Consul系列:实战演练

实战演练

可以解决什么样的线上问题?

• 问题A:在线服迁移、需要修改配置文件并重启服务生效。

• 方案A:可直接使用consul服务自动注册+域名发现功能，使用内部域名替代ip，dns解析动态实时生效，维护不需要做任何变更。

• 问题B:HA等服务在rs地址增删改后需要修改配置文件并重启服务，增加操作环节，生效时间长。

• 方案B: 使用consul的服务自动注册发现+配置文件动态化管理，实现配置文件根据注册的服务自行调整，并进行例如重启服务等可执行操作，动态实时自动化 的运维管理。

• 问题C:业务故障，需要手动处理。

• 方案C: consul自带健康检查(check)及信息监控(watch)功能，可实现服务异常时做故障自愈及更多的自动化流程。

总结:consul除了上面列出的几个以外，例如监控、故障自愈、服务自动切换等等运维自动化都是可以实现的方向。

注册服务

域名服务相关依赖及部署

consul的DNS功能只支持了其内部的注册及解析，要想其他外部服务也可使用，需要将其作为一个本地dns代理使用，这样既可以不影响正常的dns解析，也可以访问 consul的dns解析。

Dnsmasq Setup

• /etc/dnsmasq.d/10-consul

# Enable forward lookup of the 'consul' domain: 
 server=/consul/127.0.0.1#8600 
 #这里根据实际情况设置为你的本地consul DNS地址.
 
 /# Uncomment and modify as appropriate to enable reverse DNS lookups for 
 # common netblocks found in RFC 1918, 5735, and 6598: 
 #rev-server=0.0.0.0/8,127.0.0.1#8600 
 #rev-server=10.0.0.0/8,127.0.0.1#8600 
 #rev-server=100.64.0.0/10,127.0.0.1#8600 
 #rev-server=127.0.0.1/8,127.0.0.1#8600 
 #rev-server=169.254.0.0/16,127.0.0.1#8600 
 #rev-server=172.16.0.0/12,127.0.0.1#8600 
 #rev-server=192.168.0.0/16,127.0.0.1#8600 
 #rev-server=224.0.0.0/4,127.0.0.1#8600 
 #rev-server=240.0.0.0/4,127.0.0.1#8600

• /etc/resolv.conf

# THIS FILE IS AUTOMATICALLY GENERATED BY PUPPET. 
 # DO NOT EDIT THIS FILE.
 
 domain i.example.net 
 nameserver 127.0.0.1 
 nameserver 42.186.69.116 
 nameserver 42.186.72.87

Testing

• 直接向consul查询其中的一个服务域名是否已经存在。

root@localhost:~/consul/conf$ dig @localhost -p 8600 web.service.consul. A

; <<>> DiG 9.9.5-9+deb8u14-Debian <<>> @localhost -p 8600 web.service.consul. A ; (1 server found)
;; global options: +cmd
;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 41515
;; flags: qr aa rd; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1 
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096 
;; QUESTION SECTION: ;web.service.consul. INA

;; ANSWER SECTION: 
web.service.consul. 0  IN A 10.120.184.243
web.service.consul. 0  IN A 10.120.184.216

;;  Query time: 1 msec
;;  SERVER: 127.0.0.1#8600(127.0.0.1)
;;  WHEN: Tue Aug 07 14:47:14 CST 2018
;;  MSG SIZE rcvd: 79

• 使用默认的dns接口查询该服务域名，是否可以正常解析。

root@localhost:~/consul/conf$  dig @localhost -p 53 web.service.consul. A

; <<>> DiG 9.9.5-9+deb8u14-Debian <<>> @localhost -p 53 web.service.consul. A 
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58951
;; flags: qr aa rd; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1 
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096 
;; QUESTION SECTION: 
;web.service.consul. INA

;; ANSWER SECTION: 
web.service.consul. 0 IN A 10.120.184.243
web.service.consul. 0 IN A 10.120.184.216

;; Query time: 1 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Tue Aug 07 14:48:29 CST 2018 
;; MSG SIZE rcvd: 79

其他平台域名相关部署访问详见官网

域名服务自动注册测试

自定义check

root@localhost:~/consul/conf$  cat http.json 
{
    "service": {

        "name": "web",
        "tags": ["test web site"],
        "port": 8099,
        "check": {

