Etcd安全配置之Basic Auth认证

2019独角兽企业重金招聘Python工程师标准>>>

认证说明

1. Etcd v2以上的版本才支持权限认证，且仅支持Basic Auth

2. Etcd通过用户(user)-角色(role)-权限的方式来控制访问，用户关联角色，角色拥有权限，从而用户也就拥有了相应的权限

3. Etcd默认没有启用认证机制，只要能连接etcd服务就拥有所有的权限，还是非常危险的，另一种安全的访问方式是开启ssl，只有使用受信任的证书才能访问数据

4. Etcd开启Basic Auth之后，默认会启用两个角色root和guest，root角色拥有所有权限，guest拥有只读权限，这两个角色都不要删除，否则你可能会遇到意想不到的Bug

5. Etcd的权限分为只读、只写、可读写，可以对etcd的详细key进行授权，例如：/conf/project/dev/nginx.conf，也可以授权key前缀（目录），例如：/conf/project/，授权规则应以最小满足需求为准则

权限设计

权限设计应先考虑我们对权限的需求，从需求出发设计权限

• 需求

1. 为了方便后续管理，规定配置中心所有key都应已/conf/开头

2. 需要两个账号，一个账号用在Kerrigan(WebUI)拥有读取、写入、修改、删除key的权限，一个账号用在confd，只有只读的权限，能够读取配置就可以了

 

• 设计

1. 需求很简单，我们需要建立两个账号，分别对应两个角色，两个角色都是对/conf/开头的Key进行控制，一个读写权限，一个只读权限

2. 定义只读账号名为readx，只读角色名为readConf，定义读写权限账号名为authz，读写权限为rootConf，可操作的key都为/conf/开头

转载于:https://my.oschina.net/u/3611008/blog/2050786