【Docker从入门到入土 6】Consul详解+Docker https安全认证(附证书申请方式)

Part 6

  • 一、服务注册与发现的概念
    • 1.1 cmp问题
    • 1.2 服务注册与发现
  • 二、Consul ----- 服务自动发现和注册
    • 2.1 简介
    • 2.2 为什么要用consul?
    • 2.3 consul的架构
    • 2.3 Consul-template
  • 三、consul架构部署
    • 3.1 Consul服务器
      • Step1 建立 Consul 服务
      • Step2 查看集群信息
      • Step3 通过 http api 获取集群信息
      • Step4 测试能否访问consul的web界面
    • 3.2 Registrator服务器
      • Step1 安装 Gliderlabs/Registrator
      • Step2 测试服务发现功能是否正常
      • Step3 验证 http 和 nginx 服务是否注册到 consul
    • 3.3 配置consul-template
      • Step1 准备 template nginx 模板文件
      • Step2 安装nginx
      • Step3 配置 nginx
      • Step4 配置并启动 template
      • Step5 访问 template-nginx
      • Step6 增加一个 nginx 容器节点
    • 3.4 补充知识,consul多节点
  • 四、Docker安全
    • 4.1 Docker 安全基线标准(注意事项)
    • 4.2 常用的安全配置方法
  • 五、Docker https安全认证
    • 5.1 背景
    • 5.2 使用证书访问的工作流程
    • 5.3 如何获取证书?
    • 5.4 使用OpenSSL创建自签名证书的步骤
    • 5.6 nginx如何支持https?

一、服务注册与发现的概念

服务注册与发现是微服务架构中不可或缺的重要组件。

1.1 cmp问题

在这里插入图片描述

起初服务都是单节点的,不保障高可用性,也不考虑服务的压力承载,服务之间调用单纯的通过接口访问。

直到后来出现了多个节点的分布式架构,起初的解决手段是在服务前端负载均衡,这样前端必须要知道所有后端服务的网络位置,并配置在配置文件中。

这里就会有几个问题:
●如果需要调用后端服务A-N,就需要配置N个服务的网络位置,配置很麻烦
●后端服务的网络位置变化,都需要改变每个调用者的配置

1.2 服务注册与发现

img

既然有这些问题,那么服务注册与发现就是解决这些问题的

后端服务A-N可以把当前自己的网络位置注册到服务发现模块,服务发现就以K-V的方式记录下来,K一般是服务名,V就是IP:PORT。

服务发现模块定时的进行健康检查,轮询查看这些后端服务能不能访问的了。

前端在调用后端服务A-N的时候,就跑去服务发现模块问下它们的网络位置,然后再调用它们的服务

这样的方式就可以解决上面的问题了,前端完全不需要记录这些后端服务的网络位置,前端和后端完全解耦!

二、Consul ----- 服务自动发现和注册

2.1 简介

Consul是google开源的一个使用go语言开发的,实现服务自动注册和发现的一种工具

2.2 为什么要用consul?

为了解决后端应用服务器集群节点数量很多,前端负载均衡器配置和管理会很麻烦的问题

负载均衡器的节点配置条目数量会很多,后端节点的网络位置发生了变化还需要修改所有调用这些后端节点的负载均衡器配置等问题)

2.3 consul的架构

consul由两种模式组成:cilent模式server模式

在这里插入图片描述

Client模式 :可用于接收后端服务发来的注册信息,并转发给server节点,没有持久化能力。

Server模式:可用于接受后端服务/client模式的节点发来的注册信息,还可在server节点之前同步注册信息,具有持久化注册信息到本地的能力。

Server模式下还有个特殊的节点: server-leader节点

在这里插入图片描述

Server-Leader节点负责同步注册信息给其它的server节点,并对各个节点做健康检查

Leader基于Raft算法进行选举,在Leader选举过程中,整个集群都无法对外提供服务。

2.3 Consul-template

Consul-Template是基于Consul的自动替换配置文件的应用。

Consul-Template是一个守护进程,用于实时查询Consul集群信息,并更新文件系统上任意数量的指定模板,生成配置文件。

更新完成以后,可以选择运行 shell 命令执行更新操作,重新加载 Nginx。

三、consul架构部署

在这里插入图片描述

ServerIPUsage
Consul服务器192.168.2.102运行consul服务、nginx服务、consul-template守护进程
Registrator服务器192.168.2.103运行registrator容器、运行nginx容器
systemctl stop firewalld.service
setenforce 0

