Spring Cloud Config实践
我们使用Spring Cloud Config的动机除了通常所说的微服务数量太多,方便配置的统一管理外。另一个重要原因是,application.properties(或application.yml)中配置项太多,在不同环境(dev、alpha、beta、www)下配置时,调整并核对application.properties时常看得眼花缭乱,而许多配置项运维时并不关心。所以决定用Spring Cloud Config对配置管理过程做一次调整。
实验代码可从GitHub下载:https://github.com/gpleo/spring-cloud-config-demo
包含了三个项目,用于大致演示Spring Cloud Config的配置方法。
- spring-cloud-config-server:配置服务器。
- blog-server:演示对称加密的配置方式。
- account-server:演示非对称加密的配置方式。
服务职责说明
Config Server
Spring Cloud Config Server负责从Git服务器下载配置并分发给Config Client,注意以下几项:
- Config Server不处理配置内容的加解密,需将spring.cloud.server.encrypt.enabled设为false;
- 使用Spring Security对配置内容的下载请求做权限控制。
Git Repository
配置内容存储在Git仓库,生产环境的敏感信息须加密后存储,加密内容前使用{cipher}前缀。
获取加密内容使用Spring Cloud Cli工具,使用类似下面的命令:
~ spring encrypt securityContent --key passkey 2c65b421138fd5c69f29560f9d972ab022b0d7e764482d565d3c5e3cdfc0155c
多个环境时,除生产环境使用保护分支master外,其他开发和测试环境都使用一个分支,可以是dev分支。
Config Client
在具体服务中集成Config Client处理配置,在生产环境中,Config Client需要配置密钥,以便对下载配置中的加密信息进行解密。(需要JCE完整版)
安全性说明
- Config Server简单集成Spring Security后使用单一的用户名密码,也就是每个服务的维护成员都可以看到其他所有服务的配置内容。这个感觉没有问题,Git中的敏感信息会被加密,未加密内容被其他团队成员看到应当问题不大。
-
生产环境的敏感信息使用对称加密,主要基于以下两个方面的考虑:
- 使用非对称加密稍嫌麻烦,不同服务下配置密钥需要花更多精力。
- 服务团队使用密钥加密配置内容后提交到Git,并在Config Client配置密钥,并不需要将密钥交给其他团队,使用非对称加密也没有太大意义。
- 不同服务可以使用不同密钥,即使密钥泄露影响的也只是一两个服务,必要时更换即可。
Spring Cloud Cli安装
- 下载Spring Boot Cli,下载地址:https://repo.spring.io/release/org/springframework/boot/spring-boot-cli/2.0.4.RELEASE/spring-boot-cli-2.0.4.RELEASE-bin.zip
- 解压后,将spring-2.0.4.RELEASE/bin加入环境变量。
- 安装Spring Cloud Cli插件,安装命令:spring install org.springframework.cloud:spring-cloud-cli:2.0.0.RELEASE
JCE策略文件替换
http://www.oracle.com/technetwork/java/javase/downloads/jce8-download-2133166.html
下载后,解压文件,把local_policy.jar,US_export_policy.jar拷贝并覆盖到$JAVA_HOME/jre/lib/security。
非对称加密处理说明
使用非对称加密对敏感数据进行加密时,比较繁琐,大致步骤如下:
1. 使用下面的命令生成密钥对
ssh-keygen -t rsa -f ./config_rsa
2. 创建证书请求
openssl req -new -key config_rsa -out config_cert.csr
3. 生成证书
openssl x509 -req -days 3650 -in config_cert.csr -signkey config_rsa -out config_cert.crt
4. 导出P12文件
openssl pkcs12 -export -out config.p12 -inkey config_rsa -in config_cert.crt -name democonfig
5. 使用JAVA的keytool将P12转为KeyStore文件
keytool -importkeystore -deststorepass storepass -destkeypass keypass -destkeystore config.jks -srckeystore config.p12 -srcstoretype PKCS12 -srcstorepass abc123 -alias democonfig
6. 将config.jks文件配置到Config Client中,配置方式如下:
encrypt:
key-store:
location: file:///root/demo/config.jks
password: storepass
alias: democonfig
secret: keypass
正文到此结束
- 本文标签: https 管理 client IO 测试环境 zip git 数据 开发 Security Config Server ssh ip 配置 插件 下载 Spring Cloud Config java 安装 key Word Spring cloud spring 测试 安全 HTML 服务团队 权限控制 密钥 App http Spring Security CST ssl cat 代码 src Spring Boot 加密 服务器 Oracle GitHub lib Master 微服务 root
- 版权声明: 本文为互联网转载文章,出处已在文章中说明(部分除外)。如果侵权,请联系本站长删除,谢谢。
- 本文海报: 生成海报一 生成海报二
热门推荐
相关文章
近期评论
-
文章和留言都翻到11页了 没有OOM
-
-
朋友,翻页到11页,及以后,会出现OOM,无法访问
-
-
搞个gitee的项目
-
-
版本号是多少,你可以下载哪个代码仓库,jdk选1.8 直接跑就行
-
-
-
Loading...
![[HBLOG]公众号](https://www.liuhaihua.cn/img/qrcode_gzh.jpg)
