(转)如何在云上安全高效地存放您的配置 - 代码示例

概述

在之前文章 如何在阿里云上安全的存放您的配置 - 续 中,我们讲述了云上安全存放配置的方法。基于前文原理,本文将以代码示例方式讲解如何基于配置中心产品 ACM 将应用配置(如 数据库连接配置)从应用程序代码中解耦,从而达到以下目的:

  • 安全合规:应用程序和生产环境上将不需要发布和持久化任何程序敏感信息;
  • 敏捷发布:数据库连接串配置修改动态生效,不需要程序重新发布甚至重启。

示例程序架构和准备工作

文章中的示例将分为以下几个步骤:

  • 配置 ACM 和 RAM,设置 ECS RAM Role,并进行 ACM 授权,来授权 ECS 上的应用免 AK/SK(即 <span data-type="color" style="color:rgb(38, 38, 38)"><span data-type="background" style="background-color:rgb(255, 255, 255)">AccessKey/SecretKey</span></span>) 来调用 ACM;
  • 读取配置程序编写:使用 ACM Java SDK 动态读取配置内容,来进行数据库配置。
    • 其中,程序中不含任何敏感配置,如数据库连接串,阿里云 AK/SK,等;
    • 数据库连接串在 ACM 上动态刷新,应用不停机。

程序代码架构如下图所示:

[图片上传失败...(image-73da94-1528168691851)]

开始前,用户应准备好:

  • 在阿里云上购买 ECS;
  • 在阿里云上开通 ACM, RAM 等免费服务产品;
  • 准备好数据库,可在阿里云上开通数据库或在 ECS 上自行搭建,数据库里面可准备好一张 user 表,并准备若干记录;
  • 准备好可访问数据库的 Java 应用程序 (或从这里下载完整代码示例下载)。

配置ACM和RAM

该章节分为两个部分:

  • 在 ACM 中配置相关敏感信息,以及;
  • 通过 RAM 设置用户的 ECS 的 RAM Role。

在 ACM 控制台中创建配置

代码示例所需数据库连接的配置

  • Data ID:
    com.alibaba.cloud.acm:jdbc-sample.properties
  • Group:非必选,在“更多高级选项”中,默认值为“DEFAULT_GROUP”
    DEFAULT_GROUP
  • 配置内容, 可根据实际情况进行配置:
    jdbc.url=xxx
    jdbc.username=xxx
    jdbc.password=xxx

[图片上传失败...(image-2fe77e-1528168691851)]

配置 ECS RAM Role

在ACM程序访问中,用户可设置 AccessKey、SecretKey 属性的方式来访问 ACM 产品,但是在本文中推荐通过“ECS 实例角色”的方式来访问ACM。该方式自动获取临时凭证,提高安全性和降低运维成本,凭证周期由 ACM SDK 自动维护,应用运行时只需设置 JVM 参数“-Dram.role.name=$ramRoleName”,$ramRoleName 为授予该 ECS 的 RAM 角色名称,如 ECS-RAM。运行命令如下:

java -jar -Dram.role.name=ECS-RAM sample-1.0-SNAPSHOT-jar-with-dependencies.jar

关于如何设置 ECS 实例角色,请参考“ECS 实例角色”文章。为解决文章篇幅,本文不赘述了。

读取配置程序编写

该章节分为三个部分:

  • 在 ACM 中初始化 ACM 连接,用户仅需填写配置信息,无需填写 AK/SK 敏感信息;
  • 读取 ACM 配置,并监听配置变化;
  • 相关业务代码编写,根据需求建立数据库连接并查询数据。

在程序中初始化 ACM,并读取相关配置

  • namespace:命名空间 ID,在控制台“命名空间详情”的“命名空间ID”处可以获取到
  • endpoint: ACM 连接域,在控制台“命名空间详情”的“End Point”处可以获取到
private void initACM() {
    Properties properties = new Properties();
    String namespace = "1ca01ca0-11b0-1e01-0df1-d1010101bc10";
    String endpoint = "acm.aliyun.com";
    properties.put("endpoint", endpoint);
    properties.put("namespace", namespace);
    ConfigService.init(properties);
}