3.1 Consul服务器

不需要安装docker

Step1 建立 Consul 服务

1.建立工作目录,上传并解压代码包

mkdir /opt/consul
cp consul_0.9.2_linux_amd64.zip /opt/consulcd /opt/consul
unzip consul_0.9.2_linux_amd64.zip

在这里插入图片描述

mv consul /usr/local/bin/

2.设置代理,在后台启动 consul 服务端

#启动consul server
consul agent \
-server \
-bootstrap \
-ui \
-data-dir=/var/lib/consul-data \
-bind=192.168.2.102 \
-client=0.0.0.0 \
-node=consul-server01 &> /var/log/consul.log &

在这里插入图片描述

#查看相关端口
netstat -natp | grep consul

在这里插入图片描述

#启动consul后默认会监听5个端口:
8300:replication、leader farwarding的端口
8301:lan cossip的端口
8302:wan gossip的端口
8500:web ui界面的端口
8600:使用dns协议查看节点信息的端口

Step2 查看集群信息

#查看members状态
consul members

在这里插入图片描述

#查看集群状态
consul operator raft list-peers

在这里插入图片描述

consul info | grep leader

在这里插入图片描述

Step3 通过 http api 获取集群信息

curl 127.0.0.1:8500/v1/status/peers 			
#查看集群server成员
curl 127.0.0.1:8500/v1/status/leader			
#集群 server-leader
curl 127.0.0.1:8500/v1/catalog/services		
#注册的所有服务
curl 127.0.0.1:8500/v1/catalog/nginx			
#查看 nginx 服务信息
curl 127.0.0.1:8500/v1/catalog/nodes			
#集群节点详细信息

在这里插入图片描述

Step4 测试能否访问consul的web界面

浏览器访问
http://192.168.2.102:8500

在这里插入图片描述

3.2 Registrator服务器

容器服务自动加入 Nginx 集群

Step1 安装 Gliderlabs/Registrator

Gliderlabs/Registrator 可检查容器运行状态自动注册,还可注销 docker 容器的服务到服务配置中心。

目前支持 Consul、Etcd 和 SkyDNS2。

docker run -d \
--name=registrator \
--net=host \
-v /var/run/docker.sock:/tmp/docker.sock \
--restart=always \
gliderlabs/registrator:latest \
--ip=192.168.2.103 \
consul://192.168.2.102:8500# registrator为容器名
# host为网络模式
# always为重启策略

在这里插入图片描述

Step2 测试服务发现功能是否正常

docker run -itd -p:83:80 --name test-01 -h test01 nginx
docker run -itd -p:84:80 --name test-02 -h test02 nginx
docker run -itd -p:88:80 --name test-03 -h test03 httpd
docker run -itd -p:89:80 --name test-04 -h test04 httpd				#-h:设置容器主机名

在这里插入图片描述

Step3 验证 http 和 nginx 服务是否注册到 consul

通过consul web界面验证

浏览器中,输入 http://192.168.2.102:8500,在 Web 页面中“单击 NODES”,然后单击“consurl-server01”,会出现 5 个服务。
在这里插入图片描述

在consul server 通过curl命令测试

#通过curl命令查询到Consul上注册的一些服务
curl 127.0.0.1:8500/v1/catalog/services 

在这里插入图片描述

3.3 配置consul-template

在consul服务器上操作。

Step1 准备 template nginx 模板文件

vim /opt/consul/nginx.ctmpl#定义nginx upstream一个简单模板
upstream http_backend {{{range service "nginx"}}server {{.Address}}:{{.Port}};{{end}}
}#定义一个server,监听8000端口,反向代理到upstream
server {listen 8000;server_name localhost 192.168.2.102;access_log /var/log/nginx/kgc.com-access.log;							#修改日志路径index index.html index.php;location / {proxy_set_header HOST $host;proxy_set_header X-Real-IP $remote_addr;proxy_set_header Client-IP $remote_addr;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;proxy_pass http://http_backend;}
}

