Consul : de A à Y
Il est maintenant indéniable qu’Hashicorp est une entreprise qui révolutionne l’univers de l’IAC. Entre Terraform qui est adopté par la plupart des clouds providers, Packer et Vagrant pour produire des machines ou des environnements de développement, ou encore Nomad comme alternative à Kubernetes : Hashicorp a su s’imposer via des outils fiables et efficaces.
J’oriente mes sujets d’apprentissages en fonction des tendances du moment et de mes besoins professionnels, et comme la principale évolution de la décennie (dans l’univers du développement) est la gestion des micro-services, je me suis orienté vers Kubernetes qui propose un environnement très favorable à cette pratique.
Mais Kubernetes n’est pas libre de toute contrainte, et je peux comprendre que certains milieux ne soient pas prêts à passer le cap.
C’est pour proposer une alternative à Kubernetes-Istio que j’ai commencé à apprendre Consul.
Je vais alors vous parler de Consul de A à Y, car je ne suis pas encore arrivé à la lettre Z (et je ne pense pas que j’y arriverai un jour).
Qu’est ce que Consul ?
Consul est l’outil développé par Hashicorp dans sa catégorie “Réseau”, mais ne vous découragez pas : aucune notion de réseau n’est nécéssaire à son utilisation.
En simplifiant à l’extrême : Consul permet d’interconnecter des services.
Celui-ci dispose de 2 modes de fonctionnement : agent et serveurs.
Les agents doivent identifier les services présents sur une machine, et les ajouter au catalogue de service. Les serveurs doivent orienter les requêtes d’un service à un autre.
Par exemple, je dispose de 2 micro-services : un service A qui propose un dashboard dont les informations sont récupérées depuis le service B, et le service B qui propose un API REST pour récupérer ces informations.
En temps normal : il est nécéssaire d’indiquer l’IP:PORT du service B au service A. Mais qu’en est-il du cas où nous voulons redonder le service B ? Quelle IP devrons nous donner au dashboard ? Il serait nécéssaire d’installer un HAProxy (ou autre) qui devrait rediriger en s’assurant quelles machines sont fonctionnelles ou pas. Et les HealthChecks de HAProxy ne sont pas forcement très permissifs : HAProxy ne peut pas voir l’état de santé complet de la machine…
(À noter qu’il est possible de bricoler HAProxy pour qu’il utilise le catalogue de Consul. Je laisserai un lien pour intégrer Consul et HAProxy en bas de l’article)
Sur Kubernetes, un “service” pointe forcément vers un Pod dont le liveness/readiness montre qu’il est en bonne santé (parmis une liste de pods de la même application). Avec Consul : l’agent installé va vérifier si le micro-service et le système sont fonctionnels et si les conditions sont bonnes, l’agent fait remonter que le service est disponible et le serveur va rediriger le service A vers la bonne machine.
Pour rediriger le trafic, Consul peut le faire de 3 manières différentes:
- par DNS - Consul héberge un serveur DNS redirigeant vers une IP pointant vers le micro-service demandé.
- par API/SDK - L’application doit faire une requête en REST pour obtenir l’IP du micro-service.
- par un sidecar proxy - Créant un tunnel dont le flux et l’accès sont gérés par Consul (qui peut autoriser ou non la communication entre les services).
Lorsqu’on passe par le DNS ou le sidecar, l’application n’a pas conscience de Consul.
Prenons le cas où nous passons par DNS :
- Le service A demande l’IP du domaine service-b.service.consul (Consul va directement comprendre quel service est concerné).
- Consul va vérifier si le service-b est fonctionnel (application/système).
- L’agent remonte le status de Consul.
- Consul donne l’IP du service-B.
- Le service A communique avec le B.
Information
Petite précision : Consul ne va pas vérifier en temps réel que le service B est en bonne santé. Il va constamment actualiser le statut des services, donc à la moindre requête : il sait d’avance vers quelle machine rediriger.
C’est l’usage le plus simple de Consul, mais ne vous inquietez pas : nous n’allons pas nous arreter à ça ! Il manque encore de la haute-disponibilité, des règles pour autoriser (ou pas) les services à communiquer et une bonne dose de sécurité.
Mais avant d’en arriver là : il va falloir créer notre environnement de travail.
Créer notre cluster Consul
Je n’ai parlé que de serveur Consul, mais il est possible de faire fonctionner Consul en cluster. Pour assurer un minimum de haute-dispo, il nous faudra minimum 3 noeuds :
Nombre de serveur | Taille du Quorum | Perte de serveur tolérée |
---|---|---|
1 | 1 | 0 |
2 | 2 | 0 |
3 | 2 | 1 |
4 | 3 | 1 |
5 | 3 | 2 |
6 | 4 | 2 |
7 | 4 | 3 |
Installons alors nos 3 noeuds.
