k8s部署java微服务程序时,关于配置conusl acl token的方法总结

一、背景

java微服务程序使用consul作为服务注册中心,而consul集群本身的访问是需要acl token的,以增强服务调用的安全性。

本文试着总结下,有哪些方法可以配置consul acl token,便于你根据具体的情况选择。

个人认为,没有最佳,只有更加建议,更适用于自身的方案。

二、设计方案

1、k8s内部的Secret

建议方案,也是本文重点阐述的一种方案。

对于敏感数据,建议使用Secret或外部秘密管理工具,并结合适当的RBAC策略来限制对这些敏感信息的访问。

2、命令行参数

在某些情况下,您可以在启动容器时通过命令行参数传递ACL Token。这种方法适用于Token不需要频繁更改,且可以通过其他安全措施(如网络隔离)来保护的场景。

consul_acl_token=xxxx-xx-xx-xxxxjava -Dspring.cloud.consul.config.acl-token=$consul_acl_token -Dspring.cloud.consul.discovery.acl-token=$consul_acl_token -Xms${Xms} -Xmx${Xmx} -jar xxx.jar

在制作docker image的时候,把acl token赋值给应用程序。

3、环境变量

在deployment.yaml文件中,显式赋值给应用程序。
见下示例:

      containers:- name: {{ .Values.appName }}env:- name: spring.cloud.consul.config.acl-tokenvalue: 'xxxx-xx-xx-xxxx'- name: spring.cloud.consul.discovery.acl-tokenvalue: 'xxxx-xx-xx-xxxx'- name: APPNAMEvalue: {{ .Values.appName }}

这种方式,在yaml中就看到了环境变量的明文,很直观的同时,也恰好说明此方式不适合配置consul acl token。

4、ConfigMap

类似于Secret,ConfigMap可以用来存储非敏感的配置信息。虽然它不是为敏感数据设计的,但如果您的ACL Token不需要严格保密,您可以将其存储在ConfigMap中,并以环境变量的形式在Pod中引用。

5、文件系统挂载

如果您的集群环境支持,可以将包含ACL Token的文件挂载到Pod中。例如,如果您有一个安全的文件服务器,可以从该服务器挂载包含Token的文件到Pod的文件系统中。

6、外部Secrets管理工具

使用如HashiCorp Vault、AWS Secrets Manager、Azure Key Vault等外部秘密管理工具。这些工具提供了更高级的安全特性,如自动轮换、审计日志和更细粒度的访问控制。您可以将Consul ACL Token存储在这些工具中,并通过它们提供的Kubernetes插件或集成来在Pod中引用。

7、启动时从外部源获取

在Pod启动时,可以通过初始化容器(init container)从外部源(如HTTP API、数据库或其他服务)动态获取ACL Token。这种方法的优点是可以在运行时获取最新的Token,但需要确保外部源的安全性和可靠性。

每种方法都有其适用场景和安全考虑。在选择方法时,您应该考虑到您的安全要求、操作便利性以及Pod的运行环境。

三、secret对象

在这里插入图片描述

apiVersion: v1
kind: Secret
metadata:name: xx-registry-centernamespace: java-service
type: Opaque
data:consul-acl-token: xxxx-xx-xx-xxxx

在这里插入图片描述

四、deployment.yaml

在环境变量中读取secret,然后赋值到应用程序的环境变量里。

      containers:- env:- name: CONSUL_ACL_TOKENvalueFrom:secretKeyRef:name: xx-registry-centerkey: consul-acl-token- name: spring.cloud.consul.config.acl-tokenvalue: $(CONSUL_ACL_TOKEN)- name: spring.cloud.consul.discovery.acl-tokenvalue: $(CONSUL_ACL_TOKEN)

在这里插入图片描述
在这里,你看到的不再是明文了,大大提高了安全性。

在“配置管理”–》“保密字典”专门管理consul acl token,集中管理与维护,不再是之前的散落状态,提高了可维护性。

五、总结

环境变量这么整下来,到底应该去哪看呢?

