k8s部署java微服务程序时,关于配置conusl acl token的方法总结

本文主要是介绍k8s部署java微服务程序时,关于配置conusl acl token的方法总结,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

一、背景

java微服务程序使用consul作为服务注册中心,而consul集群本身的访问是需要acl token的,以增强服务调用的安全性。

本文试着总结下,有哪些方法可以配置consul acl token,便于你根据具体的情况选择。

个人认为,没有最佳,只有更加建议,更适用于自身的方案。

二、设计方案

1、k8s内部的Secret

建议方案,也是本文重点阐述的一种方案。

对于敏感数据,建议使用Secret或外部秘密管理工具,并结合适当的RBAC策略来限制对这些敏感信息的访问。

2、命令行参数

在某些情况下,您可以在启动容器时通过命令行参数传递ACL Token。这种方法适用于Token不需要频繁更改,且可以通过其他安全措施(如网络隔离)来保护的场景。

consul_acl_token=xxxx-xx-xx-xxxxjava -Dspring.cloud.consul.config.acl-token=$consul_acl_token -Dspring.cloud.consul.discovery.acl-token=$consul_acl_token -Xms${Xms} -Xmx${Xmx} -jar xxx.jar

在制作docker image的时候,把acl token赋值给应用程序。

3、环境变量

在deployment.yaml文件中,显式赋值给应用程序。
见下示例:

      containers:- name: {{ .Values.appName }}env:- name: spring.cloud.consul.config.acl-tokenvalue: 'xxxx-xx-xx-xxxx'- name: spring.cloud.consul.discovery.acl-tokenvalue: 'xxxx-xx-xx-xxxx'- name: APPNAMEvalue: {{ .Values.appName }}

这种方式,在yaml中就看到了环境变量的明文,很直观的同时,也恰好说明此方式不适合配置consul acl token。

4、ConfigMap

类似于Secret,ConfigMap可以用来存储非敏感的配置信息。虽然它不是为敏感数据设计的,但如果您的ACL Token不需要严格保密,您可以将其存储在ConfigMap中,并以环境变量的形式在Pod中引用。

5、文件系统挂载

如果您的集群环境支持,可以将包含ACL Token的文件挂载到Pod中。例如,如果您有一个安全的文件服务器,可以从该服务器挂载包含Token的文件到Pod的文件系统中。

6、外部Secrets管理工具

使用如HashiCorp Vault、AWS Secrets Manager、Azure Key Vault等外部秘密管理工具。这些工具提供了更高级的安全特性,如自动轮换、审计日志和更细粒度的访问控制。您可以将Consul ACL Token存储在这些工具中,并通过它们提供的Kubernetes插件或集成来在Pod中引用。

7、启动时从外部源获取

在Pod启动时,可以通过初始化容器(init container)从外部源(如HTTP API、数据库或其他服务)动态获取ACL Token。这种方法的优点是可以在运行时获取最新的Token,但需要确保外部源的安全性和可靠性。

每种方法都有其适用场景和安全考虑。在选择方法时,您应该考虑到您的安全要求、操作便利性以及Pod的运行环境。

三、secret对象

在这里插入图片描述

apiVersion: v1
kind: Secret
metadata:name: xx-registry-centernamespace: java-service
type: Opaque
data:consul-acl-token: xxxx-xx-xx-xxxx

在这里插入图片描述

四、deployment.yaml

在环境变量中读取secret,然后赋值到应用程序的环境变量里。

      containers:- env:- name: CONSUL_ACL_TOKENvalueFrom:secretKeyRef:name: xx-registry-centerkey: consul-acl-token- name: spring.cloud.consul.config.acl-tokenvalue: $(CONSUL_ACL_TOKEN)- name: spring.cloud.consul.discovery.acl-tokenvalue: $(CONSUL_ACL_TOKEN)

在这里插入图片描述
在这里,你看到的不再是明文了,大大提高了安全性。

在“配置管理”–》“保密字典”专门管理consul acl token,集中管理与维护,不再是之前的散落状态,提高了可维护性。

五、总结

环境变量这么整下来,到底应该去哪看呢?

