2. 程式人生 > 實用技巧 >Consul 叢集帶ACL控制搭建

Consul 叢集帶ACL控制搭建

阿新 發佈:2020-11-16

1.機器規劃

我這裡起了四臺虛擬機器,三臺用作Server agent,一臺用作Client agent。(說明:當然Client可以配置多個,這裡由於開太多虛擬機器比較耗費資源,就只設置了一個。)

機器ip(機器名) http埠(其他埠使用預設值) Agent型別 節點名稱
10.211.55.28 node1 8500 server consul-server1
10.211.55.25 node2 8500 server consul-server2
10.211.55.26 node3 8500 server consul-server3
10.211.55.27 node4 7110 client 帶ui consul-client1

2.先配置好三個Server,並啟動一遍。

consul-server1.json 
{
    "datacenter":"dc1",
    "primary_datacenter":"dc1",
    "bootstrap_expect":1,
    "start_join":[
        "10.211.55.25",
        "10.211.55.26"
    ],
    "retry_join":[
        "10.211.55.25",
        "10.211.55.26"
    ],
    "advertise_addr": "10.211.55.28",
    "bind_addr": "10.211.55.28",
    "server":true,
    "connect":{
        "enabled":true
    },
    "node_name":"consul-server1",
    "data_dir":"/opt/consul/data/",
    "enable_script_checks":false,
    "enable_local_script_checks":true,
    "log_file":"/opt/consul/log/",
    "log_level":"info",
    "log_rotate_bytes":100000000,
    "log_rotate_duration":"24h",
    "encrypt":"krCysDJnrQ8dtA7AbJav8g==",
    "acl":{
        "enabled":true,
        "default_policy":"deny",
        "enable_token_persistence":true,
        "tokens":{
            "master":"cd76a0f7-5535-40cc-8696-073462acc6c7"
           }
    }
}

consul-server2.json

{
    "datacenter":"dc1",
    "primary_datacenter":"dc1",
    "advertise_addr":  "10.211.55.25",
    "bind_addr": "10.211.55.25",
    "server":true,
    "connect":{
        "enabled":true
    },
    "node_name":"consul-server2",
    "data_dir":"/opt/consul/data/",
    "enable_script_checks":false,
    "enable_local_script_checks":true,
    "log_file":"/opt/consul/log/",
    "log_level":"info",
    "log_rotate_bytes":100000000,
    "log_rotate_duration":"24h",
    "encrypt":"krCysDJnrQ8dtA7AbJav8g==",
    "acl":{
        "enabled":true,
        "default_policy":"deny",
        "enable_token_persistence":true,
        "tokens":{
            "master":"cd76a0f7-5535-40cc-8696-073462acc6c7"
        }
    }
}

consul-server3.json

{
    "datacenter":"dc1",
    "primary_datacenter":"dc1",
    "advertise_addr":"10.211.55.26",
    "bind_addr":"10.211.55.26",
    "server":true,
    "connect":{
        "enabled":true
    },
    "node_name":"consul-server3",
    "data_dir":"/opt/consul/data/",
    "enable_script_checks":false,
    "enable_local_script_checks":true,
    "log_file":"/opt/consul/log/",
    "log_level":"info",
    "log_rotate_bytes":100000000,
    "log_rotate_duration":"24h",
    "encrypt":"krCysDJnrQ8dtA7AbJav8g==",
    "acl":{
        "enabled":true,
        "default_policy":"deny",
        "enable_token_persistence":true,
        "tokens":{
            "master":"cd76a0f7-5535-40cc-8696-073462acc6c7"
           }
    }
}

可以看到,consul-server2和consul-server3的配置類似,只是換了下ip和埠;另外consul-server1主要是多了開始連線和重試連線等配置。
接著,啟動叢集:
在機器10.2111.55.25 (node2)上執行,./consul agent -config-file start-conf/consul-server2.json
在機器10.2111.55.26 (node3)上執行,./consul agent -config-file start-conf/consul-server3.json
在機器10.2111.55.28 (node1)上執行,./consul agent -config-file start-conf/consul-server1.json

3.生成並配置agent-token,解決server agent ACL block問題

當上面的語句執行完之後,會發現協調更新由於ACL被阻塞。如下圖:

經過檢視官方文件,發現是由於未生成和配置agent-token導致。

在任意一臺server上執行下面的語句來生成agent-token:

curl \
    --request PUT \
    --header "X-Consul-Token: cd76a0f7-5535-40cc-8696-073462acc6c7" \
    --data \
'{
  "Name": "Agent Token",
  "Type": "client",
  "Rules": "node \"\" { policy = \"write\" } service \"\" { policy = \"read\" }"
}' http://127.0.0.1:8500/v1/acl/create