Nom | IP | Description |
---|---|---|
consul-server-01 | 192.168.1.151 | Machine 01 du cluster |
consul-server-02 | 192.168.1.152 | Machine 02 du cluster |
consul-server-03 | 192.168.1.153 | Machine 03 du cluster |
Consul n’a presque aucune dépendance et est sous la forme d’un simple binaire.
Je crée 3 machines sous AlpineOS et on passe direct à l’installation.
Consul est également disponible sur la majorité des distributions Linux, voici la procédure pour l’installer sur une machine Debian.
Dans mon cas, j’utilise Alpine (comme précisé ci-dessus), voici comment j’installe Consul sur une machine Alpine:
Le package Alpine est un peu vieux, alors avec ces commandes : je place les fichiers de configuration dans /etc/consul.d/
et le dossier pour la persistence sera dans /opt/consul
(ce qui correspond à la documentation actuelle de Consul).
Créons maintenant la configuration de notre premier noeud :
Avertissement
Vous devrez adapter l’IP en fonction de votre noeud.
Ce fichier va créer notre premier noeud qui va lui-même créer le datacenter “coffee”. Il est possible de gérer plusieurs zones géographiques avec Consul, mais nous n’allons pas nous en occuper dans cet article (peut-être dans un prochain).
En utilisant ce fichier:
- Vous déclarez que le noeud est un type “serveur”.
- Vous activez l’interface WEB sur ce noeud (l’UI).
- Vous autorisez l’utilisation d’un Mesh proxy ‘Consul Connect’ (nous verrons ça plus tard).
- Vous rejoignez les clusters des noeuds suivants : “192.168.1.151”, “192.168.1.152” et “192.168.1.153”.
Peuplons ensuite les configurations des autres noeuds et en allant sur l’interface web, nous devrions avoir une “Server fault tolerance” à 1.
Information
Si l’UI est activée, l’interface est disponible sur le port 8500 en http.
Nous pouvons aussi voir les machines présentes dans le cluster via la commande consul members
:
Ajouter un client au cluster
Il existe 2 principales méthodes pour joindre une machine à un cluster :
- Via le fichier de configuration.
- Via la CLI.
La méthode que nous allons toujours privilégier est celle du fichier de configuration.
J’installe alors une nouvelle machine Alpine via la même procédure que pour les serveurs et je place le fichier de configuration suivant :
Après avoir démarré le service Consul, nous pouvons voir que la machine est bien présente dans le registre :
Cette machine accueillera un micro-service ne servant qu’à compter (je l’ai donc nommé “counting”).
Une première chose sympatique à tester est de récupérer l’IP grâce au nom de la machine :
Je n’ai pas l’usage de cette fonctionnalité mais cela permet de tester assez facilement qu’une machine est bien présente sur Consul (sans devoir passer par l’UI).
Je tiens également à vous partager cette phrase présente dans la documentation de Consul :
An agent which is already part of a cluster may join an agent in a different cluster, causing the two clusters to be merged into a single cluster.
En français : Si un agent est déjà présent dans un cluster et que nous l’ajoutons à un second cluster, ceux-ci fusionneront pour n’en créer qu’un. (Il est d’ailleurs préférable de n’avoir qu’un cluster Consul par zone géographique, et d’isoler les services si nécéssaires).
Ajouter un service
Voici le tableau représentant les machines de notre cluster :
Nom | IP | Description |
---|---|---|
consul-server-01 | 192.168.1.151 | Machine 01 du cluster |
consul-server-02 | 192.168.1.152 | Machine 02 du cluster |
consul-server-03 | 192.168.1.153 | Machine 03 du cluster |
counting | 192.168.1.120 | Micro-Service ‘Counting’ |
dashboard | 192.168.1.79 | Micro-Service ‘Dashboard’ |
Comme premier test, je vais installer un serveur web sur la machine counting et l’ajouter à notre catalogue Consul.
Le serveur web est fonctionnel sur la machine counting, maintenant je dois informer de l’existence de ce service à notre agent Consul.
Toujours sur la machine counting, je vais créer le fichier /etc/consul.d/lighttpd.hcl
.
Avec ce fichier, Consul va apprendre l’existence d’une application sur le port 80 ainsi que d’un moyen de vérifier l’état de santé de ce service.
À retenir :
- L’id doit être unique (pour identifier l’instance ciblée).
