7,Eureka服务注册中心安全

Posted 2023-04-25

参考技术A 在注册过程中存在一个风险的问题，如果我们的Eureka Server的地址无意暴露在外，那岂不是通过Eureka协议创建的任意服务都可以进行注册到该Eureka Server吗？（当然如果你配置了服务器的安全组并且使用内网的IP地址或者主机名方式对外提供服务注册地址几乎不存在这个问题。）

本章目标
为Eureka Server穿上安全的外套，我的注册中心更安全。

构建项目
依然使用idea开发工具创建一个SpringBoot项目，在依赖的选择界面我们添加Eureka Server、Security相关依赖，pom.xml配置文件如下所示：

开启注册中心安全配置
在添加安全配置之前，我们需要把Eureka Server的配置也一并添加上
配置文件的安全配置
修改application.yml配置文件内容，添加安全配置信息，如下所示：

开启Http Basic 安全认证
旧版本的Spring Security的依赖是可以在配置文件内容直接通security.basic.enabled参数进行开启basic认证，不过目前版本已经被废除，既然这种方式不可行，那我们就使用另外一种方式进行配置，通过继承WebSecurityConfigurerAdapter安全配置类来完成开启认证权限，配置类如下所示：

修改后的api:node@这块的内容，前面是 spring.security.user.name 配置的值，而后面则是spring.security.user.password配置的值，@符号后面才是原本之前的Eureka Server的连接字符串信息。
总结
我们本章为Eureka Server穿上了安全的外套，让它可以更安全，在文章开始的时候我说到了如果使用内网IP或者主机名方式进行服务注册时是几乎不存在安全问题的，如果你想你的服务注册中心更新安全，大可不必考虑你的服务注册方式都可以添加安全认证。

云原生 • PrometheusPrometheus 注册中心Eureka服务发现原理

【云原生 • Prometheus】Prometheus 注册中心Eureka服务发现原理

• 【云原生 • Prometheus】Prometheus 注册中心Eureka服务发现原理
• • 概述
  • Eureka协议实现
  • 总结

【云原生 • Prometheus】Prometheus 注册中心Eureka服务发现原理

概述

Eureka服务发现协议允许使用Eureka Rest API检索出Prometheus需要监控的targets，Prometheus会定时周期性的从Eureka调用Eureka Rest API，并将每个应用实例创建出一个target。

Eureka服务发现协议支持对如下元标签进行relabeling：

• __meta_eureka_app_name: the name of the app
• __meta_eureka_app_instance_id: the ID of the app instance
• __meta_eureka_app_instance_hostname: the hostname of the instance
• __meta_eureka_app_instance_homepage_url: the homepage url of the app instance
• __meta_eureka_app_instance_statuspage_url: the status page url of the app instance
• __meta_eureka_app_instance_healthcheck_url: the health check url of the app instance
• __meta_eureka_app_instance_ip_addr: the IP address of the app instance
• __meta_eureka_app_instance_vip_address: the VIP address of the app instance
• __meta_eureka_app_instance_secure_vip_address: the secure VIP address of the app instance
• __meta_eureka_app_instance_status: the status of the app instance
• __meta_eureka_app_instance_port: the port of the app instance
• __meta_eureka_app_instance_port_enabled: the port enabled of the app instance
• __meta_eureka_app_instance_secure_port: the secure port address of the app instance
• __meta_eureka_app_instance_secure_port_enabled: the secure port of the app instance
• __meta_eureka_app_instance_country_id: the country ID of the app instance
• __meta_eureka_app_instance_metadata_<metadataname>: app instance metadata
• __meta_eureka_app_instance_datacenterinfo_name: the datacenter name of the app instance
• __meta_eureka_app_instance_datacenterinfo_<metadataname>: the datacenter metadata

eureka_sd_configs常见配置如下：

- job_name: 'eureka'
  eureka_sd_configs:
    - server: http://localhost:8761/eureka #eureka server地址
      refresh_interval: 1m #刷新间隔，默认30s

eureka_sd_configs官网支持主要配置如下：

server: <string>

basic_auth:
  [ username: <string> ]
  [ password: <secret> ]
  [ password_file: <string> ]

