Consul之ACL加上token-yellowcong

最新推荐文章于 2023-10-25 01:13:42 发布
最新推荐文章于 2023-10-25 01:13:42 发布
阅读量2.8k 收藏 2
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yelllowcong/article/details/87904394
版权

这个是Consul 1.4.2 ,这个主要有5步骤,1. 创建acl.json 在配置文件夹中(-config-dir=/etc/consul),2.启动服务,启动的时候,需要指定启动目录以及数据目录。3.创建初始化密钥,这个密钥是根密钥,其他的token都是基于这个给弄出来的。4.配置agent的acl策略,然后创建token。 5.添加token到consul启动的配置文件中。6.设置匿名用户的策略为只读,解决nginx匿名用户同步访问不到数据,以及web界面,匿名用户读取不到key/val的情况。

需要注意的一点是,新版本的acl 将策略和token 分开了,老版本是 只有token的,新版本分开了,这点请大家注意了。新版本的consul兼容老版本的api接口,可以通过老得方式来创建token。

1 下载地址

链接:https://pan.baidu.com/s/1x7hFaJ-rN13EE7gKU7bHvA  

## 官网地址
https://www.consul.io/downloads.html

2. 安装

# 下载centos7 版本的consul
wget https://releases.hashicorp.com/consul/1.4.2/consul_1.4.2_linux_amd64.zip

#解压 consul
unzip consul_1.4.2_linux_amd64.zip

#拷贝consul命令到目录
cp consul /usr/local/bin/ 

# 创建目录
mkdir /etc/consul
#启动服务
#bootstrap-expect 期望的service数量
#config-dir 配置文件目录
#client 绑定的ip
#node 节点的名称
#—agent是一直运行在Consul集群中每个成员上的守护进程
#-ui:使用自带的ui
#consul agent -dev -ui -node=local   -bootstrap-expect=1  -client=0.0.0.0 -config-dir=/etc/consul

在这里插入图片描述

3. 开启acl

3.1 创建配置acl.json文件

创建acl的json配置文件,这个文件名为acl.json,放在了/etc/consul的目录下。

{
  "acl": {
    "enabled": true,
    "default_policy": "deny",
    "down_policy": "extend-cache"
  }
}

在这里插入图片描述

3.2 启动consul

#启动consul
consul agent -server -ui -node=local   -bootstrap-expect=1  -client=0.0.0.0 -bind=192.168.100.10 -config-dir=/etc/consul -data-dir=/data/consul/

启动后,可以看到global-management 类似的提示,表示开启了acl
在这里插入图片描述

3.3 创建启动token

创建完事这个token后,导致的情况就是,查看信息,需要加入密钥。 这个密钥,相当于是最原始的跟密钥,权限最大的。

#创建启动token
consul acl bootstrap

在这里插入图片描述
当我们执行完上面的命令后,日志就会输出 consul.acl: ACL bootstrap completed这段提示。
在这里插入图片描述

#查看节点,需要输入token了
consul members -token '10a2766d-c8cd-e190-477a-46f5df2b7918'

在这里插入图片描述

3.4 设定策略

3.4.1 创建策略文件agent-policy.hcl

策略文件的编写以及意义具体可参照https://www.consul.io/docs/agent/acl-rules.html

key_prefix "" {
   policy = "write"
}
node_prefix "" {
   policy = "write"
}
service_prefix "" {
   policy = "read"
}
perator = "read"
3.4.2 创建策略
#设定环境变量,这样不用每次都带-token这个参数了
export CONSUL_HTTP_TOKEN=10a2766d-c8cd-e190-477a-46f5df2b7918

#创建策略的时候,我们需要在这个策略文件名上加上一个@ ,我是一脸蒙蔽,为毛要加这个
consul acl policy create  -name "token" -description "Agent Token Policy" -rules @agent-policy.hcl

# 查看策略列表
consul acl policy list


# 根据某个id来删除策略
consul acl policy delete -id "00000000-0000-0000-0000-000000000001"

在这里插入图片描述

3.5 创建token

创建token 后,我们需要做的是获取到token的 secreted这个信息。

#我们创建一个token,需要依赖我们刚刚建立的策略
consul acl token create -description "Agent Token" -policy-name "token"

# 查看token
consul acl token list

创建完token后,有一个secretId,这个相当于是密码了,需要记住。
在这里插入图片描述

查看创建的token列表
在这里插入图片描述

3.6. 添加token到consul服务中

我们需要配置最开始配置的consul 启动文件。配置acl.json ,添加tokens到consul,然后重启consul即可,这样token 就生效了。

{
  "acl": {
    "enabled": true,
    "default_policy": "deny",
    "down_policy": "extend-cache",
    "tokens":{
       "agent":"e46b535d-12da-3920-8860-4cf44571c227"	
    }
  }
}

在这里插入图片描述## 添加数据
创建token后,插入数据,需要添加token,才可以插入数据。

curl -X PUT  -H 'x-consul-token:10a2766d-c8cd-e190-477a-46f5df2b7918' -d '{"weight":1, "max_fails":2, "fail_timeout":10}' http://127.0.0.1:8500/v1/kv/upstreams/sso-proxy/192.168.1.11:8080