- Le nom doit être le même si plusieurs machines hébergent le même service.
- Un healthcheck permet de s’assurer que Consul ne nous redirige pas vers une application morte.
- Il est possible d’ajouter plusieurs healthchecks.
Information
Ces healthchecks peuvent se présenter sous plusieurs formes : requête HTTP, TCP, UDP ou via un script shell. Je vous laisse avec la documentation officielle qui propose de nombreux exemples : ici
Je peux maintenant interroger Consul pour obtenir l’IP du micro-service.
- DNS:
- ou via l’API:
Haute disponibilité d’un service
Maintenant, nous allons ajouter une autre machine à notre Consul, celle-ci se nomme dashboard (son nom trouvera son sens plus tard).
Je configure son config.hcl
:
J’installe lighttpd :
Et j’ajoute le service sur Consul :
Nous avons maintenant deux instances du même service lighttpd sur deux machines différentes :
Si j’interroge le service, Consul me redirigera aléatoirement sur l’une des deux machines :
En revanche, si j’arrête le serveur web sur la machine dashboard via service lighttpd stop
, Consul remarquera une indisponibilité du service grace au healthcheck.
Et à la prochaine requête : Consul nous redirigera vers la machine counting contenant le même service.
- Par DNS :
- Ou par l’API :
Ce cas pratique nous montre comment héberger deux fois la même application et assurer une redondance.
En résumant :
- En ajoutant plusieurs applications du même nom : Consul nous redirigera toujours vers une instance fonctionnelle.
- Les healthchecks déterminent quelles machines peuvent accepter la requête.
- Il est possible d’obtenir l’IP d’un service ciblé via DNS ou l’API.
Il est également possible de rajouter du “poids” à une instance pour qu’elle soit plus solicitée que les autres (voir ici).
Mise à niveau sans downtime
Jusque là, lorsque nous interrogions Consul : notre seule condition est d’avoir un service en bonne santé.
Mais il est également possible de conditionner notre requête en imposant une application disposant un certain tag.
Pour cela, il est nécéssaire d’utiliser une ‘requête préparée’ (Prepared Query) qui permet d’imposer plusieurs conditions.
Modifions le service lighttpd
de la machine dashboard
pour y ajouter les tags “prod” et “v2”.
J’en profite aussi pour changer le fichier index.html
de cette machine pour mettre le texte : ‘Production (v2)’.
Ajoutons maintenant les tags “prod” et “v1” sur le service lighttpd
de la machine counting
et changeons le fichier index.html
en ‘Production (v1)’.
Les tags d’un service sont visibles depuis l’interface web de Consul :
Créer une requête préparée
Créons un fichier front-production.json
qui définiera le service à contacter ainsi que ses tags.
Puis envoyons ce fichier à l’API de Consul pour qu’il le traite :
Une réponse indiquant l’ID de la requête nous est retournée.
Remarque
Si vous avez perdu l’ID de la requête, vous pouvez lister les requêtes préparées sur l’endpoint /v1/query. (ex: http://192.168.1.151:8500/v1/query`)
Nous pouvons maintenant interroger la requête préparée via le DNS de Consul :
Ou l’API :
Une fois la requête préparée, les clients doivent être redirigés vers cette dernière et verront l’application “v1” (présente sur la machine counting
).
Mise à jour d’une requête préparée
Maintenant, pour passer de la “v1” à la “v2” de notre application, il suffit de modifier le fichier front-production.json
pour changer le tag “v1” en “v2”.
Puis d’envoyer le fichier à l’API de Consul en utilisant la méthode PUT et l’ID de la requête préparée : /v1/query/<ID>
(sinon une nouvelle requête préparée sera créée).
Essayons maintenant d’interroger la nouvelle version de la requête préparée :
Nous pouvons alors remarquer que l’application vient d’être mise à jour sans aucun downtime.
Applications en microservices
Dans cette partie, nous allons voir comment Consul peut nous aider à gérer des applications en microservices.
Les microservices sont des applications qui sont découpées en plusieurs services. Chaque service est indépendant et peut être déployé sur une machine différente. (ex: un service pour la base de données, un service pour l’API, un service pour le front-end, etc…)
Les serveurs counting et dashboard vont héberger deux services différents: un service front (dashboard) et un service rest (counting).
Je vais utiliser l’application développée par Hashicorp pour l’exemple : demo-consul-101.
Je dépose les binaires directement sur les serveurs pour simplifier l’exemple, je n’utilise pas de gestionnaire de paquets ou de conteneurs.
Sans Consul
Dans un premier temps, nous allons voir comment fonctionne l’application sans Consul.