当进入pod容器,ps进程也看不到。

只有输入env | grep consul才能看到应用程序的环境变量。
在这里插入图片描述
好了,本文就总结到这里。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/706478.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

wu-framework-parent 项目明细

wu-framework-parent 项目明细

wu-framework-parent 介绍 springboot 版本3.2.1 wu-framework-parent 是一款由Java语言开发的框架,目标不写代码但是却能完成功能。 框架涵盖无赖ORM( wu-database-lazy-starter)、仿生组件 、easy框架系列【Easy-Excel、easy-listener、easy-upsert】 授权框架(…
阅读更多...
wayland(xdg_wm_base) + egl + opengles 使用 Assimp 加载3D model 最简实例(十三)

wayland(xdg_wm_base) + egl + opengles 使用 Assimp 加载3D model 最简实例(十三)

文章目录 前言一、3D model 文件介绍1. 3d model 介绍1.1 如何获取3d model 文件1.2 3d model 的文件格式1.3 obj模型数据格式2. 3d 立方体 model 实例——cube.obj二、Assimp 介绍1. Assimp 简介2.ubuntu 上安装libassimp3. 使用Assimp 解析 cube.obj 文件3.1 assimp_load_cub…
阅读更多...
【机器人最短路径规划问题(栅格地图)】基于遗传算法求解

【机器人最短路径规划问题(栅格地图)】基于遗传算法求解

基于遗传算法求解机器人最短路径规划问题(栅格地图)的仿真结果 仿真结果: 路径长度的变化曲线: 遗传算法优化后的机器人避障路径:
阅读更多...
华为ipv6 over ipv4 GRE隧道配置

华为ipv6 over ipv4 GRE隧道配置

思路: PC1访问PC2时,会先构造源ipv6为2001:1::2,目的IPV6为2001:2::2的ipv6报文,然后查看PC1的路由表,发送到R1,r1接收后,以目的IPV6地址2001:2::2查询IPV6路由表,出接口为tun0/0/0…
阅读更多...
SpringMVC 学习(十)之异常处理

SpringMVC 学习(十)之异常处理

目录 1 异常处理介绍 2 通过 SimpleMappingExceptionResolver 实现 3 通过接口 HandlerExceptionResolver 实现 4 通过 ExceptionHandler 注解实现(推荐) 1 异常处理介绍 在 SpringMVC中,异常处理器(Exceptio…
阅读更多...
CGI程序与ShellShock漏洞

CGI程序与ShellShock漏洞

CGI是什么? CGI(通用网关接口,Common Gateway Interface)程序是一种用于在Web服务器上执行动态内容的技术。与服务器上普通的后端代码相比,CGI程序有几个区别: 执行环境: CGI程序在服务器上作为…
阅读更多...
处理异常(Exception)

处理异常(Exception)

1、什么是异常 在实际工作中,我们遇到的情况不可能是非常完美的。比如:你写的某个模块,用户输入不一定符合你的要求;你的程序要打开某个文件,这个文件可能不存在或者文件格式不对;你要读取数据库的数据&am…
阅读更多...
2024牛客寒假算法基础集训营1(补题)

2024牛客寒假算法基础集训营1(补题)

文章目录 ABCDEFGHIJKL A n的范围很小暴力直接 O ( n 3 ) O(n^3) O(n3)直接做就行。 我还傻的统计了一下前后缀&#xff0c;不过怎么写都行这道题。 #include <bits/stdc.h> #define int long long #define rep(i,a,b) for(int i (a); i < (b); i) #define fep(i,…
阅读更多...
【appium】App类型、页面元素|UiAutomator与appium|App元素定位

【appium】App类型、页面元素|UiAutomator与appium|App元素定位

目录 一、App前端基础知识 1、App类型划分 2、App类型对比 3、App页面元素 App页面元素分为布局和控件两种 常见布局&#xff1a; 常见控件&#xff1a;定位软件&#xff1a;appium和sdk自带的uiautomatorviewer都可以定位 二、App元素定位 1、id定位 2、text定位 3…
阅读更多...
【Java EE初阶二十六】简单的表白墙(二)

【Java EE初阶二十六】简单的表白墙(二)

2. 后端服务器部分 2.1 服务器分析 2.2 代码编写 2.2.2 前端发起一个ajax请求 2.2.3 服务器读取上述请求,并计算出响应 服务器需要使用 jackson 读取到前端这里的数据,并且进行解析&#xff1a; 代码运行图&#xff1a; 2.2.4 回到前端代码&#xff0c;处理服务器返回的响应…
阅读更多...
from tensorflow.keras.layers import Dense,Flatten,Input报错无法引用

from tensorflow.keras.layers import Dense,Flatten,Input报错无法引用

from tensorflow.keras.layers import Dense,Flatten,Input 打印一下路径&#xff1a; import tensorflow as tf import keras print(tf.__path__) print(keras.__path__) [E:\\开发工具\\pythonProject\\studyLL\\venv\\lib\\site-packages\\keras\\api\\_v2, E:\\开发工具\\…
阅读更多...
Python 实现 ROC指标计算(变动率指标):股票技术分析的利器系列(15)