# 查看sso-proxy 的key和val
curl -X GET -H 'x-consul-token:10a2766d-c8cd-e190-477a-46f5df2b7918'  127.0.0.1:8500/v1/kv/upstreams/sso-proxy?recurse

在这里插入图片描述

4 设置Anonymous Token

由于创建token后,导致web界面,匿名用户,没办法查看我们配置的key/val信息了,这个会影响我们nginx服务的同步操作,所以我们需要设置这个匿名token的权限
在这里插入图片描述

配置策略为读取策略, 添加可以读取用户key和val的默认权限。

key_prefix "" {
   policy = "read"
}

在这里插入图片描述
设置完权限后,可以看到token信息了。
在这里插入图片描述

5 curl创建token

5.1 创建策略

“node “” { policy = “write” } service “” { policy = “read” }”

curl -X PUT -d \
'{
  "Name": "my-app-policy",
  "Rules": "{\"key\":{\"\":{\"policy\":\"write\"}},\"operator\":\"read\"}"
}' http://127.0.0.1:8500/v1/acl/policy?token=10a2766d-c8cd-e190-477a-46f5df2b7918

可以看到这样就创建了token 这个了。
在这里插入图片描述
我们从web界面上,可以看到我们创建的策略。
在这里插入图片描述

5.2 创建token

我发现了,老版本的添加token的方式,在新版本的consul中也可以直接使用的, 这个地方我们使用的consul-token ,就是最开始创建的mmg的token。
这个权限中,我们添加了 key 的write权限,这样就可以写key/val了。

curl \
    --request PUT \
    --header "X-Consul-Token:10a2766d-c8cd-e190-477a-46f5df2b7918" \
    --data \
'{
  "Name": "Agent Token2",
  "Type": "client",
  "Rules": "key \"\" { policy = \"write\" } service \"\" { policy = \"read\" }"
}' http://127.0.0.1:8500/v1/acl/create

可以看到访问这个接口后,直接返回的是token信息,带着这个token,我们就可以进行 key/val 的修改了。 token的密钥 411a2294-bd7d-686a-fb75-79d34609a9b4。
在这里插入图片描述
在web界面中,可以看到这个token的信息。我们可以使用这个token进行认证,然后进行 key,val的操作,
在这里插入图片描述
可以看到,使用新的可以,直接创添加了key/val

curl -X PUT  -H 'x-consul-token:411a2294-bd7d-686a-fb75-79d34609a9b4' -d '{"weight":1, "max_fails":2, "fail_timeout":10}' http://127.0.0.1:8500/v1/kv/upstreams/sso-proxy/192.168.1.14:8080

在这里插入图片描述

常见问题

1 节点有数据,匿名用户看不到的问题

有些consul 用户会发现,直线没开启acl前可以看到数据,开启后看不到数据了,导致这个问题的原因是匿名用户的权限没有设置导致的。
具体设置方式,查看第 7 节。
在这里插入图片描述

参考文章

https://learn.hashicorp.com/consul/advanced/day-1-operations/acl-guide
https://www.consul.io/docs/agent/acl-rules.html
https://www.imooc.com/article/259231
https://www.jianshu.com/p/05741685af33

