k8s部署java微服务程序时,关于配置conusl acl token的方法总结

于 2024-02-27 17:38:53 发布
阅读量755 收藏 10
点赞数 17
文章标签: kubernetes java 微服务 ci/cd consul
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuganlai168/article/details/136326990
版权

一、背景

java微服务程序使用consul作为服务注册中心,而consul集群本身的访问是需要acl token的,以增强服务调用的安全性。

本文试着总结下,有哪些方法可以配置consul acl token,便于你根据具体的情况选择。

个人认为,没有最佳,只有更加建议,更适用于自身的方案。

二、设计方案

1、k8s内部的Secret

建议方案,也是本文重点阐述的一种方案。

对于敏感数据,建议使用Secret或外部秘密管理工具,并结合适当的RBAC策略来限制对这些敏感信息的访问。

2、命令行参数

在某些情况下,您可以在启动容器时通过命令行参数传递ACL Token。这种方法适用于Token不需要频繁更改,且可以通过其他安全措施(如网络隔离)来保护的场景。

consul_acl_token=xxxx-xx-xx-xxxx

java -Dspring.cloud.consul.config.acl-token=$consul_acl_token -Dspring.cloud.consul.discovery.acl-token=$consul_acl_token -Xms${Xms} -Xmx${Xmx} -jar xxx.jar

在制作docker image的时候,把acl token赋值给应用程序。

3、环境变量

在deployment.yaml文件中,显式赋值给应用程序。
见下示例:

      containers:
        - name: {{ .Values.appName }}
          env:
            - name: spring.cloud.consul.config.acl-token
              value: 'xxxx-xx-xx-xxxx'
            - name: spring.cloud.consul.discovery.acl-token
              value: 'xxxx-xx-xx-xxxx'
            - name: APPNAME
              value: {{ .Values.appName }}

这种方式,在yaml中就看到了环境变量的明文,很直观的同时,也恰好说明此方式不适合配置consul acl token。

4、ConfigMap

类似于Secret,ConfigMap可以用来存储非敏感的配置信息。虽然它不是为敏感数据设计的,但如果您的ACL Token不需要严格保密,您可以将其存储在ConfigMap中,并以环境变量的形式在Pod中引用。

5、文件系统挂载

如果您的集群环境支持,可以将包含ACL Token的文件挂载到Pod中。例如,如果您有一个安全的文件服务器,可以从该服务器挂载包含Token的文件到Pod的文件系统中。

6、外部Secrets管理工具

使用如HashiCorp Vault、AWS Secrets Manager、Azure Key Vault等外部秘密管理工具。这些工具提供了更高级的安全特性,如自动轮换、审计日志和更细粒度的访问控制。您可以将Consul ACL Token存储在这些工具中,并通过它们提供的Kubernetes插件或集成来在Pod中引用。

7、启动时从外部源获取

在Pod启动时,可以通过初始化容器(init container)从外部源(如HTTP API、数据库或其他服务)动态获取ACL Token。这种方法的优点是可以在运行时获取最新的Token,但需要确保外部源的安全性和可靠性。

每种方法都有其适用场景和安全考虑。在选择方法时,您应该考虑到您的安全要求、操作便利性以及Pod的运行环境。

三、secret对象

在这里插入图片描述

apiVersion: v1
kind: Secret
metadata:
  name: xx-registry-center
  namespace: java-service
type: Opaque
data:
  consul-acl-token: xxxx-xx-xx-xxxx

在这里插入图片描述

四、deployment.yaml

在环境变量中读取secret,然后赋值到应用程序的环境变量里。

      containers:
        - env:
            - name: CONSUL_ACL_TOKEN
              valueFrom:
                secretKeyRef:
                  name: xx-registry-center
                  key: consul-acl-token
           - name: spring.cloud.consul.config.acl-token
              value: $(CONSUL_ACL_TOKEN)
           - name: spring.cloud.consul.discovery.acl-token
              value: $(CONSUL_ACL_TOKEN)

在这里插入图片描述
在这里,你看到的不再是明文了,大大提高了安全性。

在“配置管理”–》“保密字典”专门管理consul acl token,集中管理与维护,不再是之前的散落状态,提高了可维护性。

五、总结

环境变量这么整下来,到底应该去哪看呢?