Step2 安装nginx

#安装依赖
yum -y install pcre-devel zlib-devel gcc gcc-c++ make
#新建用户
useradd -M -s /sbin/nologin nginx
tar zxvf nginx-1.24.0.tar.gz -C /opt/cd /opt/nginx-1.24.0/
#编译安装
./configure --prefix=/usr/local/nginx --user=nginx --group=nginx && make && make installln -s /usr/local/nginx/sbin/nginx /usr/local/sbin/

Step3 配置 nginx

vim /usr/local/nginx/conf/nginx.conf......
http {include       mime.types;include  vhost/*.conf;       				#添加虚拟主机目录default_type  application/octet-stream;
......

在这里插入图片描述

#创建虚拟主机目录
mkdir /usr/local/nginx/conf/vhost#创建日志文件目录
mkdir /var/log/nginx#启动nginx
nginx

在这里插入图片描述

Step4 配置并启动 template

#解压代码包
unzip consul-template_0.19.3_linux_amd64.zip -d /opt/cd /opt/
mv consul-template /usr/local/bin/

在这里插入图片描述

#在前台启动 template 服务,启动后不要按 ctrl+c 中止 consul-template 进程。
consul-template --consul-addr 192.168.2.102:8500 \
--template "/opt/consul/nginx.ctmpl:/usr/local/nginx/conf/vhost/byyb.conf:/usr/local/nginx/sbin/nginx -s reload" \
--log-level=info

在这里插入图片描述

#另外打开一个终端查看生成配置文件
cd /usr/local/nginx/conf/vhost/
cat byyb.conf

在这里插入图片描述

Step5 访问 template-nginx

docker ps -a

在这里插入图片描述

docker exec -it 4aafb2347a01 bash
echo "this is test1 web" > /usr/share/nginx/html/index.htmldocker exec -it 26274cd201c7 bash
echo "this is test2 web" > /usr/share/nginx/html/index.html

在这里插入图片描述

浏览器访问:http://192.168.2.102:8000/ ,并不断刷新。

注:访问失败的话,需要开启路由转发。

net.ipv4.ip_forward = 1

在这里插入图片描述

Step6 增加一个 nginx 容器节点

1)增加一个 nginx 容器节点,测试服务发现及配置更新功能

在registor节点添加

docker run -itd -p:85:80 --name test-05 -h test05 nginx

在这里插入图片描述

2)查看子配置文件

cd /usr/local/nginx/conf/vhost/
cat byyb.conf

在这里插入图片描述

3)在新容器节点添加测试页面,测试能否负载均衡

docker ps -adocker exec -it c6715b2533bf bash
echo "this is test1 web" > /usr/share/nginx/html/index.html

在这里插入图片描述

浏览器访问:http://192.168.2.102:8000/ ,并不断刷新
在这里插入图片描述

可以看到,请求正常轮询到各个容器节点

3.4 补充知识,consul多节点

consul -leave  脱离节点-enable-script-checks=true :设置检查服务为可用-datacenter : 数据中心名称-join :加入到已有的集群中
#添加一台已有docker环境的服务器192.168.2.104/24加入已有的群集中
consul agent \
-server \
-ui \
-data-dir=/var/lib/consul-data \
-bind=192.168.2.104 \
-client=0.0.0.0 \
-node=consul-server02 \
-enable-script-checks=true  \
-datacenter=dc1  \
-join 192.168.2.102 &> /var/log/consul.log &
consul members

四、Docker安全

4.1 Docker 安全基线标准(注意事项)

1)尽量不用 --privileged 运行容器(授权容器root用户用户宿主机的root权限);

2)尽量不用 --network host 运行容器(使用host网络模式共享宿主机的网络命名空间);

3)尽量不在容器中运行 ssh 服务;

4)尽量不把宿主机系统的关键敏感挂载到容器中。

4.2 常用的安全配置方法

1)尽量使用最小化的镜像

2)尽量以单一进程运行容器

3)尽量在容器中使用最新版本的应用

4)尽量安装最新版本的docker

5)尽量使用官方的镜像或自已构建镜像;

