Fabric CA集群搭建

流程概览

  1. 搭建LDPA
  2. 设置ca配置文件
  3. 创建根CA,中间CA,dockerfile,启动容器
  4. 负载均衡

搭建LDAP

  1. 下载

    wget ftp://ftp.openldap.org/pub/OpenLDAP/openldap-release/openldap-2.4.48.tgz

  2. 解压

    gunzip -c openldap-2.4.48.tgz | tar xvfB -

  3. 初始化、检查配置

    ./configure

    可能会缺少安装包,缺什么安装什么

    • 缺少BerkeleyDB

      1. 确定BerkeleyDB版本

      2. 下载BerkeleyDB version 6.0.20以下

      3. cd 到build_unix

      4. ../dist/configure -prefix=/usr/local/BerkeleyDB

        error: BDB/HDB: BerkeleyDB not available
resolved:
export CPPFLAGS="-I/usr/local/BerkeleyDB/include" && \
export LDFLAGS="-L/usr/local/BerkeleyDB/lib"

error: BerkeleyDB version incompatible with BDB/HDB backends
版本不兼容,换一个更低的版本, openldap-2.4.48只支持6.0版本以下。

      5. make

      6. make install

  4. 配置数据库

    mkdir /usr/local/etc/openldap/slapd.d
/usr/local/sbin/slapadd -n 0 -F /usr/local/etc/openldap/slapd.d -l /usr/local/etc/openldap/slapd.ldif

  5. 启动slapd, slapd是lpad的配置引擎,用于管理lpad的配置

    /usr/local/libexec/slapd -f /usr/local/etc/openldap/slapd.ldif -F /usr/local/etc/openldap/slapd.d

  6. 查看是否运行成功

    ldapsearch -x -b '' -s base '(objectclass=*)' namingContexts
ldapsearch -x -LLL

ldapadd -x -D cn=admin,dc=8lab,dc=com

    ERROR

    • slapadd: could not add entry dn="cn=config" (line=1):

      删除配置目录内的slapd.d文件

    • ldap_bind: Invalid credentials (49)

      slap操作-D后的参数必须与olcRootDN一致

启动CA cluster

  1. CA Server 配置文件(只展示暂时用到的部分)

    registry:
  # Maximum number of times a password/secret can be reused for enrollment
  # (default: -1, which means there is no limit)
  maxenrollments: -1

  # Contains identity information which is used when LDAP is disabled
  identities:
         #服务器用户名
     - name: admin
         #服务器登录密码
       pass: adminpw
       type: client
       affiliation: ""
       attrs:
             // client可以指定的组织单元OU
          hf.Registrar.Roles: "client,peer,orderer,admin"
          hf.Registrar.DelegateRoles: "client,peer,orderer,admin"
          hf.Revoker: true
          hf.IntermediateCA: true
          hf.GenCRL: true
          hf.Registrar.Attributes: "*"
          hf.AffiliationMgr: true
ldap:
   # Enables or disables the LDAP client (default: false)
   # If this is set to true, the "registry" section is ignored.
   enabled: true
   # The URL of the LDAP server
   url: ldap://cn=admin,dc=8lab,dc=com:secret@192.168.1.227:389/dc=8lab,dc=com
   userfilter: (cn=%s)
   attribute:
      names: ["*"]
csr:
   cn: fabric-ca-server
   keyrequest:
     algo: ecdsa
     size: 256
   names:
      - C: CN
        ST: "BeiJing"
        L: "BeiJing"
        O: Org1
        OU: client
   hosts:
     - ca1.org1.com
     - localhost
   ca:
      expiry: 131400h
      pathlength: 1

  1. 启动根CA

    • docker-compose
    version: '2'