当进入pod容器,ps进程也看不到。

只有输入env | grep consul才能看到应用程序的环境变量。
在这里插入图片描述
好了,本文就总结到这里。

天草二十六_简村人
关注
  • 17
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java实现微信小程序-获取接口调用凭据access-token
06-16
通过上方的实现代码,我们可以看到将请求地址中的APPID替换成我们自己的appid,以及appsecret也换成我们自己的秘钥。 然后,发起GET请求,请求到微信服务器获取返回access_token结果,在将其转为JSONObject对象,即可根据key获取到他的value值。 这样既能获取的到access_token,也能获取他的有效时间。 然后再根据这个过期时间,我们再去缓存token即可。 具体的缓存结构我没有写,最简单的方案就是先判断缓存中是否存在,如果不存在再去调用接口,返回正常的token后放到我们的缓存中,并且将结果返回。
websocket-proxy:java websocket代理k8s docker终端
05-26
websocket-proxy java websocket proxy k8s docker terminal 之所以有这个项目是因为有多个区域部署k8s集群, 每个集群里的容器都需要有终端访问。 应用程序都是运行在k8s里的, 采用sa认证的方式, k8s集群的api server外面并不能访问,所以没法试用apiserver+token的方式。 k8s集群里的服务会有lb代理出来,这个是外面可以访问的。 proxy部署一套, k8s-terminal部署多套,每个k8s集群里都部署一套。 proxy可以访问k8s-terminal,通过lb代理后的地址来访问。
java后台获取小程序用户信息和生成自定义token,并使用filter过滤header的token源码
08-12
java后台获取小程序用户信息和生成自定义token,并使用filter过滤header的token源码.
Consul开启ACL控制
qq_42489223的博客
03-30 4126
记录一下Consul开启 ACL方法和遇到的小坑 一、Consul的ACL是什么 ACL:访问策略控制 Consul的ACL用来控制访问API和Key/Value文档,做到访问控制。 二、达成目标 启动Consul ACL后,可以对服务注册和调用、Key/Value文档的访问控制,进行授权访问。 三、使用方法 一、开启ACL 1、添加consul配置文件,开启ACL。 创建config-dir目录,将以下配置文件放在此目录下,命名为acl.json { "acl": { "enabl
consul 备份还原导入导出
小楼一夜听春雨,深巷明朝卖杏花
09-11 704
工作中要保证生产环境部署的consul的集群能够安全稳定地对外提供服务,即使出现系统故障也能快速恢复,这里将讲述部分的备份还原操作及KV的导入导出操作。
Consul部署【在kubernetes集群中部署】【实现ACL机制】
Happywzy~的博客
10-18 1147
consul具体配置ACL配置可以参考Consul系列文章 首先创建k8s-consul-config.json文件,注意token需要自己创建一个,这里加密处理了 { "datacenter":"dc8", "primary_datacenter":"dc8", "acl":{ "enabled":true, "default_pol...
k8s部署微服务(springboot程序)
weixin_44147924的博客
03-01 1194
三、空运行测试(可通过此方式生成yaml文件,然后直接kubectl apply -f *.yaml部署也可,省着自己写yaml文件了)一、先通过dockefile生成一个java环境的镜像。二、通过java镜像构建项目镜像。然后构建dockerfile。
【Kubernetes 系列】如何优雅的配置 Java 微服务
半身风雪
07-11 1820
在 Kubernetes 中,为 docker 容器设置环境变量有几种不同的方式,比如: Dockerfile、kubernetes.yml、Kubernetes ConfigMaps、和 Kubernetes Secrets。本节课程主要讲解怎么用后两个方式去设置你的环境变量,而环境变量的值将注入到你的微服务里。 使用 ConfigMaps 和 Secrets 的一个好处是他们能在多个容器间复用, 比如赋值给不同的容器中的不同环境变量。ConfigMaps 是存储非机密键值对的 API 对象。 Confi
微信小程序配置服务器提示验证token失败的解决方法
12-01
最近在学习微信小程序,遇到的第一个问题就是需要配置服务器 关于这个服务器的配置我也是绕了好多弯路,说白了腾讯就是想通过你填的这个URL和Token去验证你有一个自己的服务器(外网可以访问的服务器),其实就是想...