6)尽量给容器分配独立的文件系统

7)尽量以资源限制的方式运行容器 ;-m --cpu-quota- --cpuset-cpus -device-write-bps

8)尽量以只读的方式挂载数据卷(持久化容器数据到宿主机时除外); -v 宿主机目录:容器目录:ro

9)尽量设置容器重启次数 ;--restart on-failure:N

10)尽量以最低权限运行容器。

五、Docker https安全认证

5.1 背景

为了防止链路劫持、会话劫持等问题导致 Docker 通信时被中间人攻击,c/s 两端应该通过 TLS 加密方式通讯。

5.2 使用证书访问的工作流程

或者说,https请求访问的过程
在这里插入图片描述

服务端会事先通过 CA 签发服务器端证书和私钥

1)客户端发起 https 请求到服务端的 443 端口;

2)服务器会先返回一个包含公钥、证书有效期、CA机构等信息的证书给客户端;

3)客户端会先通过 CA 验证服务端证书的有效性,如果证书有效,则会在客户端随机生成一个会话密钥并通过服务端发来的公钥加密后,再发给服务端;

4)服务端会用私钥解密获取客户端发来的会话密钥,之后双方即可通过会话密码加密/解密来实现密文通信。

5.3 如何获取证书?

1)在阿里云、腾讯云、华为云等云服务商申请一年有效期的免费证书或者购买付费的证书

2)在服务器本地使用 openssl、mkcert、cfssl、certbot(Let’s Encrypt)等工具生成私有证书

5.4 使用OpenSSL创建自签名证书的步骤

创建自签名证书大致分为三步, 创建CA证书, 创建自签名请求, CA签名。

1)创建CA私钥和证书

#创建 CA 私钥文件
openssl genrsa -out ca.key 2048#2048为位长

在这里插入图片描述

#创建 CA 证书文件
openssl req -new -x509 -days 3650 -key ca.key -out ca.pem  
这是 OpenSSL 工具生成自签名 X.509 证书的命令。让我逐个解释:# `openssl req`: 执行 OpenSSL 工具,使用 "req" 子命令来创建证书请求。# `-new`: 表示创建一个新的证书请求(Certificate Signing Request)。#`-x509`: 表示创建自签名 X.509 证书。#`-days 3650`: 表示生成的证书有效期为 3650 天(大约 10 年)。#`-key ca.key`: 指定用来签名证书的密钥文件为 "ca.key"。#`-out ca.pem`: 表示将生成的证书输出到文件 "ca.pem"。

在这里插入图片描述

2)创建服务端自签名请求文件

#创建服务端私钥文件
openssl genrsa -out server.key 2048  

在这里插入图片描述

#创建服务端证书自签名请求文件
openssl req -new -key server.key -out server.csr   

在这里插入图片描述

3)基于CA证书、私钥和服务端自签名请求文件,签发服务端证书

#创建服务端证书文件
openssl x509 -req -days 3650 -in server.csr -CA ca.pem -CAkey ca.key -CAcreateserial -out server.pem 

在这里插入图片描述
在这里插入图片描述

4)证书的使用测试

我们使用自签名证书实现通过https访问harbor私有仓库

私有仓库的部署过程,详见我的另一篇博客【Docker从入门到入土 4】使用Harbor搭建Docker私有仓库 ,这里只标明额外的配置。

#编辑配置文件
vim /usr/local/harbor/harbor.yml
...13 https:14   # https port for harbor, default is 44315   port: 44316   # The path of cert and key files for nginx17   certificate: /opt/ct/server.pem18   private_key: /opt/ct/server.key
....

在这里插入图片描述
在这里插入图片描述

cd /usr/local/harbor/./prepare./install.sh

在这里插入图片描述

#浏览器访问
https://192.168.2.102

在这里插入图片描述

在这里插入图片描述

5.6 nginx如何支持https?