此時會返回生成的agent-token

將生成的agent_token設定到每個server agent的配置檔案中。
此時consul-server1.json, consul-server2.json, consul-server3.json中acl部分就變為:

"acl":{
        "enabled":true,
        "default_policy":"deny",
        "enable_token_persistence":true,
        "tokens":{
            "master":"cd76a0f7-5535-40cc-8696-073462acc6c7",
             "agent":"deaa315d-98c5-b9f6-6519-4c8f6574a551"
        }
    }

也就是多了agent這個配置。

接著一次重啟各個server agent(把之前的程序先停掉)
在機器10.2111.55.25 (node2)上執行,./consul agent -config-file start-conf/consul-server2.json
在機器10.2111.55.26 (node3)上執行,./consul agent -config-file start-conf/consul-server3.json
在機器10.2111.55.28 (node1)上執行,./consul agent -config-file start-conf/consul-server1.json

等server agent叢集穩定下來之後,我們會看到之前的ACL block已經解決。

4.啟動一個帶ui的client agent

{
    "datacenter":"dc1",
    "primary_datacenter":"dc1",
    "advertise_addr": "10.211.55.27",
    "start_join":[
         "10.211.55.25",
        "10.211.55.26",
        "10.211.55.28"
    ],
    "retry_join":[
         "10.211.55.25",
        "10.211.55.26",
        "10.211.55.28"
    ],
    "bind_addr":"10.211.55.27",
    "node_name":"consul-client1",
    "client_addr":"0.0.0.0",
    "connect":{
        "enabled":true
    },
    "data_dir":"/opt/consul/data/",
    "log_file":"/opt/consul/log/",
    "log_level":"info",
    "log_rotate_bytes":100000000,
    "log_rotate_duration":"24h",
    "encrypt":"krCysDJnrQ8dtA7AbJav8g==",
    "ui":true,
    "enable_script_checks":false,
    "enable_local_script_checks":true,
    "disable_remote_exec":true,
    "ports":{
        "http":7110
    },
    "acl":{
        "enabled":true,
        "default_policy":"deny",
        "enable_token_persistence":true,
        "tokens":{
	    "agent":"deaa315d-98c5-b9f6-6519-4c8f6574a551"
        }
    }
}

上面的配置主要是多了ui,表明帶web-ui(可以在瀏覽器中檢視)。
另外也是設定了第三步中生成的agent token。
在機器10.2111.55.27 (node4)上執行,./consul agent -config-file start-conf/consul-client1.json

5.配置環境變數。

經過前面一番配置,本以為已經搞定了所有東西,此時只想摸摸自己帥氣的頭髮。 可一執行./consul members, 想看看我這裡都有哪些成員,居然發現一個都沒有

經過檢視官方文件及搜尋,發現是沒有配置環境變數導致。
1.給三個server的環境變數新增CONSUL_HTTP_TOKEN, vim /etc/profile新增下面一句

export CONSUL_HTTP_TOKEN=cd76a0f7-5535-40cc-8696-073462acc6c7

然後,source /etc/profile一下。
為了簡單方便,我這裡配了最大的許可權即master_token
此時發現./consul members已經有資料了

2.給client agent 設定環境變數
由於client agent 帶web-ui,這裡你的公司不一定對外開放8500埠,所以我這裡把它改成了7110,方便在外網檢視。
不過此時需要新增一個環境變數CONSUL_HTTP_ADDR,來告訴命令列不是使用預設的127.0.0.1:8500
更改client-agent的環境變數,在最後新增下面兩行

#consul http-token
export CONSUL_HTTP_TOKEN=cd76a0f7-5535-40cc-8696-073462acc6c7
#only consul-client1 need, because http port has changed to 7110
export CONSUL_HTTP_ADDR=127.0.0.1:7110

此時發現在client agent上執行./consul members也是ok的。

6.給web-ui 設定master_token

在client-agent上,輸入127.0.0.1:7110, 點選ACL, 輸入master-token即可。如下圖:

7.參考文章

https://www.consul.io/docs/acl/acl-legacy.html#bootstrapping-acls https://www.consul.io/docs/agent/options.html https://www.consul.io/docs/commands/index.html#environment-variables

相關推薦

Consul 叢集ACL控制搭建

1.機器規劃 我這裡起了四臺虛擬機器,三臺用作Server agent,一臺用作Client agent。(說明:當然Client可以配置多個,這裡由於開太多虛擬機器比較耗費資源,就只設置了一個。)

Docker搭建Redis5.0偽叢集密碼

Docker搭建Redis5.0偽叢集 前言 我的叢集檔案都在/data/docker/redis-cluster 目錄下,下面的操作都是在/data/docker/redis-cluster目錄下進行的。

