Nacos的数据传输保护的思考。

思考

当我们开始接触Nacos的时候,Nacos的V1.2.0版本已经发布了,主要新增了鉴权和权限控制功能,这就很好,可以有效的防止非法和恶意访问。
关于Nacos的权限控制,大家可以看官方博客:Nacos 1.2.0 权限控制介绍和使用

同时我们使用物理防火墙对IP进行限制,IP白名单+鉴权,基本上可以杜绝非法访问,但是Nacos-Server和Nacos-Client之间的数据传输协议http,那完全是明文在互联网上呀,别人监听抓包就什么都看到了,这样肯定是不行的。
在这里插入图片描述
然后我想既然Nacos使用了http,那是不是会支持https呢,可惜在官方和网上没有找到配置方法。

验证

首先验证一下Nacos在传输过程有没有进行加密,或者自己在http基础上做了转换,把Nacos-Server搞好,参考:Nacos 快速开始。然后Nacos-Client用官方的例子,懒得自己写了,参考:nacos-spring-boot-config-example

然后使用Wireshark进行抓包,启动spring-boot。
果然是明文,一点保护都没有
在这里插入图片描述

Nacos源码

既然在网上找不到Nacos的https配置,那么就是只好自己看nacos-client的源码,看看它是怎么使用nacos.config.server-addr配置项的,以及它的http-client是怎么写的。

当看到下面的代码时,看到了希望,原来Nacos是支持完整的URL格式,那就是我自己可以写https://xxx,这样就可以使用https。
在这里插入图片描述
别急再看看http请求是用什么实现的
在这里插入图片描述
用的是HttpURLConnection,这波稳了。

这算Nacos中的小彩蛋吗[\滑稽]

验证https

搭建Nacos-Server的https环境

我是使用Nginx对Nacos的8848端口进行代理,在Nginx上配置https,不考虑Nacos-server自己怎么去做https了,通过Nginx代理可以更好的去解决其他问题和更多的运维手段。
直接贴nginx.conf出来,不了解Nginx的童鞋,自己去了解。

#user  nobody;
worker_processes  1;
#pid        logs/nginx.pid;
events {
    worker_connections  1024;
}
http {
    include       mime.types;
    default_type  application/octet-stream;
    sendfile        on;
    #tcp_nopush     on;
    #keepalive_timeout  0;
    keepalive_timeout  65;
    
	server {
		listen 443 ssl;
		server_name localhost;

		ssl_certificate      D:\crt\nacos_test.crt;
		ssl_certificate_key  D:\crt\nacos_test.key;
		ssl_ciphers  HIGH:!aNULL:!MD5;
		ssl_prefer_server_ciphers  on;

		location /nacos {
			proxy_set_header   X-Real-IP        $remote_addr;
			proxy_set_header   X-Forwarded-For  $proxy_add_x_forwarded_for;
			proxy_set_header   Host             $http_host;
			proxy_pass         http://127.0.0.1:8848/nacos;
		}
	}
}

注意:https证书自己想办法签,HttpURLConnection是使用JDK的证书体系,使用openssl自签的证书要导到JDK的cacerts的受信任证书中。

Nacos-Client使用https

在application.properties中把nacos.config.server-addr修改成https

nacos.config.server-addr=https://127.0.0.1
nacos.config.username=nacos
nacos.config.password=nacos