Nous démarrons l’application counting sur le port 9003 de la machine counting. Celle-ci est indépendante et ne nécéssite pas un autre service pour fonctionner.
L’application counting est maintenant disponible sur le port 9003 de la machine counting.
L’application dashboard demande à l’API de counting le nombre de requêtes effectuées sur le service. Il faut donc que l’application dashboard connaisse l’adresse de l’API de counting.
Cette méthode ne permet pas de gérer la haute disponibilité de l’application counting. Si le service counting tombe en panne, l’application dashboard ne pourra plus fonctionner.
Avec Consul (DNS)
Maintenant, utilisons ce que nous avons vu précédemment pour rendre l’application counting disponible via Consul.
J’ajoute le service counting sur notre catalogue Consul :
Nous pouvons démarrer le service dashboard en utilisant le DNS de Consul pour trouver l’adresse de l’API de counting.
Ainsi, il est possible de créer un service counting sur plusieurs machines et de les ajouter au catalogue Consul. L’application dashboard pourra alors interroger le service counting via le DNS de Consul et sera redirigée vers un des services counting disponibles.
Consul avec un sidecar (mesh proxy)
Dans cette partie, nous allons voir comment utiliser Consul avec un sidecar, cette méthode permet de rendre une application disponible via un tunnel sécurisé.
Il est possible d’utiliser Envoy ou Consul Connect pour créer un tunnel sécurisé entre les services (voir Consul Connect).
Information
Un sidecar est une application qui est exécutée sur la même machine. Il permet de fournir des fonctionnalités supplémentaires ou de modifier le comportement d’une application.
L’avantage est que l’usage d’un sidecar permet de chiffrer le trafic entre les services. Il est aussi possible de créer des règles pour autoriser ou non les services à communiquer entre eux.
Par simplicité, nous allons utiliser Consul Connect pour créer un tunnel sécurisé du service dashboard vers le service counting.
Avertissement
À noter qu’il faut que Consul Connect soit activé sur les serveurs Consul avec la configuration suivante :
Commençons par modifier le fichier /etc/consul.d/counting.hcl
de la machine counting :
Démarrons (si ce n’est pas déjà fait) le service counting :
Nous démarrons ensuite le sidecar sur la machine counting pour qu’il soit accessible via Consul Connect :
On passe maintenant sur la machine dashboard.
Créons le fichier /etc/consul.d/dashboard.hcl
:
Le service dashboard va utiliser le port 5000 pour communiquer avec le service counting via Consul Connect (le port de Counting n’est pas à préciser puisque Consul le connait déjà dans son catalogue).
Celui-ci va directement se connecter au service counting et va créer un tunnel sécurisé entre le service counting et Consul.
Information
À noter que le sidecar n’a pas besoin de connaître quelle machine va communiquer avec lui.
Notre sidecar (de la machine dashboard) va utiliser le port 5000 qui sera redirigé vers le service counting via Consul Connect.
Démarrons le service dashboard et le sidecar :
Et voilà, notre application dashboard utilise maintenant Consul Connect pour communiquer avec le service counting.
Avertissement
L’IP utilisée par le sidecar sera 127.0.0.1 par défault. Aucun risque de collision avec les autres services ou d’exposition sur le réseau.
L’usage de Consul Connect permet également de gérer les autorisations entre les services. Il est possible de créer des règles pour autoriser ou non les services à communiquer entre eux.
Par défault : tous les services peuvent communiquer entre eux, mais il est recommandé de créer une règle wildcard pour interdire toutes les communications et de créer les autorisations par la suite. Ces règles se nomment des intentions.
Depuis le service dashboard, on peut voir que counting est défini en tant qu’upstream :
Dans l’onglet Intention de Consul, les règles de communication entre les services sont visibles.
Nous allons créer une première règle pour interdire toutes les communications entre les services :
Si nous essayons de communiquer avec le service counting depuis le service dashboard, nous obtenons une erreur :
Pour autoriser la communication entre nos deux micro-services, il faut créer la règle suivante :
Information
Je n’autorise QUE dashboard à communiquer avec counting et non l’inverse, counting ne pourra pas contacter dashboard de lui-même.
À partir de ce moment, la communication entre les services est autorisée.
Astuce
Il est aussi possible de créer ces règles via l’API de Consul ou via le CLI.
Création de l’intention wildcard :
Création de l’intention entre les services dashboard et counting :
Liste des intentions :
Stocker des données (kv store)
Dans cette partie, nous allons voir comment stocker des données dans Consul.
