Consul作為一款分布式、高可用的服務(wù)發(fā)現(xiàn)和配置的工具，提供了豐富的組件功能，被廣泛應(yīng)用于微服務(wù)架構(gòu)中作為服務(wù)注冊(cè)與配置中心。

本文從consul提供的ACL訪問控制策略角度出發(fā)，詳細(xì)介紹通過在應(yīng)用層使用標(biāo)簽前綴的方式，分配訪問控制權(quán)限，實(shí)現(xiàn)基于標(biāo)簽隔離的社區(qū)版consul多租戶隔離，從而作為公共注冊(cè)中心。

一、Consul產(chǎn)品介紹

Consul作為一款開源的組件工具，其使用GO語言開發(fā)，實(shí)現(xiàn)分布式系統(tǒng)的服務(wù)發(fā)現(xiàn)與配置，主要提供分布式服務(wù)注冊(cè)和發(fā)現(xiàn)、健康檢查、Key/Value數(shù)據(jù)存儲(chǔ)、多數(shù)據(jù)中心的高可用性等能力。

【服務(wù)注冊(cè)與發(fā)現(xiàn)】

consul client(客戶端)使用HTTP或DNS的方式將服務(wù)注冊(cè)到consul server(服務(wù)端)注冊(cè)中心中。服務(wù)請(qǐng)求方通過consul server發(fā)現(xiàn)他所依賴的服務(wù)。

【健康檢查】

consul client提供對(duì)應(yīng)用程序健康檢查機(jī)制，并將健康檢查狀態(tài)上報(bào)給consul server集群，用來監(jiān)控集群節(jié)點(diǎn)的運(yùn)行狀況，并及時(shí)下線不健康的節(jié)點(diǎn)。

【Key/Value數(shù)據(jù)存儲(chǔ)】

Consul提供K/V的存儲(chǔ)功能，應(yīng)用程序可以根據(jù)需要使用consul層級(jí)的Key/Value存儲(chǔ)，比如用來保存動(dòng)態(tài)配置，協(xié)調(diào)服務(wù)等等。

【多數(shù)據(jù)中心】

Consul支持多個(gè)數(shù)據(jù)中心，滿足用戶的多中心部署模式和災(zāi)備需求。

二、Consul基本架構(gòu)

Consul是一個(gè)分布式，高可用的系統(tǒng)，在consul集群中的每個(gè)節(jié)點(diǎn)都運(yùn)行一個(gè)agent，agent可以以客戶端(client)模式或服務(wù)端(server)模式運(yùn)行。

圖1 Consul基本架構(gòu)圖

【數(shù)據(jù)中心(DataCenter)】

在consul數(shù)據(jù)中心中，集群中節(jié)點(diǎn)分為server節(jié)點(diǎn)和client節(jié)點(diǎn)，為了保證可用性和高性能，通常一個(gè)數(shù)據(jù)中心內(nèi)為3-5個(gè)服務(wù)器。

【客戶端模式(Client)】

客戶端節(jié)點(diǎn)一般和應(yīng)用部署在一起，負(fù)責(zé)注冊(cè)服務(wù)、運(yùn)行健康檢查并將相關(guān)RPC轉(zhuǎn)發(fā)給服務(wù)器。在微服務(wù)應(yīng)用中，本地應(yīng)用只訪問client，由client和server進(jìn)行通訊，實(shí)現(xiàn)集群的服務(wù)發(fā)現(xiàn)。

【服務(wù)器模式(Server)】

服務(wù)端節(jié)點(diǎn)維護(hù)consul集群的狀態(tài)信息，并進(jìn)行持久化，server節(jié)點(diǎn)存儲(chǔ)公共信息，包括服務(wù)信息，K/V數(shù)據(jù)等。consul集群中的Server節(jié)點(diǎn)參與選舉，響應(yīng)RPC查詢，轉(zhuǎn)發(fā)信息給Leader(領(lǐng)導(dǎo)者)，Leader除了包含server的功能外，還負(fù)責(zé)同步數(shù)據(jù)到各個(gè)server，每一個(gè)集群中只能有一個(gè)Leader，保證集群內(nèi)數(shù)據(jù)一致。

三、Consul多租戶隔離

在使用consul作為注冊(cè)及配置中心的過程中，多個(gè)微服務(wù)架構(gòu)系統(tǒng)需要每個(gè)系統(tǒng)分別部署一套consul集群，運(yùn)維成本高且存在資源浪費(fèi)，于是將consul服務(wù)作為PaaS能力提供，租戶制使用便成為一種美好愿望。

社區(qū)版本不支持namespace隔離特性，多個(gè)系統(tǒng)共用一個(gè)注冊(cè)和配置中心，需要防止出現(xiàn)寫時(shí)配置相互覆蓋，讀時(shí)信息泄露等問題。因此，各系統(tǒng)在進(jìn)行服務(wù)發(fā)現(xiàn)獲取服務(wù)列表和配置信息修改等操作時(shí)，只能對(duì)本系統(tǒng)進(jìn)行訪問和操作，不能對(duì)其他系統(tǒng)的服務(wù)進(jìn)行訪問。

Consul在應(yīng)用層唯一的鑒權(quán)能力是ACL機(jī)制，能否借此可以實(shí)現(xiàn)多租戶訪問權(quán)限的控制目的?

