【Docker从入门到入土 6】Consul详解+Docker https安全认证(附证书申请方式)

Part 6

  • 一、服务注册与发现的概念
    • 1.1 cmp问题
    • 1.2 服务注册与发现
  • 二、Consul ----- 服务自动发现和注册
    • 2.1 简介
    • 2.2 为什么要用consul?
    • 2.3 consul的架构
    • 2.3 Consul-template
  • 三、consul架构部署
    • 3.1 Consul服务器
      • Step1 建立 Consul 服务
      • Step2 查看集群信息
      • Step3 通过 http api 获取集群信息
      • Step4 测试能否访问consul的web界面
    • 3.2 Registrator服务器
      • Step1 安装 Gliderlabs/Registrator
      • Step2 测试服务发现功能是否正常
      • Step3 验证 http 和 nginx 服务是否注册到 consul
    • 3.3 配置consul-template
      • Step1 准备 template nginx 模板文件
      • Step2 安装nginx
      • Step3 配置 nginx
      • Step4 配置并启动 template
      • Step5 访问 template-nginx
      • Step6 增加一个 nginx 容器节点
    • 3.4 补充知识,consul多节点
  • 四、Docker安全
    • 4.1 Docker 安全基线标准(注意事项)
    • 4.2 常用的安全配置方法
  • 五、Docker https安全认证
    • 5.1 背景
    • 5.2 使用证书访问的工作流程
    • 5.3 如何获取证书?
    • 5.4 使用OpenSSL创建自签名证书的步骤
    • 5.6 nginx如何支持https?

一、服务注册与发现的概念

服务注册与发现是微服务架构中不可或缺的重要组件。

1.1 cmp问题

在这里插入图片描述

起初服务都是单节点的,不保障高可用性,也不考虑服务的压力承载,服务之间调用单纯的通过接口访问。

直到后来出现了多个节点的分布式架构,起初的解决手段是在服务前端负载均衡,这样前端必须要知道所有后端服务的网络位置,并配置在配置文件中。

这里就会有几个问题:
●如果需要调用后端服务A-N,就需要配置N个服务的网络位置,配置很麻烦
●后端服务的网络位置变化,都需要改变每个调用者的配置

1.2 服务注册与发现

img

既然有这些问题,那么服务注册与发现就是解决这些问题的

后端服务A-N可以把当前自己的网络位置注册到服务发现模块,服务发现就以K-V的方式记录下来,K一般是服务名,V就是IP:PORT。

服务发现模块定时的进行健康检查,轮询查看这些后端服务能不能访问的了。

前端在调用后端服务A-N的时候,就跑去服务发现模块问下它们的网络位置,然后再调用它们的服务

这样的方式就可以解决上面的问题了,前端完全不需要记录这些后端服务的网络位置,前端和后端完全解耦!

二、Consul ----- 服务自动发现和注册

2.1 简介

Consul是google开源的一个使用go语言开发的,实现服务自动注册和发现的一种工具

2.2 为什么要用consul?

为了解决后端应用服务器集群节点数量很多,前端负载均衡器配置和管理会很麻烦的问题

负载均衡器的节点配置条目数量会很多,后端节点的网络位置发生了变化还需要修改所有调用这些后端节点的负载均衡器配置等问题)

2.3 consul的架构

consul由两种模式组成:cilent模式server模式

在这里插入图片描述

Client模式 :可用于接收后端服务发来的注册信息,并转发给server节点,没有持久化能力。

Server模式:可用于接受后端服务/client模式的节点发来的注册信息,还可在server节点之前同步注册信息,具有持久化注册信息到本地的能力。

Server模式下还有个特殊的节点: server-leader节点

在这里插入图片描述

Server-Leader节点负责同步注册信息给其它的server节点,并对各个节点做健康检查

Leader基于Raft算法进行选举,在Leader选举过程中,整个集群都无法对外提供服务。

2.3 Consul-template

Consul-Template是基于Consul的自动替换配置文件的应用。

Consul-Template是一个守护进程,用于实时查询Consul集群信息,并更新文件系统上任意数量的指定模板,生成配置文件。

更新完成以后,可以选择运行 shell 命令执行更新操作,重新加载 Nginx。

三、consul架构部署

在这里插入图片描述

ServerIPUsage
Consul服务器192.168.2.102运行consul服务、nginx服务、consul-template守护进程
Registrator服务器192.168.2.103运行registrator容器、运行nginx容器
systemctl stop firewalld.service
setenforce 0

