consul线上安装和权限配置

Posted 2023-02-25

参考技术A 安装路径：
/home/cube/consul

配置文件 （/home/cube/consul/config/config.json） ：

启动脚本：

注：server关闭一个节点，然后马上加入一个节点，至少保证有两个节点以上才行，当server低于两个的时候，整个注册服务会丢失数据，并且服务处于不可用状态。
关闭脚本最好不要kill进程，执行 consul leave 优雅关服务。

consul权限配置有个专门的acl模块，有一套比较强大的权限控制规则。

1 .在 /home/cube/consul/config/ 新建 acl_config.json 文件，server三个服务器都需要新建，文件内容为：

然后重新加载配置 ./consul reload

2 .生成token,这里生成的token需要依赖上面的acl_master_token子密钥。随机选一台服务器执行：

结果返回一个token

3 .配置生成的token ，后面的验证都是基于这个token来验证的，只是第一次生成token稍微麻烦点，以后的token管理可以在consul manager上管理。
在所有的server端的acl_config.json加上刚刚生成的token,新的acl_config.json为：

4 . 上面只是生成server端的token, 现在需要配置client端的token, 将上面的http请求的type类型改为client,然后重新生成token。

将生成的token，配置在我们的client端的acl_config.json:

5 . 可以关闭server端的8500端口，开发client端的8500端口。

6 . 访问 consul界面浏览器输入 http://114.112.101.159:8500/ui 会提示 Access Denied ,也就是没有权限访问，在设置界面输入上面的server端token，就能访问。

7 . 程序同样需要配置token才能进行服务的注册与发现。

当需要对某个服务进行详细的权限控制的时候，我们可以在界面的acl模块，详细配置某个数据中心的访问控制，以及路径下数据的详细控制。目前我们的业务还没有这样的复杂需求，暂时没有详细配置访问控制。

详细配置规则，参考： https://www.consul.io/docs/guides/acl.html#rule-specification