            "id": "web",
            "name": "web on port 8099",
            "tcp": "localhost:8099",
            "interval": "10s",
            "timeout": "1s"
        }
    }
}

重载

consul reload

域名切换服务测试访问情况

多台agent节点开启一个web端口，并注册服务(有端口健康检查)。

模拟其中一个服务变更为另外一个域名并更新注册服务后，全部请求都到了其他可用节点。

root@localhost:~# watch "curl -s web.service.consul:8099/a"

image.png

image.png

模拟其中一个服务挂掉，会立即被server踢掉故障节点，请求到了另外一个可用节点。

image.png

image.png

配置文件动态管理

服务注册

#刷新注册服务信息
 consul reload --http-addr=10.120.169.72:8500

/#服务注册json简单样例 
root@localhost:~/consul/conf$ cat test.json 
{
    "service": {
        "name": "test",
        "tags": ["test service"],
        "port": 31030,
        "address": "10.120.169.723",
        "id": "test",
        "check": {
            "id": "api",
            "http": "http://123.58.169.72:31030",
            "interval": "3s"
        }
    }
}

watch 监控项配置

• 方法一:命令行后台执行

consul watch -type=service -service=g10 -http-addr=10.120.169.72:8500 /home/push/consulbin/test.py

• 方法二:配置文件加载。

root@localhost:~/consul/conf$ cat watch.json
{
    "watches": [{
        "type": "service",
        "service": "g10",
        "handler_type": "script",
        "args": ["python", "/home/push/consul/bin/watch.py"]
    }]
}

telmplate配置文件动态管理

• 方法一:命令行操作

consul-template -consul-addr 127.0.0.1:8500 -template "/home/test/ha_test.ctmpl:/home/test/ha_test.conf:echo 'test'>a.lo g" -once

• 方法二:嵌入watch结合使用.

#监控服务，自动生成ctmpl模版，并触发consul-template实现动态模版管理. 
root@localhost:~/consul/bin$ cat watch.py 
#!/usr/bin/python
#coding:utf8
import sys 
import json 
import os

a=json.loads(raw_input()) 
for k in a:
    for key in k: 
        print key
        print k[key]
        if key == "Service":
            print k[key]["Service"]
            print k[key]["Port"]
            print k[key]["Address"]
            log_format="log-format %si:%sp/ %ci/ %ft/ %hrl/ %r/ %ST/ %B/ %Tt" 
            ctmpl_content = """
global 
    daemon
    maxconn 30000 
    pidfile /home/push/var/run/haproxy/pid/%s_uq.pid
    stats socket /home/push/var/run/haproxy/sock/%s_uq.sock mode 644 
    log /dev/log local7 info

defaults
    mode http
    log global
    option httpclose 
    maxconn 30000 
    timeout connect 300s 
    timeout client 300s 
    timeout server 300s 
    balance roundrobin
listen {{.Name}} 
    option httplog 
    fullconn 30000
    bind *:30010
    %s
{{range service /"%s/"}}
    server {{.Name}}-uniqush {{.Address}}:{{.Port}} maxconn 30000 check inter 2000 addr {{.Address}} port {{.Port}}{{end}}"""%(k[k ey]["Service"], k[key]["Service"], log_format, k[key]["Service"])
            os.system("echo '''%s'''>>/home/push/consul/conf/%s.ctmpl"% (ctmpl_content, k[key]["Service"]))
            cmd = "/"/home/push/consul/conf/" + k[key]["Service"] + ".ctmpl:/home/push/consul/conf/" + k[key]["Service"] + ".conf" + ":echo test>a.log/"" + "-once"
            os.system("/usr/local/bin/consul-template -consul-addr 127.0.0.1:8500 -template %s &" % cmd)

template样例

{{range service "test"}} 
    {{.ID}}
    server {{.Name}}-uniqush {{.Address}}:{{.Port}} maxconn 30000 check inter 2000 addr {{.Address}} port {{.Port}}{{end}}

template语法

datacenters:在consul目录中查询所有的datacenters，{{datacenters}}

file:读取并输出本地磁盘上的文件，如果无法读取，则报错，{{file "/path/to/local/file"}} key:查询consul中该key的值，如果无法转换成一个类字符串的值，则会报错，{{key "service/redis/maxconns@east-aws"}} east-aws指定的是数据中心，{{key "service/redis/maxconns"}}