3.1 Consul服务器

不需要安装docker

Step1 建立 Consul 服务

1.建立工作目录,上传并解压代码包

mkdir /opt/consul
cp consul_0.9.2_linux_amd64.zip /opt/consulcd /opt/consul
unzip consul_0.9.2_linux_amd64.zip

在这里插入图片描述

mv consul /usr/local/bin/

2.设置代理,在后台启动 consul 服务端

#启动consul server
consul agent \
-server \
-bootstrap \
-ui \
-data-dir=/var/lib/consul-data \
-bind=192.168.2.102 \
-client=0.0.0.0 \
-node=consul-server01 &> /var/log/consul.log &

在这里插入图片描述

#查看相关端口
netstat -natp | grep consul

在这里插入图片描述

#启动consul后默认会监听5个端口:
8300:replication、leader farwarding的端口
8301:lan cossip的端口
8302:wan gossip的端口
8500:web ui界面的端口
8600:使用dns协议查看节点信息的端口

Step2 查看集群信息

#查看members状态
consul members

在这里插入图片描述

#查看集群状态
consul operator raft list-peers

在这里插入图片描述

consul info | grep leader

在这里插入图片描述

Step3 通过 http api 获取集群信息

curl 127.0.0.1:8500/v1/status/peers 			
#查看集群server成员
curl 127.0.0.1:8500/v1/status/leader			
#集群 server-leader
curl 127.0.0.1:8500/v1/catalog/services		
#注册的所有服务
curl 127.0.0.1:8500/v1/catalog/nginx			
#查看 nginx 服务信息
curl 127.0.0.1:8500/v1/catalog/nodes			
#集群节点详细信息

在这里插入图片描述

Step4 测试能否访问consul的web界面

浏览器访问
http://192.168.2.102:8500

在这里插入图片描述

3.2 Registrator服务器

容器服务自动加入 Nginx 集群

Step1 安装 Gliderlabs/Registrator

Gliderlabs/Registrator 可检查容器运行状态自动注册,还可注销 docker 容器的服务到服务配置中心。

目前支持 Consul、Etcd 和 SkyDNS2。

docker run -d \
--name=registrator \
--net=host \
-v /var/run/docker.sock:/tmp/docker.sock \
--restart=always \
gliderlabs/registrator:latest \
--ip=192.168.2.103 \
consul://192.168.2.102:8500# registrator为容器名
# host为网络模式
# always为重启策略

在这里插入图片描述

Step2 测试服务发现功能是否正常

docker run -itd -p:83:80 --name test-01 -h test01 nginx
docker run -itd -p:84:80 --name test-02 -h test02 nginx
docker run -itd -p:88:80 --name test-03 -h test03 httpd
docker run -itd -p:89:80 --name test-04 -h test04 httpd				#-h:设置容器主机名

在这里插入图片描述

Step3 验证 http 和 nginx 服务是否注册到 consul

通过consul web界面验证

浏览器中,输入 http://192.168.2.102:8500,在 Web 页面中“单击 NODES”,然后单击“consurl-server01”,会出现 5 个服务。
在这里插入图片描述

在consul server 通过curl命令测试

#通过curl命令查询到Consul上注册的一些服务
curl 127.0.0.1:8500/v1/catalog/services 

在这里插入图片描述

3.3 配置consul-template

在consul服务器上操作。

Step1 准备 template nginx 模板文件

vim /opt/consul/nginx.ctmpl#定义nginx upstream一个简单模板
upstream http_backend {{{range service "nginx"}}server {{.Address}}:{{.Port}};{{end}}
}#定义一个server,监听8000端口,反向代理到upstream
server {listen 8000;server_name localhost 192.168.2.102;access_log /var/log/nginx/kgc.com-access.log;							#修改日志路径index index.html index.php;location / {proxy_set_header HOST $host;proxy_set_header X-Real-IP $remote_addr;proxy_set_header Client-IP $remote_addr;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;proxy_pass http://http_backend;}
}