Python 实现 ROC指标计算(变动率指标):股票技术分析的利器系列(15)

Python 实现 ROC指标计算(变动率指标&#xff09;&#xff1a;股票技术分析的利器系列&#xff08;15&#xff09; 介绍算法公式 代码rolling函数介绍核心代码计算OSC 完整代码 介绍 ROC&#xff08;变动率指标&#xff09;是一种技术分析指标&#xff0c;用于衡量价格变动的速…
阅读更多...
windows系统使用Vscode在WSL调试golang本地进程

windows系统使用Vscode在WSL调试golang本地进程

背景&#xff1a; windows10企业版 vscodegolang1.20 wsl编译运行。 vscode 使用本地wsl进行进程attach操作&#xff0c;发现&#xff1a;Access is denied. 本地进程启动&#xff0c;vscode调试进程。windows-Linux控制台: Starting: C:\Users\book\go\bin\dlv.exe dap --l…
阅读更多...
Ubuntu Mysql Innodb cluster集群搭建+MaxScale负载均衡(读写分离)

Ubuntu Mysql Innodb cluster集群搭建+MaxScale负载均衡(读写分离)

Ubuntu系统版本 20.04.3 LTS (Focal Fossa) 、64位系统。 cat /etc/os-release查看Ubuntu系统是32位还是64位 uname -m如果显示“i686”,则表示安装了32位操作系统。如果显示“x86_64”,则表示安装了64位操作系统。 一、安装MySql 参考: https://blog.csdn.net/qq_3712…
阅读更多...
什么是去中心化云计算?

什么是去中心化云计算?

去中心化云计算是一种新型的云计算方式&#xff0c;它与传统的中心化云计算不同&#xff0c;将数据和计算任务分布到多个节点上&#xff0c;而不是将数据集中存储在中心服务器上。这种云计算方式具有许多优势&#xff0c;包括提高数据安全性、降低运营成本、增强可扩展性和灵活…
阅读更多...
MCU最小系统电路设计(以STM32F103C8T6为例)

MCU最小系统电路设计(以STM32F103C8T6为例)

目录 一、何为最小系统&#xff1f; 二、最小系统电路设计 1.电源 &#xff08;1&#xff09;各种名词解释 &#xff08;2&#xff09;为什么会有VDD_1 _2 _3区分&#xff1f; &#xff08;3&#xff09;Mirco USB &#xff08;4&#xff09;5v->3.3v滤波电路 &#…
阅读更多...
Unity(第九部)物体类

Unity(第九部)物体类

拿到物体的某些数据 using System.Collections; using System.Collections.Generic; using UnityEngine;public class game : MonoBehaviour {// Start is called before the first frame updatevoid Start(){//拿到当前脚本所挂载的游戏物体//GameObject go this.gameObject;…
阅读更多...
naive-ui-admin 表格去掉工具栏toolbar

naive-ui-admin 表格去掉工具栏toolbar

使用naive-ui-admin的时候&#xff0c;有时候不需要显示工具栏&#xff0c;工具栏太占地方了。 1.在src/components/Table/src/props.ts 里面添加属性 showToolbar 默认显示&#xff0c;在不需要的地方传false。也可以默认不显示 &#xff0c;这个根据需求来。 2.在src/compo…
阅读更多...
历史新知网:寄快递寄个电脑显示器要多少钱?

历史新知网:寄快递寄个电脑显示器要多少钱?

以下文字信息由&#xff08;新史知识网&#xff09;编辑整理发布。 让我们赶紧来看看吧&#xff01; 问题1&#xff1a;快递寄电脑显示器要多少钱&#xff1f; 此物有多重&#xff1f; 顺丰寄就可以了&#xff0c;但是必须是原包装的&#xff0c;不然不好寄。 问题2&#xff1…
阅读更多...
vue项目从后端下载文件显示进度条或者loading

vue项目从后端下载文件显示进度条或者loading

//API接口 export const exportDownload (params?: Object, peCallback?: Function) > {return new Promise((resolve, reject) > {axios({method: get,url: ,headers: {access_token: ${getToken()},},responseType: blob,params,onDownloadProgress: (pe) > {peC…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023