key_or_default:查询consul中该key的值，如果key不存在，则使用指定的值代替，{{key_or_default "service/redis/maxconns@east-aws" "5"}} 

ls:在consul中查询给定前缀的key的顶级域值，{{range ls "service/redis@east-aws"}} {{.Key}} {{.Value}}{{end}} 

node:查询consul目录中的单个node，如果不指定node，则是当前agent的，{{node "node1"}} 

nodes:查询consul目录中的所有nodes，你也可以指定datacenter，{{nodes "@east-aws"}}

service:查询consul中匹配的service组，{{service "release.web@east-aws"}}或者{{service "web"}}，也可以返回一组HealthService服务{{range ser vice "web@datacenter"}} server {{.Name}} {{.Address}}:{{.Port}}{{end}}，默认值返回健康的服务，如果你想返回所有服务，则{{service "web" "any "}}

services:查询consul目录中的所有services，{{services}}，也可以指定datacenter:{{services "@east-aws"}} 

tree:查询consul中给定前缀的所有K/V值，{{range tree "service/redis@east-aws"}} {{.Key}} {{.Value}}{{end}}

精细化的权限控制(ACL)

首先我们需要在leader节点上去请求获取一个Bootstrap Token，用这个token为基础生成management token配置给给其他节点，开启ACl功能。

请求:curl --request PUT http://127.0.0.1:8500/v1/acl/bootstrap

返回:{"ID":"5616a0e6-19df-0d47-8250-fe6d1d58c8fc"}

ACL配置

• 首先在所有的server节点增加acl配置(需要注意的是，所有的server都需要配置并重启consule生效。例如只配置单个server，会无效)

#server节点增加一个json结尾的acl文件 
root@localhost:~/consul/conf$ cat acl_consul.json 
{
    "acl_master_token": "5616a0e6-19df-0d47-8250-fe6d1d58c8fc",#自定义一个token， 无太多要求 
    "acl_datacenter": "dc1",    #需要做acl的数据中心 
    "acl_default_policy": "deny",   #开启acl， 默认都被deny 
    "acl_down_policy": "deny"#  在无法从acl_datacenter 或 leader 节点读取 token 的策略的情况下， 应用向下策略， deny 限制所有操作。
}

• 重启所有的consul server将配置生效。

• 查看，会发现所有的server节点的ui等权限都已经被deny。

image.png

• 获取一个初始的agent token(这里我基本给了所有权限)

请求: curl -H "X-Consul-Token: secret" -X PUT -d '{"Name": "dc1", "Type": "management"}' http://127.0.0.1:8500/v1/acl/create?token =5616a0e6-19df-0d47-8250-fe6d1d58c8fc

返回(不同节点返回的会不一样):{"ID":"df9aec62-96c3-4cb6-3f38-899d79e24112"}

获取agent token后进行acl权限(acl_token对应不同权限)配置，并重启所有配置过的consule服务，将修改生效。

root@localhost:~/consul/conf$ cat acl_consul.json 
{
    "acl_master_token":"d9f1928e-1f84-407c-ab50-9579de563df5", "acl_datacenter":"dc1",
    "acl_default_policy":"deny",
    "acl_down_policy":"deny", "acl_token":"df9aec62-96c3-4cb6-3f38-899d79e24112"
}

• 查看，初始的acl策略，通过配置文件配置生成获取。

image.png

• 通过bootstrap获取的acl token。

image.png

ACL策略控制

• 创建一个新的acl控制，期望完成自己期望的一些权限控制。

image.png

• 新建后会提供一个对应权限的token值，将该值配置到对应的consul节点的acl token参数，重启consul服务，即可实现自定义的权限控制。

#更新配置文件token参数值,如下client角色其中一个节点配置 
root@localhost:~/consul/conf$ cat /home/test/consul/conf/acl_consul.json 
{
    "acl_datacenter":"dc1",
    "acl_token":"ab351531-84d5-7286-515e-2731ee4a66f5"
}