当进入pod容器,ps进程也看不到。

只有输入env | grep consul才能看到应用程序的环境变量。
在这里插入图片描述
好了,本文就总结到这里。

这篇关于k8s部署java微服务程序时,关于配置conusl acl token的方法总结的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/755529

相关文章

HarmonyOS学习(七)——UI(五)常用布局总结

自适应布局 1.1、线性布局(LinearLayout) 通过线性容器Row和Column实现线性布局。Column容器内的子组件按照垂直方向排列,Row组件中的子组件按照水平方向排列。 属性说明space通过space参数设置主轴上子组件的间距,达到各子组件在排列上的等间距效果alignItems设置子组件在交叉轴上的对齐方式,且在各类尺寸屏幕上表现一致,其中交叉轴为垂直时,取值为Vert

闲置电脑也能活出第二春?鲁大师AiNAS让你动动手指就能轻松部署

对于大多数人而言,在这个“数据爆炸”的时代或多或少都遇到过存储告急的情况,这使得“存储焦虑”不再是个别现象,而将会是随着软件的不断臃肿而越来越普遍的情况。从不少手机厂商都开始将存储上限提升至1TB可以见得,我们似乎正处在互联网信息飞速增长的阶段,对于存储的需求也将会不断扩大。对于苹果用户而言,这一问题愈发严峻,毕竟512GB和1TB版本的iPhone可不是人人都消费得起的,因此成熟的外置存储方案开

JVM 的类初始化机制

前言 当你在 Java 程序中new对象时,有没有考虑过 JVM 是如何把静态的字节码(byte code)转化为运行时对象的呢,这个问题看似简单,但清楚的同学相信也不会太多,这篇文章首先介绍 JVM 类初始化的机制,然后给出几个易出错的实例来分析,帮助大家更好理解这个知识点。 JVM 将字节码转化为运行时对象分为三个阶段,分别是:loading 、Linking、initialization

Spring Security 基于表达式的权限控制

前言 spring security 3.0已经可以使用spring el表达式来控制授权,允许在表达式中使用复杂的布尔逻辑来控制访问的权限。 常见的表达式 Spring Security可用表达式对象的基类是SecurityExpressionRoot。 表达式描述hasRole([role])用户拥有制定的角色时返回true (Spring security默认会带有ROLE_前缀),去

浅析Spring Security认证过程

类图 为了方便理解Spring Security认证流程,特意画了如下的类图,包含相关的核心认证类 概述 核心验证器 AuthenticationManager 该对象提供了认证方法的入口,接收一个Authentiaton对象作为参数; public interface AuthenticationManager {Authentication authenticate(Authenti

Spring Security--Architecture Overview

1 核心组件 这一节主要介绍一些在Spring Security中常见且核心的Java类,它们之间的依赖,构建起了整个框架。想要理解整个架构,最起码得对这些类眼熟。 1.1 SecurityContextHolder SecurityContextHolder用于存储安全上下文(security context)的信息。当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权限…这些都被保

Spring Security基于数据库验证流程详解

Spring Security 校验流程图 相关解释说明(认真看哦) AbstractAuthenticationProcessingFilter 抽象类 /*** 调用 #requiresAuthentication(HttpServletRequest, HttpServletResponse) 决定是否需要进行验证操作。* 如果需要验证,则会调用 #attemptAuthentica

Spring Security 从入门到进阶系列教程

Spring Security 入门系列 《保护 Web 应用的安全》 《Spring-Security-入门(一):登录与退出》 《Spring-Security-入门(二):基于数据库验证》 《Spring-Security-入门(三):密码加密》 《Spring-Security-入门(四):自定义-Filter》 《Spring-Security-入门(五):在 Sprin

Java架构师知识体认识

源码分析 常用设计模式 Proxy代理模式Factory工厂模式Singleton单例模式Delegate委派模式Strategy策略模式Prototype原型模式Template模板模式 Spring5 beans 接口实例化代理Bean操作 Context Ioc容器设计原理及高级特性Aop设计原理Factorybean与Beanfactory Transaction 声明式事物

Zookeeper安装和配置说明

一、Zookeeper的搭建方式 Zookeeper安装方式有三种,单机模式和集群模式以及伪集群模式。 ■ 单机模式:Zookeeper只运行在一台服务器上,适合测试环境; ■ 伪集群模式:就是在一台物理机上运行多个Zookeeper 实例; ■ 集群模式:Zookeeper运行于一个集群上,适合生产环境,这个计算机集群被称为一个“集合体”(ensemble) Zookeeper通过复制来实现