Step2 安装nginx

#安装依赖
yum -y install pcre-devel zlib-devel gcc gcc-c++ make
#新建用户
useradd -M -s /sbin/nologin nginx
tar zxvf nginx-1.24.0.tar.gz -C /opt/cd /opt/nginx-1.24.0/
#编译安装
./configure --prefix=/usr/local/nginx --user=nginx --group=nginx && make && make installln -s /usr/local/nginx/sbin/nginx /usr/local/sbin/

Step3 配置 nginx

vim /usr/local/nginx/conf/nginx.conf......
http {include       mime.types;include  vhost/*.conf;       				#添加虚拟主机目录default_type  application/octet-stream;
......

在这里插入图片描述

#创建虚拟主机目录
mkdir /usr/local/nginx/conf/vhost#创建日志文件目录
mkdir /var/log/nginx#启动nginx
nginx

在这里插入图片描述

Step4 配置并启动 template

#解压代码包
unzip consul-template_0.19.3_linux_amd64.zip -d /opt/cd /opt/
mv consul-template /usr/local/bin/

在这里插入图片描述

#在前台启动 template 服务,启动后不要按 ctrl+c 中止 consul-template 进程。
consul-template --consul-addr 192.168.2.102:8500 \
--template "/opt/consul/nginx.ctmpl:/usr/local/nginx/conf/vhost/byyb.conf:/usr/local/nginx/sbin/nginx -s reload" \
--log-level=info

在这里插入图片描述

#另外打开一个终端查看生成配置文件
cd /usr/local/nginx/conf/vhost/
cat byyb.conf

在这里插入图片描述

Step5 访问 template-nginx

docker ps -a

在这里插入图片描述

docker exec -it 4aafb2347a01 bash
echo "this is test1 web" > /usr/share/nginx/html/index.htmldocker exec -it 26274cd201c7 bash
echo "this is test2 web" > /usr/share/nginx/html/index.html

在这里插入图片描述

浏览器访问:http://192.168.2.102:8000/ ,并不断刷新。

注:访问失败的话,需要开启路由转发。

net.ipv4.ip_forward = 1

在这里插入图片描述

Step6 增加一个 nginx 容器节点

1)增加一个 nginx 容器节点,测试服务发现及配置更新功能

在registor节点添加

docker run -itd -p:85:80 --name test-05 -h test05 nginx

在这里插入图片描述

2)查看子配置文件

cd /usr/local/nginx/conf/vhost/
cat byyb.conf

在这里插入图片描述

3)在新容器节点添加测试页面,测试能否负载均衡

docker ps -adocker exec -it c6715b2533bf bash
echo "this is test1 web" > /usr/share/nginx/html/index.html

在这里插入图片描述

浏览器访问:http://192.168.2.102:8000/ ,并不断刷新
在这里插入图片描述

可以看到,请求正常轮询到各个容器节点

3.4 补充知识,consul多节点

consul -leave  脱离节点-enable-script-checks=true :设置检查服务为可用-datacenter : 数据中心名称-join :加入到已有的集群中
#添加一台已有docker环境的服务器192.168.2.104/24加入已有的群集中
consul agent \
-server \
-ui \
-data-dir=/var/lib/consul-data \
-bind=192.168.2.104 \
-client=0.0.0.0 \
-node=consul-server02 \
-enable-script-checks=true  \
-datacenter=dc1  \
-join 192.168.2.102 &> /var/log/consul.log &
consul members

四、Docker安全

4.1 Docker 安全基线标准(注意事项)

1)尽量不用 --privileged 运行容器(授权容器root用户用户宿主机的root权限);

2)尽量不用 --network host 运行容器(使用host网络模式共享宿主机的网络命名空间);

3)尽量不在容器中运行 ssh 服务;

4)尽量不把宿主机系统的关键敏感挂载到容器中。

4.2 常用的安全配置方法

1)尽量使用最小化的镜像

2)尽量以单一进程运行容器

3)尽量在容器中使用最新版本的应用

4)尽量安装最新版本的docker

5)尽量使用官方的镜像或自已构建镜像;

