consul开启acl之后多dc访问相同服务的方式

项目背景:

项目中目前用到了多数据中心的consul,并且生产环境处于安全原因的考虑要开启acl。多数据中心代表的是多机房,不同的机房搭建各自的consul集群。然后2个集群在通过join wan关联上。

虽然是不通的机房,但是其实为了满足高可用,2个机房其实是部署相同的服务,比如说服务jetty。目前在2个机房都存在,这样就涉及到了跨机房(跨dc)访问了。

面临的问题

如果单纯不开启acl的话,跨机房访问很简单,只要在请求上加上&dc=dc2这样既可,而且这些参数springcloud sdk也是支持的。但是如果开启了acl之后,情况就不同了。

有以下两种情况:

  • 2个dc使用2个token
    2个dc是独立的,都是自己使用自己的acl配置。虽然acl配置时可以选择all datacenter或者是global,但是测试时发现dc2用第一个dc的token访问的时候还是会提示acl not found。


    image.png
image.png

下面就开始实践一下,这两种方式来实现带acl的多dc访问方式

2个dc使用1个token方式

找一台腾讯云服务器,按照官网说明进行配置,因为只有一台,所以需要把端口避开。

dc1的配置如下,这里需要注意配置中要有primary_datacenter,这个代表它是主dc

[root@VM_0_13_centos consul]# cat dc1.json 
{
    "bootstrap_expect": 1,
    "server": true,
    "data_dir": "dc1",
    "node_name": "node1",
    "client_addr": "0.0.0.0",
    "bind_addr": "172.21.0.13",
    "ports": {
                "http": 18081,
                "dns": 18082,
                "serf_lan": 18083,
                "serf_wan": 18084,
                "server": 18085
    },
        "datacenter": "primary_dc",
        "primary_datacenter": "primary_dc",
        "acl": {
                "enabled": true,
                "default_policy": "deny",
                "down_policy": "extend-cache",
                "enable_token_persistence": true,
                "tokens": {
                        "master":"cd76a0f7-5535-40cc-8696-073462acc6c7",
                        "agent":"deaa315d-98c5-b9f6-6519-4c8f6574a551"
                }
        },
    "pid_file": "./consul.pid"
}

启动dc1

./consul agent -config-file=dc1.json -ui

开始配置dc2,dc2不需要指定token了。因为开启acl replication模式后dc2用的都是dc1的token,而且dc2也不要忘记配置primary_datacenter参数为dc1

{
    "bootstrap_expect": 1,
    "server": true,
    "data_dir": "dc2",
    "node_name": "node2",
    "client_addr": "0.0.0.0",
    "bind_addr": "172.21.0.13",
    "ports": {
                "http": 18091,
                "dns": 18092,
                "serf_lan": 18093,
                "serf_wan": 18094,
                "server": 18095
    },
        "datacenter": "second_dc",
        "primary_datacenter": "primary_dc",
        "acl": {
                "enabled": true,
                "default_policy": "deny",
                "down_policy": "extend-cache",
                "enable_token_persistence": true,
                "enable_token_replication": true
        },
    "pid_file": "./consul.pid"
}

启动dc2

./consul agent -config-file=dc2.json -ui

访问dc2的接口查看是否replication设置成功,就看ReplicationType是否是tokens就行了,只能查dc2,查dc1不显示

[root@VM_0_13_centos consul]# curl http://localhost:18091/v1/acl/replication?pretty
{
    "Enabled": true,
    "Running": true,
    "SourceDatacenter": "primary_dc",
    "ReplicationType": "tokens",
    "ReplicatedIndex": 0,
    "ReplicatedRoleIndex": 0,
    "ReplicatedTokenIndex": 0,
    "LastSuccess": "0001-01-01T00:00:00Z",
    "LastError": "0001-01-01T00:00:00Z"
}

登录ui页面就能看到dc1和dc2设置的token是一样的


image.png

image.png

自己验证时还发现几个小问题

  • dc1(主dc)添加policy和token都没有问题,dc2(从dc)添加policy后在页面看不到,但是也能添加成功,在dc1页面能看到
  • dc2(token)可以添加token,添加完dc1里面也能看到,但是由于dc2的policy是空的,所以dc2无法选择policy,也就说明这个添加也没什么用
  • dc1如果坏了,dc2的acl菜单打不开(500报错),但是dc2现有的token还是能够正常使用,相当于只是acl配置无法使用

跨dc访问服务方式如下

# 18081代表dc1 访问自己dc的服务,dc参数也可以不加
curl "127.0.0.1:18081/v1/catalog/service/jetty?dc=primary_dc&token=17bc5403-23e8-b09f-a3ef-799f9325e9c4"
or
curl "127.0.0.1:18081/v1/catalog/service/jetty?token=17bc5403-23e8-b09f-a3ef-799f9325e9c4"
# 返回报文ServiceAddress=127.0.0.1代表dc1注册的服务
[
    {
        "ID": "2abbfa79-3102-a79e-837e-8345a7460017",
        "Node": "node1",
        "Address": "172.21.0.13",
        "Datacenter": "primary_dc",
        "TaggedAddresses": {
            "lan": "172.21.0.13",
            "wan": "172.21.0.13"
        },
        "NodeMeta": {
            "consul-network-segment": ""
        },
        "ServiceKind": "",
        "ServiceID": "jetty",
        "ServiceName": "jetty",
        "ServiceTags": [
            "dev"
        ],
        "ServiceAddress": "127.0.0.1",
        "ServiceWeights": {
            "Passing": 1,
            "Warning": 1
        },
        "ServiceMeta": {},
        "ServicePort": 10035,
        "ServiceEnableTagOverride": false,
        "ServiceProxyDestination": "",
        "ServiceProxy": {},
        "ServiceConnect": {},
        "CreateIndex": 120,
        "ModifyIndex": 120
    }
]

