日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

本文從consul提供的ACL訪問控制策略角度出發(fā)，詳細(xì)介紹通過在應(yīng)用層使用標(biāo)簽前綴的方式，分配訪問控制權(quán)限，實現(xiàn)基于標(biāo)簽隔離的社區(qū)版consul多租戶隔離，從而作為公共注冊中心。

創(chuàng)新互聯(lián)主營鼓樓網(wǎng)站建設(shè)的網(wǎng)絡(luò)公司,主營網(wǎng)站建設(shè)方案,重慶APP軟件開發(fā),鼓樓h5小程序定制開發(fā)搭建,鼓樓網(wǎng)站營銷推廣歡迎鼓樓等地區(qū)企業(yè)咨詢

一、Consul產(chǎn)品介紹

Consul作為一款開源的組件工具，其使用GO語言開發(fā)，實現(xiàn)分布式系統(tǒng)的服務(wù)發(fā)現(xiàn)與配置，主要提供分布式服務(wù)注冊和發(fā)現(xiàn)、健康檢查、Key/Value數(shù)據(jù)存儲、多數(shù)據(jù)中心的高可用性等能力。

【服務(wù)注冊與發(fā)現(xiàn)】

consul client(客戶端)使用HTTP或DNS的方式將服務(wù)注冊到consul server(服務(wù)端)注冊中心中。服務(wù)請求方通過consul server發(fā)現(xiàn)他所依賴的服務(wù)。

【健康檢查】

consul client提供對應(yīng)用程序健康檢查機制，并將健康檢查狀態(tài)上報給consul server集群，用來監(jiān)控集群節(jié)點的運行狀況，并及時下線不健康的節(jié)點。

【Key/Value數(shù)據(jù)存儲】

Consul提供K/V的存儲功能，應(yīng)用程序可以根據(jù)需要使用consul層級的Key/Value存儲，比如用來保存動態(tài)配置，協(xié)調(diào)服務(wù)等等。

【多數(shù)據(jù)中心】

Consul支持多個數(shù)據(jù)中心，滿足用戶的多中心部署模式和災(zāi)備需求。

二、Consul基本架構(gòu)

Consul是一個分布式，高可用的系統(tǒng)，在consul集群中的每個節(jié)點都運行一個agent，agent可以以客戶端(client)模式或服務(wù)端(server)模式運行。

圖1 Consul基本架構(gòu)圖

【數(shù)據(jù)中心(DataCenter)】

在consul數(shù)據(jù)中心中，集群中節(jié)點分為server節(jié)點和client節(jié)點，為了保證可用性和高性能，通常一個數(shù)據(jù)中心內(nèi)為3-5個服務(wù)器。

【客戶端模式(Client)】

客戶端節(jié)點一般和應(yīng)用部署在一起，負(fù)責(zé)注冊服務(wù)、運行健康檢查并將相關(guān)RPC轉(zhuǎn)發(fā)給服務(wù)器。在微服務(wù)應(yīng)用中，本地應(yīng)用只訪問client，由client和server進(jìn)行通訊，實現(xiàn)集群的服務(wù)發(fā)現(xiàn)。

【服務(wù)器模式(Server)】

服務(wù)端節(jié)點維護consul集群的狀態(tài)信息，并進(jìn)行持久化，server節(jié)點存儲公共信息，包括服務(wù)信息，K/V數(shù)據(jù)等。consul集群中的Server節(jié)點參與選舉，響應(yīng)RPC查詢，轉(zhuǎn)發(fā)信息給Leader(領(lǐng)導(dǎo)者)，Leader除了包含server的功能外，還負(fù)責(zé)同步數(shù)據(jù)到各個server，每一個集群中只能有一個Leader，保證集群內(nèi)數(shù)據(jù)一致。

三、Consul多租戶隔離

在使用consul作為注冊及配置中心的過程中，多個微服務(wù)架構(gòu)系統(tǒng)需要每個系統(tǒng)分別部署一套consul集群，運維成本高且存在資源浪費，于是將consul服務(wù)作為PaaS能力提供，租戶制使用便成為一種美好愿望。

社區(qū)版本不支持namespace隔離特性，多個系統(tǒng)共用一個注冊和配置中心，需要防止出現(xiàn)寫時配置相互覆蓋，讀時信息泄露等問題。因此，各系統(tǒng)在進(jìn)行服務(wù)發(fā)現(xiàn)獲取服務(wù)列表和配置信息修改等操作時，只能對本系統(tǒng)進(jìn)行訪問和操作，不能對其他系統(tǒng)的服務(wù)進(jìn)行訪問。

Consul在應(yīng)用層唯一的鑒權(quán)能力是ACL機制，能否借此可以實現(xiàn)多租戶訪問權(quán)限的控制目的?