6)尽量给容器分配独立的文件系统

7)尽量以资源限制的方式运行容器 ;-m --cpu-quota- --cpuset-cpus -device-write-bps

8)尽量以只读的方式挂载数据卷(持久化容器数据到宿主机时除外); -v 宿主机目录:容器目录:ro

9)尽量设置容器重启次数 ;--restart on-failure:N

10)尽量以最低权限运行容器。

五、Docker https安全认证

5.1 背景

为了防止链路劫持、会话劫持等问题导致 Docker 通信时被中间人攻击,c/s 两端应该通过 TLS 加密方式通讯。

5.2 使用证书访问的工作流程

或者说,https请求访问的过程
在这里插入图片描述

服务端会事先通过 CA 签发服务器端证书和私钥

1)客户端发起 https 请求到服务端的 443 端口;

2)服务器会先返回一个包含公钥、证书有效期、CA机构等信息的证书给客户端;

3)客户端会先通过 CA 验证服务端证书的有效性,如果证书有效,则会在客户端随机生成一个会话密钥并通过服务端发来的公钥加密后,再发给服务端;

4)服务端会用私钥解密获取客户端发来的会话密钥,之后双方即可通过会话密码加密/解密来实现密文通信。

5.3 如何获取证书?

1)在阿里云、腾讯云、华为云等云服务商申请一年有效期的免费证书或者购买付费的证书

2)在服务器本地使用 openssl、mkcert、cfssl、certbot(Let’s Encrypt)等工具生成私有证书

5.4 使用OpenSSL创建自签名证书的步骤

创建自签名证书大致分为三步, 创建CA证书, 创建自签名请求, CA签名。

1)创建CA私钥和证书

#创建 CA 私钥文件
openssl genrsa -out ca.key 2048#2048为位长

在这里插入图片描述

#创建 CA 证书文件
openssl req -new -x509 -days 3650 -key ca.key -out ca.pem  
这是 OpenSSL 工具生成自签名 X.509 证书的命令。让我逐个解释:# `openssl req`: 执行 OpenSSL 工具,使用 "req" 子命令来创建证书请求。# `-new`: 表示创建一个新的证书请求(Certificate Signing Request)。#`-x509`: 表示创建自签名 X.509 证书。#`-days 3650`: 表示生成的证书有效期为 3650 天(大约 10 年)。#`-key ca.key`: 指定用来签名证书的密钥文件为 "ca.key"。#`-out ca.pem`: 表示将生成的证书输出到文件 "ca.pem"。

在这里插入图片描述

2)创建服务端自签名请求文件

#创建服务端私钥文件
openssl genrsa -out server.key 2048  

在这里插入图片描述

#创建服务端证书自签名请求文件
openssl req -new -key server.key -out server.csr   

在这里插入图片描述

3)基于CA证书、私钥和服务端自签名请求文件,签发服务端证书

#创建服务端证书文件
openssl x509 -req -days 3650 -in server.csr -CA ca.pem -CAkey ca.key -CAcreateserial -out server.pem 

在这里插入图片描述
在这里插入图片描述

4)证书的使用测试

我们使用自签名证书实现通过https访问harbor私有仓库

私有仓库的部署过程,详见我的另一篇博客【Docker从入门到入土 4】使用Harbor搭建Docker私有仓库 ,这里只标明额外的配置。

#编辑配置文件
vim /usr/local/harbor/harbor.yml
...13 https:14   # https port for harbor, default is 44315   port: 44316   # The path of cert and key files for nginx17   certificate: /opt/ct/server.pem18   private_key: /opt/ct/server.key
....

在这里插入图片描述
在这里插入图片描述

cd /usr/local/harbor/./prepare./install.sh

在这里插入图片描述

#浏览器访问
https://192.168.2.102

在这里插入图片描述

在这里插入图片描述

5.6 nginx如何支持https?