# dc1访问dc2的服务,直接访问,token不用换
curl "127.0.0.1:18081/v1/catalog/service/jetty?dc=second_dc&token=17bc5403-23e8-b09f-a3ef-799f9325e9c4"
# 返回报文ServiceAddress=127.0.0.2代表dc2注册的服务
[
    {
        "ID": "3f5f8948-ab09-cde6-8aa0-9a4ccdab1245",
        "Node": "node2",
        "Address": "172.21.0.13",
        "Datacenter": "second_dc",
        "TaggedAddresses": {
            "lan": "172.21.0.13",
            "wan": "172.21.0.13"
        },
        "NodeMeta": {
            "consul-network-segment": ""
        },
        "ServiceKind": "",
        "ServiceID": "jetty",
        "ServiceName": "jetty",
        "ServiceTags": [
            "dev"
        ],
        "ServiceAddress": "127.0.0.2",
        "ServiceWeights": {
            "Passing": 1,
            "Warning": 1
        },
        "ServiceMeta": {},
        "ServicePort": 10035,
        "ServiceEnableTagOverride": false,
        "ServiceProxyDestination": "",
        "ServiceProxy": {},
        "ServiceConnect": {},
        "CreateIndex": 5,
        "ModifyIndex": 5
    }
]

2个dc使用2个token方式

在上面环境的基础上在增加dc3,由于dc3没有配置primary_datacenter,所以他是普通的dc模式,不是replication模式

[root@VM_0_13_centos consul]# cat  dc3.json 
{
    "bootstrap_expect": 1,
    "server": true,
    "data_dir": "dc3",
    "node_name": "node3",
    "client_addr": "0.0.0.0",
    "bind_addr": "172.21.0.13",
    "ports": {
                "http": 18096,
                "dns": 28092,
                "serf_lan": 28093,
                "serf_wan": 28094,
                "server": 28095
    },
        "datacenter": "third_dc",
        "acl": {
                "enabled": true,
                "default_policy": "deny",
                "down_policy": "extend-cache",
                "enable_token_persistence": true,
                "enable_token_replication": true,
                "tokens": {
                        "master":"cd76a0f7-5535-40cc-8696-073462acc6c7",
                        "agent":"deaa315d-98c5-b9f6-6519-4c8f6574a551"
                } 
        },
    "pid_file": "./consul.pid"
}

启动dc3

./consul agent -config-file=dc3.json -ui

看dc3的ui页面,token是独立的


image.png

用dc1访问dc3的服务需要加上dc3的token,不能用dc1的token

# dc1用自己的token无法访问dc3的服务
[root@VM_0_13_centos consul]# 
curl "127.0.0.1:18081/v1/catalog/service/jetty?dc=third_dc&token=17bc5403-23e8-b09f-a3ef-799f9325e9c4&pretty"
rpc error making call: ACL not found

#dc1将token换成dc3的token就可以访问,ServiceAddress=127.0.0.3表示是dc3的服务
[root@VM_0_13_centos consul]# curl "127.0.0.1:18081/v1/catalog/service/jetty?dc=third_dc&token=f49c40fb-9bb2-0da3-d158-3abcbc4339bc&pretty"
[
    {
        "ID": "5e118452-e8dc-b66f-2ba0-dd3dcacd609a",
        "Node": "node3",
        "Address": "172.21.0.13",
        "Datacenter": "third_dc",
        "TaggedAddresses": {
            "lan": "172.21.0.13",
            "wan": "172.21.0.13"
        },
        "NodeMeta": {
            "consul-network-segment": ""
        },
        "ServiceKind": "",
        "ServiceID": "jetty",
        "ServiceName": "jetty",
        "ServiceTags": [
            "dev"
        ],
        "ServiceAddress": "127.0.0.3",
        "ServiceWeights": {
            "Passing": 1,
            "Warning": 1
        },
        "ServiceMeta": {},
        "ServicePort": 10035,
        "ServiceEnableTagOverride": false,
        "ServiceProxyDestination": "",
        "ServiceProxy": {},
        "ServiceConnect": {},
        "CreateIndex": 15,
        "ModifyIndex": 15
    }
]

具体项目可以根据实际的情况进行选择使用哪种方式

有问题请指正,欢迎交流

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 人面猴
    序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 204,732评论 6 478
  • 死咒
    序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 87,496评论 2 381
  • 救了他两次的神仙让他今天三更去死
    文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 151,264评论 0 338
  • 道士缉凶录:失踪的卖姜人
    文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,807评论 1 277
  • 港岛之恋(遗憾婚礼)
    正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,806评论 5 368
  • 恶毒庶女顶嫁案:这布局不是一般人想出来的
    文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,675评论 1 281
  • 城市分裂传说
    那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,029评论 3 399
  • 双鸳鸯连环套:你想象不到人心有多黑
    文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,683评论 0 258
  • 万荣杀人案实录
    序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 41,704评论 1 299
  • 护林员之死
    正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,666评论 2 321
  • 白月光启示录
    正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,773评论 1 332
  • 活死人
    序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,413评论 4 321
  • 日本核电站爆炸内幕
    正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,016评论 3 307
  • 男人毒药:我在死后第九天来索命
    文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,978评论 0 19
  • 一桩弑父案,背后竟有这般阴谋
    文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,204评论 1 260
  • 情欲美人皮
    我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,083评论 2 350
  • 代替公主和亲
    正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,503评论 2 343

推荐阅读更多精彩内容