services:
    tlsca.org1.example.com:
        container_name: ca.org1.example.com
        image: hyperledger/fabric-ca
        environment:
            - FABRIC_CA_HOME=/etc/hyperledger/fabric-ca-server
            - FABRIC_CA_SERVER_CA_NAME=ca.org1.example.com
            - FABRIC_CA_SERVER_TLS_ENABLED=false
            - FABRIC_CA_SERVER_TLS_CERTFILE=/etc/hyperledger/fabric-ca-server-config/ca.org1.example.com-cert.pem
            - FABRIC_CA_SERVER_TLS_KEYFILE=/etc/hyperledger/fabric-ca-server-config/${CA_PKEY}
            - FABRIC_CA_SERVER_CA_CERTFILE=/etc/hyperledger/fabric-ca-server-config/ca.org1.example.com-cert.pem
            - FABRIC_CA_SERVER_CA_KEYFILE=/etc/hyperledger/fabric-ca-server-config/${CA_PKEY}
        ports:
            - "8054:8054"
        command: sh -c 'fabric-ca-server start --ca.certfile /etc/hyperledger/fabric-ca-server-config/ca.org1.example.com-cert.pem --ca.keyfile /etc/hyperledger/fabric-ca-server-config/${CA_PKEY} -b admin:adminpw -d'
        volumes:
            - ./crypto-config/peerOrganizations/org1.example.com/tlsca/:/etc/hyperledger/fabric-ca-server-config
        networks:
            default:
                aliases:
                    - ca.org1.example.com
        extra_hosts:
            - "ca.org1.example.com:192.168.1.226"

    export CA_PKEY=$(cd $PWD/crypto-config/peerOrganizations/org1.example.com/ca && ls *_sk) && echo $CA_PKEY

docker-compose -f docker-caOrg1.yaml up -d

  1. 创建中间CA

    中间CA的server配置文件中,csr.cn必须为空

    • docker-fcompose
    version: '2'

services:
    ca1.org1.example.com:
        container_name: ca1.org1.example.com
        image: hyperledger/fabric-ca
        environment:
            - FABRIC_CA_HOME=/etc/hyperledger/fabric-ca-server
            - FABRIC_CA_CLIENT_HOME=/root/fabric-ca/clients/admin
            - FABRIC_CA_SERVER_CA_NAME=ca1.org1.example.com
            - FABRIC_CA_SERVER_TLS_ENABLED=false
        ports:
            - "11054:7054"
        command: sh -c 'fabric-ca-server start -b admin:adminpw -u http://admin:adminpw@192.168.1.226:7054'
        volumes:
            - ./ca-config/server/fabric-ca1-server:/etc/hyperledger/fabric-ca-server
            - ./ca-config/client/fabric-ca1-client:/root/fabric-ca/clients/admin
              #- ./crypto-config/peerOrganizations/org1.example.com/ca/:/etc/hyperledger/fabric-ca-server-config
        networks:
            default:
                aliases:
                    - ca1.org1.example.com
        extra_hosts:
            - "ca1.org1.example.com:192.168.1.226"

    • 启动中间CA

      docker-compose -f [file] up -d

安装HAProxy

  1. 下载安装包,并cd到包文件内

  2. make clean && make TARGET=generic

  3. make install

  4. 编辑 vi /etc/haproxy/haproxy.cfg

        log /dev/log    local0
    log /dev/log    local1 notice
    maxconn 4096
    daemon
defaults
    log global
    mode    http
    maxconn 2000
    timeout connect 5000
    timeout client  50000
    timeout server  50000
listen http-in
      bind *:8054
      balance roundrobin
      server server1 [host]
      server server2 [host]

  5. 启动HAProxy

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 人面猴
    序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 200,045评论 5 468
  • 死咒
    序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 84,114评论 2 377
  • 救了他两次的神仙让他今天三更去死
    文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 147,120评论 0 332
  • 道士缉凶录:失踪的卖姜人
    文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 53,902评论 1 272
  • 港岛之恋(遗憾婚礼)
    正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 62,828评论 5 360
  • 恶毒庶女顶嫁案:这布局不是一般人想出来的
    文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,132评论 1 277
  • 城市分裂传说
    那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,590评论 3 390
  • 双鸳鸯连环套:你想象不到人心有多黑
    文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,258评论 0 254
  • 万荣杀人案实录
    序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,408评论 1 294
  • 护林员之死
    正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,335评论 2 317
  • 白月光启示录
    正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,385评论 1 329
  • 活死人
    序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,068评论 3 315
  • 日本核电站爆炸内幕
    正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,660评论 3 303
  • 男人毒药:我在死后第九天来索命
    文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,747评论 0 19
  • 一桩弑父案,背后竟有这般阴谋
    文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 30,967评论 1 255
  • 情欲美人皮
    我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 42,406评论 2 346
  • 代替公主和亲
    正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 41,970评论 2 341

推荐阅读更多精彩内容