1)编译安装时需要添加 --with-http_ssl_module 模板;

2)修改配置文件,添加 ssl 配置

http {server {#SSL 访问端口号为 443listen   443 ssl;# 填写绑定证书的域名server_name  域名;root html;index index.html index.htm;# 指定SSL证书和私钥路径ssl_certificate     /usr/local/nginx/conf/cert/xxxxx.pem;ssl_certificate_key  /usr/local/nginx/conf/cert/xxxxx.key;# ssl_session_cache    shared:SSL:1m;ssl_session_timeout  5m;ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; # 指定SSL服务器端支持的协议版本ssl_protocols TLSv1 TLSv1.1 TLSv1.2;  ssl_prefer_server_ciphers  on;location /welcome {root   html;index  index.html index.htm;}}
}

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/172924.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Flutter笔记:完全基于Flutter绘图技术绘制一个精美的Dash图标(中)

Flutter笔记 完全基于Flutter绘图技术绘制一个精美的Dart语言吉祥物Dash(中) 作者:李俊才 (jcLee95):https://blog.csdn.net/qq_28550263 邮箱 :291148484163.com 本文地址:https://…

Android framework服务命令行工具框架 - Android13

Android framework服务命令行工具框架 - Android13 1、framework服务命令行工具简介2、cmd 执行程序2.1 目录和Android.bp2.2 cmdMain 执行入口2.3 cmd命令 3、am命令工具,实质脚本执行cmd activity3.1 sh脚本3.2 activity服务注册3.3 onShellCommand执行 4、简易时…

《从零开始大模型开发与微调 :基于PyTorch与ChatGLM》简介

内 容 简 介 大模型是深度学习自然语言处理皇冠上的一颗明珠,也是当前AI和NLP研究与产业中最重要的方向之一。本书使用PyTorch 2.0作为学习大模型的基本框架,以ChatGLM为例详细讲解大模型的基本理论、算法、程序实现、应用实战以及微调技术,…

Chapter1:C++概述

此专栏为移动机器人知识体系的 C {\rm C} C基础,基于《深入浅出 C {\rm C} C》(马晓锐)的笔记, g i t e e {\rm gitee} gitee链接: 移动机器人知识体系. 1.C概述 1.1 C概述 计算机系统分为硬件系统和软件系统。 硬件系统:指组成计算机的电子…

通过阿里云创建accessKeyId和accessKeySecret

我们想实现服务端向个人发送短信验证码 需要通过accessKeyId和accessKeySecret 这里可以白嫖阿里云的 这里 我们先访问阿里云官网 阿里云地址 进入后搜索并进入短信服务 如果没登录 就 登录一下先 然后在搜索框搜索短信服务 点击进入 因为我也是第一次操作 我们一起点免费开…

2017年上半年上午易错题(软件设计师考试)

CPU 执行算术运算或者逻辑运算时,常将源操作数和结果暂存在( )中。 A . 程序计数器 (PC) B. 累加器 (AC) C. 指令寄存器 (IR) D. 地址寄存器 (AR) 某系统由下图所示的冗余部件构成。若每个部件的千小时可靠度都为 R &…

深度学习之基于YoloV8的行人跌倒目标检测系统

欢迎大家点赞、收藏、关注、评论啦 ,由于篇幅有限,只展示了部分核心代码。 文章目录 一项目简介 二、功能三、行人跌倒目标检测系统四. 总结 一项目简介 世界老龄化趋势日益严重,现代化的生活习惯又使得大多数老人独居,统计数据表…

美术如何创建 skybox 贴图资源?

文章目录 目的PS手绘Panorama To CubemapPS手绘Pano2VRSkybox & Cubemap Tutorial (Maya & Photoshop)Unity 中使用 ReflectionProbe 生成 Cubemap 然后再 PS 调整PS直接手绘 cubemapBlender 导入 Panorama,然后烘焙到 cubemap,再导入unity中使用…

【ARMv8 SIMD和浮点指令编程】NEON 通用数据处理指令——复制、反转、提取、转置...