测试

• 测试1:根据之前的acl权限设置，符合acl的控制，只允许读，不允许写入。

root@localhost:~/consul/conf$ curl -X PUT -d 'test' http://10.170.17.28:8500/v1/kv/web
rpc error making call: rpc error making call: Permission denied 

root@localhost:~/consul/conf$ curl -X GET -d 'test' http://10.170.17.28:8500/v1/kv/web
[{"LockIndex":0,"Key":"web","Flags":0,"Value":"dGVzdA==","CreateIndex":96048,"ModifyIndex":96234}] 

• 测试2:修改权限允许读写，立即生效。

image.png

#立即生效。
root@localhost:~/consul/conf$ curl -X PUT -d 'test' http://10.170.17.28:8500/v1/kv/web 
true

• 测试3:限定某个token的权限的某个service不可访问，DNS都无法解析。

image.png

image.png

ACL权限恢复

发现UI等因为token无法访问时,可以通过acl默认token设置来恢复访问。

image.png

多数据中心实现

• 加入其他数据中心。

#可命令行等指定另外数据中心的一个server节点。 
consul join -wan 其他数据中心的server节点

#也可以配置文件
retry_join_wan":[ "dc2-server-1", ... "dc2-server-N" ]

image.png

• 命令行参数

image.png

脏数据数据清理

根据service状态查询

判断servicesf是否是passing状态。返回[],则是failing，非空即为passing状态。

#service
cur http://127.0.0.1:8500/v1/health/service/服务名?passing 

#node
cur http://127.0.0.1:8500/v1/health/node/节点名?passing 

Removing Servers

• 服务实例只能在注册的Agent上进行注销!

curl -X PUT http://server_ip:8500/v1/agent/service/deregister/服务名

image.png

• 删除的方式可以是如上的api方式，也可以是删除json文件，并重载的方式即可。

Removing Nodes

• In general, if you are ever adding and removing nodes simultaneously, it is better to first add the new nodes and then remove the old nodes.

• 尝试过api删除无效、但是在新的节点进行替换node名是可行的，需要重启consul服务重新注册到servers生效。

auto removing servies

• crontab + shell

#/usr/bin/python 
 #coding:utf-8
 
 import requests 
 import json 
 import sys 
 import time 
 import gpost
 
 check_url = "http://127.0.0.1:8500/v1/agent/services"
 
 result = json.loads(requests.get(check_url).content)
 
 def msg_send(msg): 
  msg = msg
  gpost.blackhole(data={'type':'push_consul_check'},msg=msg) 
 
 def check_galaxy(groupCode):
  .......
 
 for ServerName in result.keys(): 
  try:
  #查询本节点上点所有service，如果是failing状态，则值为[]。
  services_info = requests.get("http://127.0.0.1:8500/v1/health/service/%s?passing"%ServerName).content 
  if services_info == "[]":
  msg = "Service %s will be delete after 8h."%ServerName 
  #从galaxy查询该服务是否真的已下线，否者进行delete操作 
  check_galaxy(ServerName)
  msg_send(msg)
  time.sleep(28800)
  delete_url = "http://127.0.0.1:8500/v1/agent/service/deregister/%s"%ServerName 
  delete_cmd=requests.put(delete_url)
  if delete_cmd.status_code == 200:
  msg = " %s deletc ok."%ServerName
  msg_send(msg) 
  else:
  msg = "Service %s delete fail,please check!" 
  msg_send(msg)
  sys.exit(1)
  except Exception, e: 
  gpost.blackhole(data={'type':'push_consul_check'},msg=e)

更多文章：
Consul系列:让服务Running in anywhere
Consul系列:业务系统微服务化实践
Consul系列:基于Consul的自动化应用实践
Consul系列:实战演练
Consul系列:什么是Consul?
Consul系列:Consul实现详解
Consul系列:Consul Server部署及用法介绍
Consul系列:Consul Agent部署
Consul系列:Consul Agent用法介绍(一)
Consul系列:Consul Agent用法介绍(二)
Consul系列:Consul Agent用法介绍(三)
Consul系列:Consul Agent用法介绍(四)
Consul系列:Consul Agent用法介绍(五)
Consul系列:Consul API用法介绍
Consul系列:Consul Registrator介绍
Consul系列:Consul Connect介绍
Consul系列:Consul集群运维指引
Consul系列:Consul监控介绍
Consul系列:模版渲染与ACL控制