consul线上安装和权限配置
安装
| 模式 | ip |
|---|---|
| server | 192.168.1.156/192.168.1.157/192.168.1.158 |
| client | 192.168.1.159 |
安装路径:
/home/cube/consul
配置文件(/home/cube/consul/config/config.json):
# 192.168.1.156
{
"bootstrap_expect": 3,
"encrypt": "qV5WVLHhFnwEle8l/Edi/Q==",
"data_dir": "/home/cube/consul/data",
"log_level": "INFO",
"node_name": "prod-192_168_156",
"bind_addr": "192.168.1.156",
"client_addr": "0.0.0.0",
"ui": true,
"server": true,
"enable_script_checks": true,
"addresses": {
"https": "0.0.0.0",
"dns": "0.0.0.0"
}
}
# 192.168.1.157
{
"bootstrap_expect": 3,
"encrypt": "qV5WVLHhFnwEle8l/Edi/Q==",
"data_dir": "/home/cube/consul/data",
"log_level": "INFO",
"node_name": "prod-192_168_1_157",
"bind_addr": "192.168.1.157",
"client_addr": "0.0.0.0",
"ui": true,
"server": true,
"enable_script_checks": true,
"addresses": {
"https": "0.0.0.0",
"dns": "0.0.0.0"
}
}
# 192.168.1.158
{
"bootstrap_expect": 3,
"encrypt": "qV5WVLHhFnwEle8l/Edi/Q==",
"data_dir": "/home/cube/consul/data",
"log_level": "INFO",
"node_name": "prod-192_168_1_158",
"bind_addr": "192.168.1.158",
"client_addr": "0.0.0.0",
"ui": true,
"server": true,
"enable_script_checks": true,
"addresses": {
"https": "0.0.0.0",
"dns": "0.0.0.0"
}
}
# 192.168.1.159
{
"encrypt": "qV5WVLHhFnwEle8l/Edi/Q==",
"data_dir": "/home/cube/consul/data",
"log_level": "INFO",
"node_name": "prod-192_168_1_159",
"bind_addr": "192.168.1.159",
"client_addr": "0.0.0.0",
"ui": true,
"server": false,
"enable_script_checks": true,
"addresses": {
"https": "0.0.0.0",
"dns": "0.0.0.0"
}
}
启动脚本:
nohup ./consul agent -config-dir=/home/cube/consul/config &
注:server关闭一个节点,然后马上加入一个节点,至少保证有两个节点以上才行,当server低于两个的时候,整个注册服务会丢失数据,并且服务处于不可用状态。
关闭脚本最好不要kill进程,执行consul leave 优雅关服务。
权限配置
consul权限配置有个专门的acl模块,有一套比较强大的权限控制规则。
步骤:
1 .在 /home/cube/consul/config/新建 acl_config.json文件,server三个服务器都需要新建,文件内容为:
{
"acl_datacenter": "dc1",
"acl_master_token": "cube0909",
"acl_default_policy": "deny"
}
然后重新加载配置 ./consul reload
2 .生成token,这里生成的token需要依赖上面的acl_master_token子密钥。随机选一台服务器执行:
curl -H "X-Consul-Token: secret" -X PUT -d '{"Name": "dc1", "Type": "management"}' http://127.0.0.1:8500/v1/acl/create?token=cube0909
结果返回一个token
3 .配置生成的token ,后面的验证都是基于这个token来验证的,只是第一次生成token稍微麻烦点,以后的token管理可以在consul manager上管理。
在所有的server端的acl_config.json加上刚刚生成的token,新的acl_config.json为:
{
"acl_datacenter": "dc1",
"acl_master_token": "cube0909",
"acl_default_policy": "deny",
"acl_token": "ca6a320c-f654-5d82-bba7-3df712aee755"
}
4 . 上面只是生成server端的token, 现在需要配置client端的token, 将上面的http请求的type类型改为client,然后重新生成token。
curl -H "X-Consul-Token: secret" -X PUT -d '{"Name": "dc1", "Type": "client"}' http://127.0.0.1:8500/v1/acl/create?token=cube0909
将生成的token,配置在我们的client端的acl_config.json:
{
"acl_datacenter": "dc1",
"acl_token": "a206bb3f-ee8f-4e03-32a4-fd357904ff14"
}
5 . 可以关闭server端的8500端口,开发client端的8500端口。
6 . 访问 consul界面浏览器输入 http://114.112.101.159:8500/ui 会提示 Access Denied ,也就是没有权限访问,在设置界面输入上面的server端token,就能访问。
7 . 程序同样需要配置token才能进行服务的注册与发现。
扩展
当需要对某个服务进行详细的权限控制的时候,我们可以在界面的acl模块,详细配置某个数据中心的访问控制,以及路径下数据的详细控制。目前我们的业务还没有这样的复杂需求,暂时没有详细配置访问控制。
详细配置规则,参考:https://www.consul.io/docs/guides/acl.html#rule-specification