通过 ACM 获取配置并监听配置变化

获取数据库连接配置的内容,并且添加配置监听器。当数据库连接配置的内容需要变更,在 ACM 控制台修改后,程序实时接收到新的内容,新的数据库连接也实时生效,不中断程序的运行。

  • dataId:刚刚新建配置时 Data ID 所填写的值
  • group:刚刚新建配置时 Group 所填写的值,默认为“DEFAULT_GROUP”,隐藏在“更多高级选项”中
private void initJDBCProperties() throws ConfigException {
    String dataId = "com.alibaba.cloud.acm:jdbc-sample.properties";
    String group = "DEFAULT_GROUP";
    properties = ConfigService.getConfig2Properties(dataId, group, 3000);
    // 添加配置监听
    ConfigService.addListener(dataId, group, new ConfigChangeListener() {
        @Override
        public void receiveConfigInfo(String content) {
            Properties properties = new Properties();
            try {
                properties.load(new StringReader(content));
            } catch (IOException e) {
                LOGGER.error("addListener", e);
            }
            SampleApp.this.properties = properties;
        }
    });
}

建立数据库连接并查询数据

从 ACM 获取到的连接数据库所需的地址、用户名、密码,通过 MySQL JDBC 驱动包“mysql-connector-java”与 MySQL 服务建立连接。接着,再查询“user”表的总记录数,返回给函数调用者。

注: 程序中使用的连接信息为ACM中保存的最新的数据库连接信息,连接信息通过上面的ACM的监听配置程序进行动态刷新,从而保证为最新。

private int count() {
    String url = properties.getProperty("jdbc.url");
    String username = properties.getProperty("jdbc.username");
    String password = properties.getProperty("jdbc.password");
    Connection connection = null;
    Statement statement = null;
    ResultSet resultSet = null;
    try {
        connection = DriverManager.getConnection(url, username, password);
        statement = connection.createStatement();
        resultSet = statement.executeQuery("select count(*) from `user`");
        if (resultSet.next()) {
            return resultSet.getInt(1);
        }
    } catch (SQLException e) {
        LOGGER.error("count", e);
    } finally {
        close(connection, statement, resultSet);
    }
    return 0;
}

测试运行

如果你按照本片文章前面工作,完成了 ECS RAM Role 设置和授权以后,可在不设置任何 AK/SK 情况下,将程序实例打包成可执行 jar 后,上传到对应的 ECS 环境上运行即可。当程序运行时,如 如何在阿里云上安全的存放您的配置 - 续 文章所描述的,程序将自动获取临时凭证访问 ACM,凭证周期由 ACM SDK 自动维护。应用运行时只需设置 JVM 参数“-Dram.role.name=$ramRoleName”,$ramRoleName 为授予该 ECS 的 RAM 角色名称,如 ECS-RAM。运行命令如下:

java -jar -Dram.role.name=ECS-RAM sample-1.0-SNAPSHOT-jar-with-dependencies.jar

本代码示例通过 ACM 控制台配置 JDBC 的连接属性,再使用 ACM Java SDK 读取配置内容,与 MySQL 建立连接,查询“用户”数据,最后将结果打印出来,控制台输出内容如下:

总记录数: 9

注:如果是在您自己电脑上或本地测试,需要手动设置 AccessKey、SecretKey 属性,才可以访问 ACM 产品,目前支持三种设置方式,本示例可使用环境变量,如下:

spas_accessKey=xxx 
spas_secretKey=xxx

代码下载

完整代码示例下载

参看文档

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 214,904评论 6 497
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,581评论 3 389
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 160,527评论 0 350
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,463评论 1 288
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,546评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,572评论 1 293
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,582评论 3 414
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,330评论 0 270
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,776评论 1 307
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,087评论 2 330
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,257评论 1 344
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,923评论 5 338
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,571评论 3 322
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,192评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,436评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,145评论 2 366
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,127评论 2 352