1.ACL機(jī)制

Consuls支持AccessControlList(ACL-即訪問控制列表)，用于保護(hù)對(duì)UI、API、CLI、服務(wù)和代理通信的訪問。通過開啟consul集群ACL機(jī)制，對(duì)consul執(zhí)行任何的操作，需要得到對(duì)應(yīng)的令牌，即ACLToken，以此來實(shí)現(xiàn)對(duì)consul集群agent、服務(wù)注冊(cè)和發(fā)現(xiàn)、K/V數(shù)據(jù)的訪問權(quán)限控制。

ACL的核心是以token作為身份認(rèn)證，將一系列規(guī)則(rule)組成策略(policy)，然后將一個(gè)或多個(gè)策略與令牌token進(jìn)行相關(guān)聯(lián)。在應(yīng)用請(qǐng)求時(shí)，在其HTTP頭中添加X-Consul-Token為分配的token，應(yīng)用的服務(wù)注冊(cè)、發(fā)現(xiàn)和配置更新等操作，server會(huì)根據(jù)token策略權(quán)限返回相應(yīng)的服務(wù)內(nèi)容以及校驗(yàn)是否有對(duì)應(yīng)的配置資源讀寫權(quán)限。

圖2 ACL機(jī)制運(yùn)行核心

配置步驟：

(1)首先在consulserver集群的啟動(dòng)參數(shù)中添加配置，開啟集群對(duì)ACL的校驗(yàn)。

{

...

acl= {

 enabled= true，

 default_policy= "deny"，

 enable_token_persistence= true }

}

(2)然后再創(chuàng)建policy，每個(gè)policy是由多個(gè)rule組成。policy格式為：

#rule:節(jié)點(diǎn)前綴為空，代表所有的節(jié)點(diǎn)都使用策略；

node_prefix""{  

policy=’write/read/deny’

}

#rule:服務(wù)前綴為空，代表所有的服務(wù)都使用策略；

service_prefix""{

 policy=’write/read/deny’’

}

#rule:key前綴為空，代表所有對(duì)所有key都使用策略；

key_prefix""{

policy=’write/read/deny’’

}

(3)最后創(chuàng)建token，并和policy綁定。

2.租戶隔離

Rule是以關(guān)鍵字前綴作為過濾條件，這樣可以統(tǒng)一分配權(quán)限。因此，可以每個(gè)租戶的節(jié)點(diǎn)名稱，服務(wù)名稱，配置名稱統(tǒng)一以租戶名稱為前置，然后每個(gè)租戶分配一個(gè)token。在配置rule時(shí)，都只以租戶名稱作為前綴。這樣就可以實(shí)現(xiàn)租戶間資源隔離。

例如租戶A的名稱是:“SystemA”，租戶A的相關(guān)資源命名都以SystemA為前綴：

• 節(jié)點(diǎn)名稱：SystemA-ip，如SystemA-192.168.0.108
• 服務(wù)名稱：SystemA-微服務(wù)名稱，如SystemA-UserService
• 配置路徑：config/SystemA-配置名稱，如config/SystemA-public，config/SystemA-UserService

租戶A的token綁定的policy策略為(默認(rèn)策略為deny)：

#代表SystemA前綴節(jié)點(diǎn)都使用該策略；

node_prefix"SystemA" { 

policy="write"

}

#代表代表SystemA服務(wù)都使用該策略；

service_prefix"SystemA" {

 policy="write"

}

#代表以config/SystemA開頭的key都使用該策略；

key_prefix"config/SystemA" {

policy="write"

}

以此policy策略關(guān)聯(lián)的token，其應(yīng)用只能注冊(cè)以“SystemA”開頭的節(jié)點(diǎn)和服務(wù)，以及發(fā)現(xiàn)以“SystemA”標(biāo)簽為前綴的服務(wù)，并對(duì)“config/SystemA”為開頭的key的配置信息進(jìn)行編輯和修改。

四、總結(jié)

通過以統(tǒng)一租戶名稱為前置的資源命名管理+Consul產(chǎn)品ACL的方式，可以達(dá)到租戶間資源訪問隔離的效果。通過這種手段，可以將consul產(chǎn)品作為PaaS能力提供服務(wù)，豐富云原生生態(tài)。