1.ACL機制

Consuls支持AccessControlList(ACL-即訪問控制列表)，用于保護對UI、API、CLI、服務(wù)和代理通信的訪問。通過開啟consul集群ACL機制，對consul執(zhí)行任何的操作，需要得到對應(yīng)的令牌，即ACLToken，以此來實現(xiàn)對consul集群agent、服務(wù)注冊和發(fā)現(xiàn)、K/V數(shù)據(jù)的訪問權(quán)限控制。

ACL的核心是以token作為身份認(rèn)證，將一系列規(guī)則(rule)組成策略(policy)，然后將一個或多個策略與令牌token進(jìn)行相關(guān)聯(lián)。在應(yīng)用請求時，在其HTTP頭中添加X-Consul-Token為分配的token，應(yīng)用的服務(wù)注冊、發(fā)現(xiàn)和配置更新等操作，server會根據(jù)token策略權(quán)限返回相應(yīng)的服務(wù)內(nèi)容以及校驗是否有對應(yīng)的配置資源讀寫權(quán)限。

圖2 ACL機制運行核心

配置步驟：

(1)首先在consulserver集群的啟動參數(shù)中添加配置，開啟集群對ACL的校驗。

{

...

acl= {

 enabled= true，

 default_policy= "deny"，

 enable_token_persistence= true }

}

(2)然后再創(chuàng)建policy，每個policy是由多個rule組成。policy格式為：

#rule:節(jié)點前綴為空，代表所有的節(jié)點都使用策略；

node_prefix""{  

policy=’write/read/deny’

}

#rule:服務(wù)前綴為空，代表所有的服務(wù)都使用策略；

service_prefix""{

 policy=’write/read/deny’’

}

#rule:key前綴為空，代表所有對所有key都使用策略；

key_prefix""{

policy=’write/read/deny’’

}

(3)最后創(chuàng)建token，并和policy綁定。

2.租戶隔離

Rule是以關(guān)鍵字前綴作為過濾條件，這樣可以統(tǒng)一分配權(quán)限。因此，可以每個租戶的節(jié)點名稱，服務(wù)名稱，配置名稱統(tǒng)一以租戶名稱為前置，然后每個租戶分配一個token。在配置rule時，都只以租戶名稱作為前綴。這樣就可以實現(xiàn)租戶間資源隔離。

例如租戶A的名稱是:“SystemA”，租戶A的相關(guān)資源命名都以SystemA為前綴：

• 節(jié)點名稱：SystemA-ip，如SystemA-192.168.0.108
• 服務(wù)名稱：SystemA-微服務(wù)名稱，如SystemA-UserService
• 配置路徑：config/SystemA-配置名稱，如config/SystemA-public，config/SystemA-UserService

租戶A的token綁定的policy策略為(默認(rèn)策略為deny)：

#代表SystemA前綴節(jié)點都使用該策略；

node_prefix"SystemA" { 

policy="write"

}

#代表代表SystemA服務(wù)都使用該策略；

service_prefix"SystemA" {

 policy="write"

}

#代表以config/SystemA開頭的key都使用該策略；

key_prefix"config/SystemA" {

policy="write"

}

以此policy策略關(guān)聯(lián)的token，其應(yīng)用只能注冊以“SystemA”開頭的節(jié)點和服務(wù)，以及發(fā)現(xiàn)以“SystemA”標(biāo)簽為前綴的服務(wù)，并對“config/SystemA”為開頭的key的配置信息進(jìn)行編輯和修改。

四、總結(jié)

通過以統(tǒng)一租戶名稱為前置的資源命名管理+Consul產(chǎn)品ACL的方式，可以達(dá)到租戶間資源訪問隔離的效果。通過這種手段，可以將consul產(chǎn)品作為PaaS能力提供服務(wù)，豐富云原生生態(tài)。

當(dāng)前名稱：聊聊基于Consul建設(shè)公共注冊中心
文章來源：http://www.5511xx.com/article/dpoiphs.html