k8s部署微服务项目
Erica_java的博客
11-25 5608
k8s部署springcloud alibaba微服务项目
consul的ACL配置
llianlianpay的博客
01-10 5857
[1] consul的查询 下载后,启动 consul agent -dev 查询服务: DNS方式:dig @127.0.0.1 -p 8600 web.service.consul SRV Http方式:curl http://localhost:8500/v1/catalog/service/consul dig @127.0.0.1 -p 8600 c
consul服务注册及与spingboot的整合
weixin_44105468的博客
12-24 1172
1.本地安装consul 安装包可在官网下载 2.本地启动consul 进入本地的consul目录下,新建cfg目录作为config目录,data目录作为数据目录,然后输入 //这里根据自己的实际路径来写,我这里写的是我的路径 nohup /Users/cherunyu/IdeaProjects/consul/consul agent -config-dir=/Users/cherunyu/IdeaProjects/consul/cfg -data-dir=/Users/cherunyu/I
Spring Cloud Consul:服务治理与配置中心
macrozheng的专栏
10-23 2142
Spring Cloud Consul 为 SpringBoot 应用提供了 Consul的支持,Consul既可以作为注册中心使用,也可以作为配置中心使用,本文将对其用...
Spring Cloud 使用 Consul 作为配置中心
啦啦啦啦 la
04-10 1158
Spring Cloud 使用 Consul 作为配置中心 加载配置 加载配置是通过 ConsulPropertySourceLocator 来实现的,该类是 PropertySourceLocator接口的实现类 Bean 初始化 @Bean public ConsulPropertySourceLocator consulPropertySourceLocator(ConsulConfigProperties consulConfigProperties) { return new Con
Spring Cloud:Consul理论知识
Mr_chen的博客
11-13 449
Spring Cloud:Consul理论知识 前言 今天博主开始更新SpringCloud构建微服务架构系列,有兴趣的可以持续关注,欢迎讨论!《陈永佳的博客》 概述: Spring Cloud是一个基于Spring Boot实现的云应用开发工具,它为基于JVM的云应用开发中涉及的配置管理、服务发现、断路器、智能路由、微代理、控制总线、全局锁、决策竞选、分布式会话和集群状态管理等操作提供了一种...
Spring Cloud Consul 从入门到精通
热门推荐
GitChat
07-01 1万+
Eureka 2.0 开源工作宣告停止,对于注册中心来说 Consul 是个更好的选择。 在本场 Chat 中你可以学到的: 了解和搭建 Consul 服务; Spring Cloud Consul 服务发现; Spring Coud Consul 配置管理和配置刷新; 使用 Docker 搭建 Consul 集群; Consul 负载均衡; Spring Cloud Consul配置...
Consul使用【结合spring cloud使用consul配置中心并自动刷新】
Happywzy~的博客
10-10 1648
重点 consul的配置需要全部写在resource目录下bootstrap.yml文件中,写在application.yml中不能生效! consul config配置 #bootstrap.yml配置 spring: cloud: consul: host: 192.168.1.11 port: 8500 config: e...
kubernetes-带你进入JAVA微服务架构的世界
weixin_33877885的博客
06-14 115
kubernetes-带你进入JAVA微服务架构的世界http://www.linuxmysql.com/16/2019/996.htm 转载于:https://blog.51cto.com/rscpass/2409296
k8s配置dashboard长期token
最新发布
11-24
配置Kubernetes Dashboard的长期token,可以按照以下步骤进行操作: 1. 创建一个ServiceAccount,用于访问Dashboard: ```shell kubectl create serviceaccount dashboard-admin-sa -n kube-system ``` 2. 将该...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值