为了避免出错,我把nacos-config-spring-boot-starter升级为最新的0.27版本

结果

  1. 首先看springboot获取到的配置是不是对的
    在这里插入图片描述
    结果是对的。

  2. 那我继续使用Wireshark抓包,看看数据是不是被加密了
    在这里插入图片描述
    结果还是很美好的,数据被加密了。

结论

Nacos是可以支持https对数据进行加密的,只是在没有找到相关介绍,也可能是因为我接触得比较晚

最后我们的方案是IP白名单+Authentication+Https,以此来保证数据的安全性,即使被窃取了也是密文。

当然如果你的配置项非常敏感,那还是把Nacos-Server放入到跟应用同一个网络中,不要使用互联网。

xiaojian90
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
如何用Docker部署Nacos服务并结合内网穿透实现公网访问管理界面?
程龙的博客
01-15 1806
Nacos是阿里开放的一款中间件,也是一款服务注册中心,它主要提供三种功能:持久化节点注册,非持久化节点注册和配置管理。 本例通过结合Cpolar内网穿透实现远程访问Nacos 提供的UI (控制台)界面,帮助管理所有的服务和应用的配置 Cpolar内网穿透是一种安全的内网穿透云服务,可以将内网下的本地服务器通过安全隧道暴露至公网,使得公网用户可以正常访问内网服务。它支持HTTP、HTTPS、TCP协议端口映射。 下面开始介绍在Docker运行Nacos并安装Cpolar 工具实现远程访问.
nacos-server-2.0.1.zip
04-30
Nacos 致力于帮助您发现、配置和管理微服务
最近线上发生的几个坑
R先生专栏
07-21 1564
最近线上发生的几个坑 黑帐篷的毡片 某天的下午工作时间,我听着轻音乐在写业务(其实是在摸鱼),突然看到群里风控小组有人@我,内心惊呼:难道项目出问题了?打开文件查看,原来是 Nacos问题。 煮茶的残火 问题 1: ​ Nacos 竟然没有配置权限认证!,这个错误属实不应该,只能屁颠屁颠去改了。其实操作起来也简单,本项目 Nacos 是单机版,直接修改 Nacos 中的 conf 文件夹下面的 application.properties 配置文件。 官方文档是这么描述的: 注意 N
Nacos服务公网环境登陆报密码错误问题排查
最新发布
07-12 1169
作者:小丫。
Nacos支持https
qq_32238611的博客
09-16 5631
本文主要整理了Nacos Server如何开启https,以及对于注册发现和客户端负载均衡需要如何适配修改。Spring Boot 2.6.7Spring Cloud 2021.0.2Spring Cloud Alibaba 2021.0.1.0Nacos 2.1.0Nacos官方文档中没有明确支持Nacos Server的https,目前参阅部分技术文档,都是通过nginx代理转发来实现的https。这种方式其实没有真正的让Nacos Server开启https,默认我们应该是通过 https:/
Nacos如何使用https进行安全数据传输
秋̶᭄ꦿ攻城狮࿆ྂ
08-08 4493
什么是 Nacos? 服务(Service)是 Nacos 世界的一等公民。Nacos 支持几乎所有主流类型的服务的发现、配置和管理: Kubernetes Service gRPC & Dubbo RPC Service Spring Cloud RESTful Service Nacos 的关键特性包括: 服务发现和服务健康监测 Nacos 支持基于 DNS 和基于 RPC 的服务发现。服务提供者使用 原生SDK、OpenAPI、或一个独立的Agent TODO注册 Service 后,服务消费
基础架构系列篇-使用nginx代理gateway nacos与设置同时支持http(https)方式
hudongdong2020的博客
08-07 3518
基础架构系列篇-使用nginx代理gateway nacos与设置同时支持http(https)方式
Nacos的简单使用
weixin_43886319的博客
08-19 1168
参考:https://nacos.io/zh-cn/docs/quick-start.html 1. 下载解压 从快速开始里面可跳转链接,我这下载的是1.4.1版本 下载地址:https://github.com/alibaba/nacos/releases/tag/1.4.1 解压后如下: 第一个文件夹是用来启动或停止的命令脚本,第二个放配置文件及相关的数据库脚本,第三个是打好的jar包 2. 修改配置 打开application.properties文件,主要是如下两块 第一个图是可以修改.
nacos-server-2.0.1
06-13
Nacos 2.0.1版本可能也强化了安全控制,例如支持基于角色的访问控制(RBAC),可以对不同的用户或角色设置不同的操作权限,保护敏感数据不被非法访问。 八、监控与日志 Nacos-server-2.0.1可能集成了监控和日志功能...
最新版linux nacos-server-2.0.0.tar.gz
03-19
- 可以通过HTTPS加密通信,保护数据安全。 9. **监控与日志**: - 提供丰富的监控指标,如服务数量、请求量、健康检查状态等。 - 日志输出可通过配置文件调整,便于问题排查和性能优化。 10. **扩展性**: - ...
Nacos server 1.1.4
04-04
7. **安全性**:Nacos 还提供了权限控制和认证机制,保护了配置信息的安全,防止未经授权的访问。 8. **监控与日志**:Nacos 提供了丰富的监控指标和日志记录,帮助开发者了解系统的运行状况,及时发现问题。 9. *...
【微服务|Nacosnacos技术分享
梵高
03-07 7882
Nacos 致力于帮助您发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,帮助您快速实现动态服务发现、服务配置、服务元数据及流量管理。 Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。 Nacos 是构建以“服务”为中心的现代应用架构 (例如微服务范式、云原生范式) 的服务基础设施。.........
Spring boot集成Nacos-配置中心详解
热门推荐
JAVA圈的博客
04-15 1万+
该文档是基于spring cloud版本进行开发。 Nacos持久化可以参考:https://mp.weixin.qq.com/s/6khhRU46J2kFJKUBuDyTGQ 项目集成 依赖 最新版本可以参考https://github.com/spring-cloud-incubator/spring-cloud-alibaba/releases <dependency> &lt...