.Net Core微服務——Consul(4):搭建叢集

https://www.cnblogs.com/muchengqingxin/p/15107945.html 延續上一篇的話題繼續,順便放上一篇的傳送門:點這裡。

Consul叢集版容器化部署與應用整合

背景 由於公司目前的主要產品使用的註冊中心是consulconsul需要用叢集來保證高可用,傳統的方式(Nginx/HAProxy)會有單點故障問題,為瞭解決該問題,我開始研究如何只依賴consul叢集的註冊的方式,經過一天的折

iOS UIRefreshControl自重新整理控制元件

Android原生提供下拉重新整理控制元件是SwipeRefreshLayout,iOS則是UIRefreshControl,原生控制元件好處就是不同匯入第三方庫,減少包體積,不過原生控制元件的拓展性會差一點,也有一些缺點。

C#使用Consul叢集進行服務註冊與發現

前言 我個人覺得,中介軟體的部署與使用是非常難記憶的;也就是說,如果兩次使用中介軟體的時間間隔比較長,那基本上等於要重新學習使用。

consul單機模式ACL設定

最近專案提測被掃描出consul的安全問題,需要通過consulacl設定來避免,組內用的單機版的cansul,參照了網上的一些部落格和官方文件一直沒有設定成功,設定完以後springboot服務一直起不來。幾乎快要放棄的時候發現

ACL控制

目錄ACL訪問控制概述acl基本使用設定acl許可權檢視acl許可權移除acl許可權檢視acl幫助ACL高階特性MASKACL高階特性DefaultACL訪問控制實踐案例

微服務學習實戰筆記 4.4-系統部署篇-k8s部署Consul叢集

master節點節點執行如下命令: 1、建立Service vi consul-service.yaml   內容如下: apiVersion: v1

實時電商數倉(五)之資料採集(四)搭建日誌採集系統的叢集(三)搭建日誌採集叢集---(叢集部署)

3.1 Nginx 入門 3.1.1簡介 Nginx(\"engine x\") 是一個高效能的HTTP和反向代理伺服器,特點是佔有記憶體少,併發能力強,事實上nginx的併發能力確實在同類型的網頁伺服器中表現較好,中國大陸使用nginx網站使用者有:

Istio多叢集(1)-多控制

Istio多叢集(1)-多控制面 參考自官方文件。 目錄Istio多叢集(1)-多控制面複製控制面要求在每個叢集中部署Istio控制面配置DNS配置應用服務配置用例服務解除安裝FAQ

Unity學習 —影音視訊播放中控系統(適用於展廳、影音廳),UDP控制切換!

Unity — 影音視訊播放中控系統(適用於展廳、影音廳等等),帶有關機、音量控制、UDP控制切換!

使用docker部署Consul叢集

docker pull consuldocker rm $(docker ps -a -q) echo -e \"\\033[33m 是否啟動consul\\033[0m\" echo \"y 是\"

微服務架構-Consul叢集、Ocelot服務和Nginx閘道器服務

https://www.cnblogs.com/PatrickLiu/category/1872950.html 微服務架構Consul叢集、Ocelot閘道器和Nginx版本實現

廬山真面目之六微服務架構Consul叢集、Ocelot閘道器叢集和Nginx版本實現

廬山真面目之六微服務架構Consul叢集、Ocelot閘道器叢集和Nginx版本實現 一、簡介

虛擬機器k8s叢集解除安裝、搭建記錄

一、解除安裝    kubeadm reset -f modprobe -r ipip lsmod rm -rf ~/.kube/ rm -rf /etc/kubernetes/ rm -rf /etc/systemd/system/kubelet.service.d

阿里雲使用Docker部署單Kong+多Consul叢集,圖文結合

作業系統 作業系統:Centos7.6 Consul叢集地址(阿里雲按量計費): IP Node 外網IP 172.18.221.120

h3c使用acl控制ftp訪問_HBase訪問控制標籤(ACL

技術標籤:h3c使用acl控制ftp訪問 HBase中的ACL基於使用者的成員身份或組中的排除,以及給定組訪問給定資源的許可權。ACL是作為一個稱為AccessController的協處理器實現的。

筆記6:zookeeper偽叢集模式雲伺服器搭建

技術標籤:筆記zookeeperzookeeper clientPort端⼝ 如果在1臺機器上部署多個server,那麼每臺機器都要不同的 clientPort,⽐如 server1是2181,server2 是2182,server3是2183dataDir和dataLogDir dataDir和data

docker compose跨主機部署consul叢集/單機

簡單明瞭 直接開幹 。 原理百度下 #此次部署 雙客戶端 三服務端 一、確定伺服器資訊 有無相關埠衝突 。docker服務是否存在