1)编译安装时需要添加 --with-http_ssl_module 模板;

2)修改配置文件,添加 ssl 配置

http {server {#SSL 访问端口号为 443listen   443 ssl;# 填写绑定证书的域名server_name  域名;root html;index index.html index.htm;# 指定SSL证书和私钥路径ssl_certificate     /usr/local/nginx/conf/cert/xxxxx.pem;ssl_certificate_key  /usr/local/nginx/conf/cert/xxxxx.key;# ssl_session_cache    shared:SSL:1m;ssl_session_timeout  5m;ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; # 指定SSL服务器端支持的协议版本ssl_protocols TLSv1 TLSv1.1 TLSv1.2;  ssl_prefer_server_ciphers  on;location /welcome {root   html;index  index.html index.htm;}}
}

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/121181.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

axios封装以及详细用法

文章目录 axios用法(这里没有封装,下面有封装好的get,post方法,在axios封装里面)get ,delete方法post,put方法 axios具体封装axios 具体参数配置 axios用法(这里没有封装,下面有封装好的get,pos…

项目中拖拽元素,可以使用html的draggable属性,当然也可以用第三方插件interact

项目中拖拽元素&#xff0c;可以使用html的draggable属性&#xff0c;当然也可以用第三方插件interact 一、安装二、引用三、使用 一、安装 npm install interactjs二、引用 import interact from interactjs三、使用 <div class"drag_box"> &…

基于android的 rk3399 同时支持多个USB摄像头

基于android的 rk3399 同时支持多个USB摄像头 一、前文二、CameraHal_Module.h三、CameraHal_Module.cpp四、编译&烧录Image五、App验证 一、前文 Android系统默认支持2个摄像头&#xff0c;一个前置摄像头&#xff0c;一个后置摄像头 需要支持数量更多的摄像头&#xff0…

selenium工作原理和反爬分析

一、 Selenium Selenium是最广泛使用的开源Web UI(用户界面)自动化测试套件之一&#xff0c;支持并行测试执行。Selenium通过使用特定于每种语言的驱动程序支持各种编程语言。Selenium支持的语言包括C#&#xff0c;Java&#xff0c;Perl&#xff0c;PHP&#xff0c;Python和Ru…

如何查看多开的逍遥模拟器的adb连接端口号

逍遥模拟器默认端口号为&#xff1a;21503。 不过&#xff0c;使用多开器多开的时候&#xff0c;端口就不一定是21503了。 如何查看&#xff1f; 进入G:\xiaoyao\Microvirt\MEmu\MemuHyperv VMs路径中 每多开一个模拟器&#xff0c;就会多出一个文件夹。 进入你要查找端口号…

2023年MathorCup高校数学建模挑战赛大数据挑战赛赛题浅析

比赛时长为期7天的妈杯大数据挑战赛如期开赛&#xff0c;为了帮助大家更好的选题&#xff0c;首先给大家带来赛题浅析&#xff0c;为了方便大家更好的选题。 赛道 A&#xff1a;基于计算机视觉的坑洼道路检测和识别 A题&#xff0c;图像处理类题目。这种题目的难度数模独一档…

SpringAOP源码解析之advice执行顺序(三)

上一章我们分析了Aspect中advice的排序为Around.class, Before.class, After.class, AfterReturning.class, AfterThrowing.class&#xff0c;然后advice真正的执行顺序是什么&#xff1f;多个Aspect之间的执行顺序又是什么&#xff1f;就是我们本章探讨的问题。 准备工作 既…

基于Python Django 的微博舆论、微博情感分析可视化系统(V2.0)

文章目录 1 简介2 意义3 技术栈Django 4 效果图微博首页情感分析关键词分析热门评论舆情预测 5 推荐阅读 1 简介 基于Python的微博舆论分析&#xff0c;微博情感分析可视化系统&#xff0c;项目后端分爬虫模块、数据分析模块、数据存储模块、业务逻辑模块组成。 Python基于微博…

第八节——Vue渲染列表+key作用

一、列表渲染 vue中使用v-for指令进行列表 <template><div><!-- item 代表 当前循环的每一项 --><!-- index 代表 当前循环的下标--><!-- 注意&#xff1a;必须要加key--><div v-for"(item, index) in arr" :key"index"…

UE5 Blueprint发送http请求

一、下载插件HttpBlueprint、Json Blueprint Utilities两个插件是互相依赖的&#xff0c;启用&#xff0c;重启项目 目前两个是Beta的状态&#xff0c;如果你使用的平台支持就可以使用&#xff0c;我们的项目因为需要取Header的值&#xff0c;所有没法使用这两个插件&#xff0…

