问题一:想请教一下,Nacos的这个CVE-2021-29441在哪个Nacos版本有修复了呢?
想请教一下,Nacos的这个CVE-2021-29441在哪个Nacos版本有修复了呢?试过2.2.3还是可以绕过去。 
参考回答:
Nacos的CVE-2021-29441漏洞是由于处理服务端间请求时,存在过于简单的判断条件,使得攻击者可以模拟服务端间请求来绕过权限认证,从而获取敏感信息。根据Nacos的官方信息,这个漏洞存在于1.2.0至1.4.0版本的自行搭建集群中,以及1.4.1及以上版本但未开启服务端身份识别功能的集群中。
对于该漏洞的修复,Nacos官方推荐用户升级到最新版本。在您的情况下,如果当前使用的是1.2.1版本,建议您升级到最新的2.0.3版本或以上。然而,需要注意的是,即使升级到了2.0.3或更高的版本,也可能存在其他未被发现的安全风险。因此,除了定期更新和打补丁外,还需要定期进行安全检查和漏洞扫描,以确保系统的安全性。
关于本问题的更多回答可点击原文查看:https://developer.aliyun.com/ask/587940
问题二:Nacos maven 引用了哪些包?
Nacos maven 引用了哪些包?ribbon-loadbalancer包看看有没有,看起来是服务没有转换为ip地址,可能是缺ribbon-loadbalancer
参考回答:
Nacos自身并不直接依赖于Ribbon的ribbon-loadbalancer包,因为Nacos实现了独立的服务发现和负载均衡机制,可以直接与Nacos Server交互来进行服务发现。在Spring Cloud项目中,早期版本确实会配合Ribbon作为客户端负载均衡器来实现服务间的调用和负载均衡。
然而,自Spring Cloud引入Spring Cloud LoadBalancer以后,Ribbon在很多场景下不再是必需的依赖项。在Spring Cloud Alibaba项目中,可以使用spring-cloud-starter-alibaba-nacos-discovery来集成Nacos作为服务发现组件,并利用spring-cloud-loadbalancer替代Ribbon实现负载均衡功能。
如果你的应用正在使用Spring Cloud并且想要利用Nacos进行服务发现和负载均衡,你不需要直接引入ribbon-loadbalancer包,而是应该引入以下依赖:
<dependency> <groupId>com.alibaba.cloud</groupId> <artifactId>spring-cloud-starter-alibaba-nacos-discovery</artifactId> <!-- 根据你的Spring Cloud Alibaba版本选择合适的版本号 --> <version>{your_version}</version> </dependency> <!-- 如果使用Spring Cloud LoadBalancer替代Ribbon --> <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-loadbalancer</artifactId> <!-- 根据你的Spring Cloud版本选择合适的版本号 --> <version>{your_version}</version> </dependency>
请注意,这里的{your_version}需要替换成适用你项目的Spring Cloud和Spring Cloud Alibaba的版本号。在Spring Cloud Alibaba 2.x版本以后,推荐使用spring-cloud-starter-loadbalancer及其配套组件来实现负载均衡功能。
关于本问题的更多回答可点击原文查看:https://developer.aliyun.com/ask/587939
问题三:Nacos这个错在调用的时候出现,怎么解决?
Nacos这个错在调用的时候出现,怎么解决? 
参考回答:
忘记在这里面加入商品模块了 
关于本问题的更多回答可点击原文查看:https://developer.aliyun.com/ask/587937
问题四:nacos双写怎么关闭?
nacos双写怎么关闭? 
参考回答:
关闭Nacos的双写(double-write)功能,可以通过调用Nacos提供的API来临时关闭
临时关闭双写功能:
通过API调用的方式临时关闭双写开关,可以执行如下HTTP请求:
curl -X PUT 'http://<nacos-server-ip>:<port>/nacos/v1/ns/operator/switches?entry=doubleWriteEnabled&value=false'
请将 <nacos-server-ip> 和 <port> 替换为实际Nacos服务器的IP地址和端口号。
关于本问题的更多回答可点击原文查看:https://developer.aliyun.com/ask/587936
问题五:有遇到nacos滚动重启时候,服务实例大量下线的吗?
有遇到nacos滚动重启时候,服务实例大量下线的吗?
参考回答:
在Nacos进行滚动重启时,服务实例大量下线的情况确实是可能发生的一个问题。这种情况可能源于以下几个方面:
- 心跳机制:Nacos服务端通过心跳检测来判断客户端(服务实例)是否存活。在滚动重启期间,如果服务实例重启的速度超过了心跳保持有效的时间间隔,服务端可能会因为收不到心跳而认为这些实例已经下线并从服务列表中移除。
- 客户端重启逻辑:服务实例在重启过程中,如果未实现优雅退出逻辑,即在关闭前未向Nacos服务端发送下线通知,会导致服务端依然保留原有的实例信息,而在实例重启过程中,新启动的实例还未完成注册,这就形成了短暂的服务实例空窗期,表现为服务不可用。
- 网络波动:在重启过程中,网络状况不佳也可能导致心跳包丢失,进而使得服务实例被误判为下线。
- Kubernetes滚动更新:在k8s环境下,如果使用滚动更新策略升级服务,旧的Pod实例在停止前如果没有主动通知Nacos取消注册,新的Pod实例又尚未注册完成,就会出现服务实例数量锐减的现象。
为了减少这种情况的发生,通常需要在服务实例的启动和关闭脚本中加入合理的Nacos注册和注销逻辑,确保在实例重启或升级过程中能够做到平滑过渡,即在实例准备关闭前先向Nacos发出下线请求,然后等待新实例完全启动并注册至Nacos之后,再关闭旧实例。此外,还可以适当调整Nacos的心跳间隔和超时时间,使之与服务实例的重启周期相匹配,以减少误判的可能性。
关于本问题的更多回答可点击原文查看:https://developer.aliyun.com/ask/587935