# Configures the scrape request's TLS settings.
tls_config:
  [ <tls_config> ]

# Optional proxy URL.
[ proxy_url: <string> ]

# Configure whether HTTP requests follow HTTP 3xx redirects.
[ follow_redirects: <bool> | default = true ]

# Refresh interval to re-read the app instance list.
[ refresh_interval: <duration> | default = 30s ]

Eureka协议实现

基于Eureka服务发现协议核心逻辑都封装在discovery/eureka.go的func (d *Discovery) refresh(ctx context.Context) ([]*targetgroup.Group, error)方法中：

func (d *Discovery) refresh(ctx context.Context) ([]*targetgroup.Group, error) 
	// 通过Eureka REST API接口从eureka拉取元数据：http://ip:port/eureka/apps
	apps, err := fetchApps(ctx, d.server, d.client)
	if err != nil 
		return nil, err
	

	tg := &targetgroup.Group
		Source: "eureka",
	

	for _, app := range apps.Applications //遍历app
        // targetsForApp()方法将app下每个instance部分转成target
		targets := targetsForApp(&app)
        //解析的采集点合入一起
		tg.Targets = append(tg.Targets, targets...)
	
	return []*targetgroup.Grouptg, nil

refresh方法主要有两个流程：

​ 1、fetchApps()：从eureka-server的/eureka/apps接口拉取注册服务信息；

​ 2、targetsForApp()：遍历app下instance，将每个instance解析出一个target，并添加一堆元标签数据。

如下示例从eureka-server的/eureka/apps接口拉取的注册服务信息：

<applications>
    <versions__delta>1</versions__delta>
    <apps__hashcode>UP_1_</apps__hashcode>
    <application>
        <name>SERVICE-PROVIDER-01</name>
        <instance>
            <instanceId>localhost:service-provider-01:8001</instanceId>
            <hostName>192.168.3.121</hostName>
            <app>SERVICE-PROVIDER-01</app>
            <ipAddr>192.168.3.121</ipAddr>
            <status>UP</status>
            <overriddenstatus>UNKNOWN</overriddenstatus>
            <port enabled="true">8001</port>
            <securePort enabled="false">443</securePort>
            <countryId>1</countryId>
            <dataCenterInfo class="com.netflix.appinfo.InstanceInfo$DefaultDataCenterInfo">
                <name>MyOwn</name>
            </dataCenterInfo>
            <leaseInfo>
                <renewalIntervalInSecs>30</renewalIntervalInSecs>
                <durationInSecs>90</durationInSecs>
                <registrationTimestamp>1629385562130</registrationTimestamp>
                <lastRenewalTimestamp>1629385682050</lastRenewalTimestamp>
                <evictionTimestamp>0</evictionTimestamp>
                <serviceUpTimestamp>1629385562132</serviceUpTimestamp>
            </leaseInfo>
            <metadata>
                <management.port>8001</management.port>
                <scrape__enable>true</scrape__enable>
                <scrape.port>8080</scrape.port>
            </metadata>
            <homePageUrl>http://192.168.3.121:8001/</homePageUrl>
            <statusPageUrl>http://192.168.3.121:8001/actuator/info</statusPageUrl>
            <healthCheckUrl>http://192.168.3.121:8001/actuator/health</healthCheckUrl>
            <vipAddress>service-provider-01</vipAddress>
            <secureVipAddress>service-provider-01</secureVipAddress>
            <isCoordinatingDiscoveryServer>false</isCoordinatingDiscoveryServer>
            <lastUpdatedTimestamp>1629385562132</lastUpdatedTimestamp>
            <lastDirtyTimestamp>1629385562039</lastDirtyTimestamp>
            <actionType>ADDED</actionType>
        </instance>
    </application>
</applications>

instance信息会被解析成采集点target：

func targetsForApp(app *Application) []model.LabelSet 
	targets := make([]model.LabelSet, 0, len(app.Instances))