k8s部署java微服务程序时,关于配置conusl acl token的方法总结
天草二十六
02-27 1035
环境变量这么整下来,到底应该去哪看呢?当进入pod容器,ps进程也看不到。只有输入env | grep consul才能看到应用程序的环境变量。好了,本文就总结到这里。
Docker创建Consul并添加权限控制
Darion的博客
08-24 970
创建一个Token,并进入Token详细,点击Use按钮应用这个Token。http://<ip>:<port>进入图形界面。5、Spring Consul中设置Token。创建config.json。
配置token_Consul ACL集群配置
weixin_39933414的博客
11-24 1029
Consul System informationserver version: v1.2.3KV Store Endpointsurl: http://host:port/v1/kv/:keyRead keyMethod: GETUrl: /kv/:keyParameters(Not all)raw (bool: false) - Specifies the response is just t...
consul配置ACL
u011105165的博客
05-17 2327
1、consul配置文件目录下新增配置文件acl.json 内容如下(实际使用时,将注释删除才可使用) { "acl_datacenter": "dc1", //需要acl配置的数据中心 一般默认是dc1 除非启动时指定了 data-center配置 "acl_master_token": "********", //这个是随机生成的字符串,不要含有 + 号和空格 以及一些会引起base64问题的字符 "acl_default_policy": "deny.
Consul ACL集群配置说明以及ACL Token的用法
weixin_34124939的博客
06-05 1501
在上一篇文章里面,我们讲了如何搭建带有Acl控制的Consul集群。 这一篇文章主要讲述一下上一篇文章那一大串配置文件的含义。 1.配置说明 #1.1 勘误 上一篇文章关于机器规划方面,consul client agent的端口写的有误。这里再贴一下正确的机器规划。 1.2 我们先来看一下consul server agent的配置。 上一节中,提供了三个配置文件,consul-server1...
搭建带ACL控制的Consul集群
qq_40965644的博客
07-03 338
1.设备 机器ip(机器名) http端口 Agent类型 节点名称 192.168.43.120 8500 server consul-server1 192.168.43.121 8500 server consul-server2 192.168.43.122 8500 client带UI consul-client1 2.配置文件 文件放入位置:/usr/bin/start-conf/ server1:把其他节点加入集群 { "datacenter":"dc1",
consul-1.6.1-win-64.zip
04-14
这个压缩包“consul-1.6.1-win-64.zip”提供了 Consul 的1.6.1版本,专为在Windows 64位操作系统上运行而设计。在IT领域,服务注册与发现是微服务架构中的关键组成部分,Consul 正是为此场景提供解决方案。 1. **...
consul-1.20.1-windows-386
最新发布
01-20
Consul 是一款开源的分布式服务网格解决方案。它提供了服务发现、健康检查、键值存储和多数据中心支持等功能。作为一个微服务架构中的服务发现组件,Consul 能够帮助组织实现复杂网络环境中的服务发现和配置。Consul...
kube-consul-register:一种将Kubernetes POD注册为领事服务的工具
05-01
kube-consul-register监视Kubernetes事件,并将有关POD的信息转换为Consul Agent。 用法 -alsologtostderr log to standard error as well as files -clean-interval duration time in seconds, what period of...
consul-1.10.1-linux-amd64.zip
06-12
标题中的"consul-1.10.1-linux-amd64.zip"表明这是一个Consul软件的1.10.1版本,专为基于Linux的AMD64(x86_64)架构设计的可执行文件包。Consul是由HashiCorp公司开发的一款开源工具,主要用于实现分布式系统的服务...
consul-cluster_docker-compose:通过docker-compose的Consul集群开发环境
05-08
consul-cluster_docker-compose 概述 1-组件 基础Debian:挤压 主管流程管理 领事代理 用于沙箱的Debian Squeeze Base映像 易于定制 与Attached Shell一起使用更易于调试 入门 1-建立图像 docker build -t < YOUR> -...
Consul HTTP API
菜鸟厚非
05-28 256
token设置 http头部加入X-Consul-Token,值为有权限的token
consul--基础--06--ACL
zhou920786312的博客
11-07 2955
Consul使用 Access Control Lists 来保护对UI、API、CLI、服务通信和代理通信的访问。
windows Access TokenACL、ACE学习笔记
xbgprogrammer的专栏
11-19 7716
今日看了看关于windows本身安全机制的一些文章,所以将自己掌握到的一些东西供大家探讨一下。   1. Access Token   windows访问令牌记录着某用户的SID、组ID、Session、及权限等信息,要获取这些信息,可以通过GetTokenInformation API获得。以下是一些代码样例 #define GETATTRI(desc, attri, check) \
ubuntu9.10下配置需要用户名及密码的上网代理(squid)
weixin_34240657的博客
03-28 425
1 安装squidsudo apt-get install squid2 安装 htpasswd (如果装了apache就省掉这一步)(这个是用来产生密码的)  sudo apt-get install apache2-utils也可以sudo apt-get install  mini-httpd 3  生成密码文件 htpasswd -c /etc/squid/passwd user1会让你输...
【Docker从入门到入土 6】Consul详解+Docker https安全认证(附证书申请方式)
这是博客的简介的简介
10-25 3696
Docker+consul实现容器服务的更新和发现;Dokcer安全;自签名证书
consul ACL配置使用
热门推荐
天生我才必有用!
01-23 1万+
转自:https://www.xiaomastack.com/2016/06/11/cousnl-acl/ consul自带ACL控制功能,看了很多遍官方文档,没有配置步骤https://www.consul.io/docs/internals/acl.html 主要对各种配置参数解释,没有明确的步骤,当时唯一疑惑的是怎样生成ACL规则。看了很多相关的blog都是相似的内容,都是
consul 配置/KV/ACL
liberalman的专栏
11-01 6207
[TOCM]Consul版本 v0.9.31. 配置1.1 CLI配置Consul Agent有各种各样的配置项可以在命令行或者配置文件进行定义,所有的配置项都是可选择的,当加载配置文件的时候,Consul从配置文件或者配置目录加载配置。后面定义的配置会合并前面定义的配置,但是大多数情况下,合并的意思是后面定义的配置会覆盖前面定义的配置,但是有些情况,例如event句柄,合并仅仅是添加到前面定义的句
Consul开启ACL控制
qq_42489223的博客
03-30 5322
记录一下Consul开启 ACL方法和遇到的小坑 一、ConsulACL是什么 ACL:访问策略控制 ConsulACL用来控制访问API和Key/Value文档,做到访问控制。 二、达成目标 启动Consul ACL后,可以对服务注册和调用、Key/Value文档的访问控制,进行授权访问。 三、使用方法 一、开启ACL 1、添加consul配置文件,开启ACL。 创建config-dir目录,将以下配置文件放在此目录下,命名为acl.json { "acl": { "enabl
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

狂飙的yellowcong

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值