Consul ACL访问控制列表配置

本文涉及的产品
云防火墙,500元 1000GB
简介: 简介Consul有多个组件,但是整体上,consul通常作为服务发现工具来使用。Consul主要由以下特点:服务发现健康检查KV存储多数据中心Consul一般与zookeeper,serf,eureka等软件做对比,具体差异可以参考文档这里我主要记录下Consul ACL的配置与使用。

简介

Consul有多个组件,但是整体上,consul通常作为服务发现工具来使用。
Consul主要由以下特点:

  • 服务发现
  • 健康检查
  • KV存储
  • 多数据中心

Consul一般与zookeeper,serf,eureka等软件做对比,具体差异可以参考文档

这里我主要记录下Consul ACL的配置与使用。ACL是Consul用来控制访问API与data的。

过程

  1. 编辑consul server配置文件,保存为acl.json.
    注意:consul配置文件一般为json格式,不要保存为conf后缀。
{
    "acl_datacenter": "dc1",
    "acl_master_token": "p2BE1AtpwPbrxZdC6k+eXA==",
    "acl_default_policy": "deny",
    "acl_down_policy": "extend-cache"
}
  1. 启动server端
consul agent -config-dir=/home/data/consul -server -data-dir=/home/data/consul/ -bind=192.168.8.250 -client=0.0.0.0 -dev 

这个时候加入server的代理如果没有配置ack,则会看到下面的sync失败信息

  ......
    2018/01/10 11:27:46 [ERR] consul: "Catalog.Register" RPC failed to server 192.168.8.250:8300: rpc error making call: Permission denied
    2018/01/10 11:27:46 [WARN] agent: Node info update blocked by ACLs
    2018/01/10 11:27:49 [ERR] consul: "Catalog.Register" RPC failed to server 192.168.8.250:8300: rpc error making call: Permission denied
    2018/01/10 11:27:49 [WARN] agent: Node info update blocked by ACLs
  1. 创建代理的Token。


    img_5cdf5b408112cfcc3e308aca03d09233.png
    请求头部设置
img_f40da9f26f9782749e4614238373725d.png
创建代理Token

3.1 直接使用Curl也可以

curl \
    --request PUT \
    --header "X-Consul-Token: p2BE1AtpwPbrxZdC6k+eXA==" \
    --data \
'{
  "Name": "Agent Token",
  "Type": "client",
  "Rules": "node \"\" { policy = \"write\" } service \"\" { policy = \"read\" }"
}' http://127.0.0.1:8500/v1/acl/create
  1. 在consult server主机上配置第三步获取的agent token。
    首先在server端更新agent-token。

在consul 0.9版本以后,不用在配置文件操作,直接通过API进行设置

头部与上面一样


img_863d58c6cc9b3783aa527d0c2822ae6c.png
设置acl-agent-token
  1. 代理端配置启用acl
{
  "acl_datacenter": "dc1",
  "acl_down_policy": "extend-cache",
  "acl_agent_token": "6cbfdcff-d3e7-4109-9fa8-ba185e8f7b48"
}
  1. 启动agent
consul agent -join=192.168.8.250 -ui -bind=192.168.8.141 -config-dir=/Users/aihe/Desktop/Songshu/conf/consul/consul-client -data-dir=/Users/aihe/Desktop/Songshu/conf/consul/
img_4b39d6bf59b1a3b865b7e740b1c829bc.png
设置界面token
img_07a5efef9ac667a3df806084c6750c5d.png
Consul UI界面

可以在界面进行一些操作。

7。 额外的一些访问控制可参考官方文档

总结

介绍了Consul ACL的基本使用方式。

参考

相关文章
|
9天前
|
Apache 数据安全/隐私保护
HAProxy的高级配置选项-ACL篇之基于源地址访问控制案例
这篇文章介绍了HAProxy的ACL(访问控制列表)功能,特别是如何基于源地址进行访问控制的高级配置选项,并通过实战案例展示了如何配置ACL规则以允许或阻止特定IP地址或IP范围的访问。
32 7
HAProxy的高级配置选项-ACL篇之基于源地址访问控制案例
|
9天前
|
Apache 数据安全/隐私保护
HAProxy的高级配置选项-ACL篇之基于策略的访问控制
这篇文章介绍了HAProxy的高级配置选项,特别是如何使用ACL(访问控制列表)进行基于策略的访问控制,通过实战案例展示了如何配置HAProxy以允许或拒绝来自特定源地址的访问。
33 6
HAProxy的高级配置选项-ACL篇之基于策略的访问控制
|
9天前
|
NoSQL 关系型数据库 MySQL
HAProxy的高级配置选项-haproxy的四层负载及访问控制案例
这篇文章介绍了HAProxy的高级配置选项,特别是如何进行四层负载均衡和基于策略的访问控制。通过实战案例,展示了如何配置HAProxy以实现对特定IP地址的访问控制,以及如何通过四层负载均衡将流量分配到后端的MySQL和Redis服务。
49 6
|
23天前
|
监控 安全 网络安全
防火墙配置与管理技巧深度解析
【8月更文挑战第19天】防火墙的配置与管理是网络安全工作的重中之重。通过明确安全策略、精细的访问控制、日志与监控、更新与维护等配置技巧,以及权限管理、自动化与集成、应急响应计划等管理技巧,可以显著提升防火墙的安全防护能力。然而,网络安全是一个持续的过程,需要不断学习和适应新的威胁和挑战。因此,建议网络安全从业人员保持对新技术和新威胁的关注,不断提升自己的专业技能和应对能力。
|
25天前
|
安全 网络安全 数据安全/隐私保护
手把手教你用eNSP模拟器配置防火墙源NAT
手把手教你用eNSP模拟器配置防火墙源NAT
|
25天前
|
网络安全
如何用HCL模拟器配置防火墙IRF?
如何用HCL模拟器配置防火墙IRF?
|
28天前
|
安全 Linux 数据库
|
27天前
|
网络协议 Ubuntu 安全
在Ubuntu上安装和配置配置服务器防火墙(CSF)的方法
在Ubuntu上安装和配置配置服务器防火墙(CSF)的方法
33 1
|
4月前
|
安全 网络安全 数据安全/隐私保护
【专栏】IT 知识百科:访问控制列表(ACL)是网络安全的关键机制,用于定义和管理网络资源的访问权限
【4月更文挑战第28天】访问控制列表(ACL)是网络安全的关键机制,用于定义和管理网络资源的访问权限。ACL工作原理包括定义规则、匹配规则和执行操作。标准ACL基于源IP过滤,扩展ACL则提供更多筛选条件。时间及用户基础的ACL提供更细化的控制。优点在于增强安全性和精细管理,但管理复杂性和性能影响也是挑战。未来,ACL将趋向智能化和自动化,与更多安全技术结合,以提升网络安全。**
303 0
|
17天前
|
网络安全 数据安全/隐私保护 网络架构
下一篇
DDNS