	// Gather info about the app's 'instances'. Each instance is considered a task.
	for _, t := range app.Instances 
		var targetAddress string
        // __address__取值方式：instance.hostname和port，没有port则默认port=80
		if t.Port != nil 
			targetAddress = net.JoinHostPort(t.HostName, strconv.Itoa(t.Port.Port))
		 else 
			targetAddress = net.JoinHostPort(t.HostName, "80")
		

		target := model.LabelSet
			model.AddressLabel:  lv(targetAddress),
			model.InstanceLabel: lv(t.InstanceID),

			appNameLabel:                     lv(app.Name),
			appInstanceHostNameLabel:         lv(t.HostName),
			appInstanceHomePageURLLabel:      lv(t.HomePageURL),
			appInstanceStatusPageURLLabel:    lv(t.StatusPageURL),
			appInstanceHealthCheckURLLabel:   lv(t.HealthCheckURL),
			appInstanceIPAddrLabel:           lv(t.IPAddr),
			appInstanceVipAddressLabel:       lv(t.VipAddress),
			appInstanceSecureVipAddressLabel: lv(t.SecureVipAddress),
			appInstanceStatusLabel:           lv(t.Status),
			appInstanceCountryIDLabel:        lv(strconv.Itoa(t.CountryID)),
			appInstanceIDLabel:               lv(t.InstanceID),
		

		if t.Port != nil 
			target[appInstancePortLabel] = lv(strconv.Itoa(t.Port.Port))
			target[appInstancePortEnabledLabel] = lv(strconv.FormatBool(t.Port.Enabled))
		

		if t.SecurePort != nil 
			target[appInstanceSecurePortLabel] = lv(strconv.Itoa(t.SecurePort.Port))
			target[appInstanceSecurePortEnabledLabel] = lv(strconv.FormatBool(t.SecurePort.Enabled))
		

		if t.DataCenterInfo != nil 
			target[appInstanceDataCenterInfoNameLabel] = lv(t.DataCenterInfo.Name)

			if t.DataCenterInfo.Metadata != nil 
				for _, m := range t.DataCenterInfo.Metadata.Items 
					ln := strutil.SanitizeLabelName(m.XMLName.Local)
					target[model.LabelName(appInstanceDataCenterInfoMetadataPrefix+ln)] = lv(m.Content)
				
			
		

		if t.Metadata != nil 
			for _, m := range t.Metadata.Items 
                // prometheus label只支持[^a-zA-Z0-9_]字符，其它非法字符都会被替换成下划线_
				ln := strutil.SanitizeLabelName(m.XMLName.Local)
				target[model.LabelName(appInstanceMetadataPrefix+ln)] = lv(m.Content)
			
		

		targets = append(targets, target)

	
	return targets

解析比较简单，就不再分析，解析后的标签数据如下图：

标签中有两个特别说明下：

​ 1、__address__：这个取值instance.hostname和port(默认80)，所以要注意注册到eureka上的hostname准确性，不然可能无法抓取；

​ 2、metadata-map数据会被转成__meta_eureka_app_instance_metadata_<metadataname>格式标签，prometheus进行relabeling 一般操作metadata-map，可以自定义metric_path、抓取端口等；

​ 3、prometheus的label只支持[a-zA-Z0-9_]，其它非法字符都会被转换成下划线，具体参加：strutil.SanitizeLabelName(m.XMLName.Local)；但是eureka的metadata-map标签含有下划线时，注册到eureka-server上变成双下划线，如下配置:

eureka:
  instance:
    metadata-map:
      scrape_enable: true
      scrape.port: 8080

通过/eureka/apps获取如下：

总结

基于Eureka服务发现原理如下图：

基于eureka_sd_configs服务发现协议配置创建Discoverer，并通过协程运行Discoverer.Run方法，Eureka服务发现核心逻辑封装discovery/eureka.go的func (d *Discovery) refresh(ctx context.Context) ([]*targetgroup.Group, error)方法中。

refresh方法中主要调用两个方法：

1、fetchApps：定时周期从Eureka Server的/eureka/apps接口拉取注册上来的服务元数据信息；

2、targetsForApp：解析上步骤拉取的元数据信息，遍历app下的instance，将每个instance解析成target，并将其它元数据信息转换成target元标签可以用于relabel_configs操作