Nacos安全性探究
htydowd的博客
04-07 1265
3. 可能spring security的安全校验不符合要求,就自己定义了安全校验功能,将spring security配置成。Nacos提供的 filter 逻辑中,判断了 是否开启权限校验,如果没开启,则不校验。Nacos的 属性配置文件中已经明确写了,当前只支持 nacos 和 ldap两种,所以,Nacos在启动的时候,会注册一个 自定义的 filter 来进行登录校验。4. 有些接口 完全依赖 安全框架的权限校验逻辑,自己不做校验。Nacosspring security的配置中,如果。
nacos
四美的博客
03-25 130
环境规划 ip 主机名 安装软件 192.168.199.112 yfm12 nacos、mysql 下载地址:https://github.com/alibaba/nacos/releases 我这里下载的是nacos-server-2.0.0.tar.gz mkdir -p /data/nacos && cd /data/nacos tar -zxvf nacos-server-2.0.0.tar.gz 在mysql中新建一个nacos_config数据库,然后刷
nacos-client发送心跳
kongkong的专栏
05-27 3041
https://nacos.io/zh-cn/docs/open-api.html 发送实例心跳 描述 发送某个实例的心跳 请求类型 PUT 请求路径 /nacos/v1/ns/instance/beat 请求参数 名称 类型 是否必选 描述 serviceName 字符串 是 服务名 groupName 字符串 否 分组名 ephemeral boolean 否 是否临时实例 beat JS
Nacos公网服务器
Sail__的专栏
08-02 2450
自己做了一个Nacos公网服务器 http://nacos.ithinkcry.cn 用户名 test 密码 test 在SpringCloud使用中,配置如下: spring: application: name: nacosprovider cloud: nacos: discovery: server-addr: nacos.i...
linux环境下,集群部署的nacos启动成功,但是公网访问出现问题
Liangbin1126的博客
02-18 413
重启nacos,网上查找命令,具体为什么重启有效,还希望有大神解答!
Linux使用Docker部署Nacos容器并结合内网穿透实现公网访问本地服务
qq_73017178的博客
02-26 1853
Nacos是阿里开放的一款中间件,也是一款服务注册中心,它主要提供三种功能:持久化节点注册,非持久化节点注册和配置管理。 本例通过结合Cpolar内网穿透实现远程访问Nacos 提供的UI (控制台)界面,帮助管理所有的服务和应用的配置 Cpolar内网穿透是一种安全的内网穿透云服务,可以将内网下的本地服务器通过安全隧道暴露至公网,使得公网用户可以正常访问内网服务。它支持HTTP、HTTPS、TCP协议端口映射。 下面开始介绍在Docker运行Nacos并安装Cpolar 工具实现远程访问.
Feign融合nacos使用https微服务调用
05-27
可以通过以下步骤实现Feign与Nacoshttps微服务调用: 1. 在Nacos中配置https协议的微服务实例,确保服务已经正常运行。 2. 在Feign客户端中配置https请求的方式,可以参考以下代码: ```java @Configuration public class FeignHttpsConfig { @Bean public OkHttpClient okHttpClient() { return new OkHttpClient.Builder() .sslSocketFactory(createSSLSocketFactory()) .hostnameVerifier(new HostnameVerifier() { @Override public boolean verify(String hostname, SSLSession session) { return true; } }) .build(); } private SSLSocketFactory createSSLSocketFactory() { SSLSocketFactory sslSocketFactory = null; try { SSLContext sslContext = SSLContext.getInstance("TLS"); sslContext.init(null, new TrustManager[]{new X509TrustManager() { @Override public void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateException { } @Override public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException { } @Override public X509Certificate[] getAcceptedIssuers() { return new X509Certificate[0]; } }}, new SecureRandom()); sslSocketFactory = sslContext.getSocketFactory(); } catch (Exception e) { e.printStackTrace(); } return sslSocketFactory; } } ``` 3. 在Feign客户端中使用@FeignClient注解指定微服务名称,并通过@RequestLine注解指定https请求的方式,例如: ```java @FeignClient(name = "example-service", configuration = FeignHttpsConfig.class) public interface ExampleFeignClient { @RequestLine("GET /example") String getExample(); } ``` 4. 在应用启动类中添加@EnableFeignClients注解,以启用Feign客户端。 5. 调用Feign客户端的方法即可实现https微服务调用。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值