DBeaver安装与使用教程(超详细安装与使用教程),好用免费的数据库管理工具

DBeaver安装步骤 资源下载&#xff1a; https://download.csdn.net/download/qq_37181642/88479235 官网地址&#xff1a; https://dbeaver.io/ 安装dbeaver 点击上图.exe安装工具&#xff0c;安装完成后不要打开 。 windows配置hosts 在hosts文件中加入&#xff1a; 127.0.0…

基于SSM民宿预订及个性化服务系统-计算机毕设 附源码 04846

SSM民宿预订及个性化服务系统 摘 要 伴随着国内旅游经济的迅猛发展民宿住宿行在国内也迎来了前所未有的发展机遇。传统的旅游模式已难以满足游客日益多元化的需求&#xff0c;随着人们外出度假的时间越来越长&#xff0c;导致人们在住宿的选择上更加追求舒适、个性化的住宿体验…

Kafka - 3.x 副本不完全指北

文章目录 kafka 副本的基本信息Leader选举过程Kafka Controllerkafka 分区副本Leader的选举流程实际演示① 查看first的详细信息&#xff0c;注意观察副本分布情况② 停掉hadoop103上的kafka进程③ 再次查看first的相信信息&#xff0c;观察副本分布④ 处理分区leader分布不均匀…

Spring Cloud之微服务

目录 微服务 微服务架构 微服务架构与单体架构 特点 框架 总结 SpringCloud 常用组件 与SpringBoot关系 版本 微服务 微服务&#xff1a;从字面上理解即&#xff1a;微小的服务&#xff1b; 微小&#xff1a;微服务体积小&#xff0c;复杂度低&#xff0c;一个微服…

网络协议--TCP:传输控制协议

17.1 引言 本章将介绍TCP为应用层提供的服务&#xff0c;以及TCP首部中的各个字段。随后的几章我们在了解TCP的工作过程中将对这些字段作详细介绍。 对TCP的介绍将由本章开始&#xff0c;并一直包括随后的7章。第18章描述如何建立和终止一个TCP连接&#xff0c;第19和第20章将…

macOS鼠标管理操作增强BetterMouse简体中文

BetterMouse是一款专为Mac用户设计的鼠标增强工具&#xff0c;旨在帮助用户更好地掌握和管理鼠标操作。它提供了全局鼠标手势、高度可定制的鼠标设置选项以及一些有用的鼠标增强功能&#xff0c;如鼠标放大镜、鼠标轨迹和应用程序切换功能。这些功能可以大大提高用户的工作效率…

HarmonyOS鸿蒙原生应用开发设计- 流转图标

HarmonyOS设计文档中&#xff0c;为大家提供了独特的流转图标&#xff0c;开发者可以根据需要直接引用。 开发者直接使用官方提供的流转图标内容&#xff0c;既可以符合HarmonyOS原生应用的开发上架运营规范&#xff0c;又可以防止使用别人的图标侵权意外情况等&#xff0c;减…

基于机器视觉的火车票识别系统 计算机竞赛

文章目录 0 前言1 课题意义课题难点&#xff1a; 2 实现方法2.1 图像预处理2.2 字符分割2.3 字符识别部分实现代码 3 实现效果最后 0 前言 &#x1f525; 优质竞赛项目系列&#xff0c;今天要分享的是 基于机器视觉的火车票识别系统 该项目较为新颖&#xff0c;适合作为竞赛…

[蓝桥杯-610]分数

题面 解答 这一题如果不知道数论结论的话&#xff0c;做这个题会有两种天壤之别的体验 此题包含以下两个数论知识 1. 2^02^12^2...2^(n-1)2^n-1 2. 较大的数如果比较小的数的两倍大1或者小1&#xff0c;则两者互质 所以答案就是2^n-1/2^(n-1) 标程1 我的初次解答 #in…

【html】图片多矩形框裁剪

说明 由于项目中需要对一个图片进行多选择框进行裁剪&#xff0c;所以特写当前的示例代码。 代码 <!DOCTYPE html> <html lang"en"> <head><meta charset"UTF-8"><base href"/"><title>图片裁剪</tit…