NEON 通用数据处理指令包括以下指令(不限于): • DUP 将标量复制到向量的所有向量线。 • EXT 提取。 • REV16、REV32、REV64 反转向量中的元素。 • TBL、TBX 向量表查找。 • TRN 向量转置。 • UZP、ZIP 向量交叉存取和反向交叉存取。 1 DUP (element) 将…

基于计算机视觉的坑洼道路检测和识别-MathorCup A(深度学习版本)

1 2023 年 MathorCup 高校数学建模挑战赛——大数据竞赛 赛道 A:基于计算机视觉的坑洼道路检测和识别 使用深度学习模型,pytorch版本进行图像训练和预测,使用ResNet50模型 2 文件夹预处理 因为给定的是所有图片都在一个文件夹里面&#xf…

前端将图片储存table表格中,页面回显

<el-table :data"tableData" v-loading"loading" style"width: 100%" height"calc(100vh - 270px)" :size"tableSize"row-dblclick"enterClick"><el-table-column prop"name" label"文档…

图像数据噪音种类以及Python生成对应噪音

前言 当涉及到图像处理和计算机视觉任务时&#xff0c;噪音是一个不可忽视的因素。噪音可以由多种因素引起&#xff0c;如传感器误差、通信干扰、环境光线变化等。这些噪音会导致图像质量下降&#xff0c;从而影响到后续的图像分析和处理过程。因此&#xff0c;对于从图像中获…

数据结构时间复杂度(补充)和空间复杂度

Hello&#xff0c;今天事10月27日&#xff0c;距离刚开始写博客已经过去挺久了&#xff0c;我也不知道是什么让我坚持这么久&#xff0c;但是学校的课真的很多&#xff0c;很少有时间多出来再学习&#xff0c;有些科目马上要考试了&#xff0c;我还不知道我呢不能过哈哈哈&…

新的iLeakage攻击从Apple Safari窃取电子邮件和密码

图片 导语&#xff1a;学术研究人员开发出一种新的推测性侧信道攻击&#xff0c;名为iLeakage&#xff0c;可在所有最新的Apple设备上运行&#xff0c;并从Safari浏览器中提取敏感信息。 攻击概述 iLeakage是一种新型的推测性执行攻击&#xff0c;针对的是Apple Silicon CPU和…

私有云:【3】NFS存储服务器的安装

私有云&#xff1a;【3】NFS存储服务器的安装 1、使用vmwork创建虚拟机2、配置NFS服务器3、安装NFS存储服务4、配置NFS服务及创建存储共享 1、使用vmwork创建虚拟机 新建虚拟机NFS 分配400G硬盘&#xff0c;可以更高【用作存储】 自定义硬件 选择win2012的iso文件 设置登录密码…

电脑有自带的录屏功能吗win7

win7有自带的录屏软件&#xff0c;名字叫“问题步骤记录器”&#xff0c;可以实现将每一步操作截成图片&#xff0c;并自动配以相关文字说明的功能。打开记录器的方法&#xff1a;1、按“WinR”键&#xff0c;打开“运行”窗口&#xff1b;2、在“运行”窗口中&#xff0c;输入…

SpringBoot内置工具类之断言Assert的使用与部分解析

先例举一个service的demo中用来验证参数对象的封装方法&#xff0c;使用了Assert工具类后是不是比普通的 if(xxx) { throw new RuntimeException(msg) } 看上去要简洁多了&#xff1f; 断言Assert工具类简介 断言是一个判断逻辑&#xff0c;用来检查不该发生的情况&#xff…

【C++的OpenCV】第十四课-OpenCV基础强化(二):访问单通道Mat中的值

&#x1f389;&#x1f389;&#x1f389; 欢迎各位来到小白 p i a o 的学习空间&#xff01; \color{red}{欢迎各位来到小白piao的学习空间&#xff01;} 欢迎各位来到小白piao的学习空间&#xff01;&#x1f389;&#x1f389;&#x1f389; &#x1f496;&#x1f496;&…

【错误解决方案】ModuleNotFoundError: No module named ‘cPickle‘

1. 错误提示 在python程序中试图导入一个名为cPickle的模块&#xff0c;但Python提示找不到这个模块。 错误提示&#xff1a;ModuleNotFoundError: No module named cPickle 2. 解决方案 实际上&#xff0c;cPickle是Python的pickle模块的一个C语言实现&#xff0c;通常用于…

MySQL实战2

文章目录 主要内容一.回访用户1.准备工作代码如下&#xff08;示例&#xff09;: 2.目标3.实现代码如下&#xff08;示例&#xff09;: 二.如何找到每个人每月消费的最大天数1.准备工作代码如下&#xff08;示例&#xff09;: 2.目标3.实现代码如下&#xff08;示例&#xff09…