Consul dispose d’un KV store (registre key:value ou clé:valeur en français) qui permet de stocker des données comme des méta-données, des configurations, des informations sur l’environnement, etc.
Je commencerai par un disclaimer : Consul n’est pas fait pour stocker des données sensibles. Ne stockez aucune clé privée, mot de passe, etc. dans Consul !
Pour cela, il existe des solutions comme Vault qui permettent de stocker des données sensibles.
Avertissement
Les objets stockés dans Consul KV sont stockés en clair et peuvent faire une taille maximale de 512Ko.
Pour enregistrer une donnée, il est possible de passer par tous les clients Consul (API, CLI, UI, etc.).
Par UI :
En CLI :
- Par l’API :
Pour récupérer une donnée, il est possible de passer par l’API, le CLI ou l’UI.
Astuce
Il est possible de voir toutes les clés stockées dans Consul via l’UI ou via la commande suivante :
Consul Template
Consul Template est un outil qui permet de générer des fichiers de configuration à partir des données stockées dans Consul KV.
Il prend en input une template et génère un fichier à partir des données récupérées.
Créons un fichier template.ctmpl
qui contient la template suivante :
Ce fichier appelle des clés stockées dans notre Consul qui doivent être créées :
Maintenant, nous allons lancer Consul Template avec la commande suivante :
Celui-ci va générer un fichier output.txt
avec le contenu suivant :
Le meilleur est que tant que Consul Template est lancé, il va surveiller les données stockées dans Consul et mettre à jour le fichier de configuration si les données changent.
L’idée est alors de générer des fichiers de configuration pour des services comme Nginx, HAProxy, etc. et de les redémarrer automatiquement si ces données sont altérées.
Pour simplifier la configuration de Consul Template, il est possible de créer un fichier de configuration config.hcl
pour définir le chemin de la template, le fichier de sortie et même une commande à exécuter après chaque mise à jour du KV Store.
Puis on relance Consul Template avec la commande suivante :
EnvConsul
EnvConsul est un outil qui permet de récupérer des données stockées dans Consul et de les injecter dans l’environnement d’un processus.
Tout comme Consul Template, il est assez simple à utiliser.
Nous créons les même clés que dans la partie précédente :
Maintenant, nous lançons la commande envconsul -prefix admin/ [ma commande]
, celle-ci va s’exécuter avec les variables d’environnement que nous avons précédemment stockées dans Consul.
Par exemple avec la commande env
:
Les arguments -upcase
et -sanitize
permettent de mettre en majuscule les clés et de remplacer les caractères invalides par des underscores.
On retrouve bel et bien nos variables d’environnement stockées dans le KV store de Consul.
Pour une application, c’est le même fonctionnement : voici un script en Golang qui va afficher les variables d’environnement (stockées dans consul dans notre cas).
Si je lance sans envconsul, j’obtiens une erreur puisque les variables d’environnement ne sont pas définies.
En utilisant envconsul, j’obtiens le résultat attendu.
EnvConsul permet alors de fournir les variables d’environnement à une application en récupérant ces données dans notre Consul.
Le meilleur dans tout ça : envconsul va mettre à jour les variables d’environnement du processus lancé si celles-ci sont modifiées dans le KV store et redémarrer l’application automatiquement.
Chiffrer les échanges
Dans cette partie, nous allons voir comment rajouter une couche de sécurité à notre cluster Consul.
Par défaut, Consul ne chiffre pas les échanges entre les agents Consul (serveurs inclus) ce qui peut poser des problèmes de sécurité. En conditions réelles, il est obligatoire de mettre en place une sécurité contre un MITM.
Créer un certificat pour chaque agent Consul permet d’authentifier ces derniers et de chiffrer les échanges entre eux.
Une méthode possible est de générer une autorité de certification (CA) et de créer des certificats pour chaque agent Consul.
Consul peut faire office de CA nativement sans avoir à installer d’autres outils.
Générer une CA et des certificats pour les serveurs
Sur un des serveurs Consul, nous allons générer une CA et des certificats pour les serveurs Consul.
Nous obtenons alors deux fichiers : consul-agent-ca.pem
et consul-agent-ca-key.pem
à conserver précieusement.
Générons maintenant les certificats pour les autres serveurs Consul (chaque serveur doit avoir son propre certificat).
J’exécute la commande deux fois pour obtenir trois paires de certificats.
Avertissement
Ces fichiers étant sensibles, je vous invite à restreindre les permissions de ces derniers pour que seul l’utilisateur consul
puisse les lire.
Depuis notre poste local, récupérons le fichier consul-agent-ca.pem
en vue d’une copie sur les autres serveurs Consul.
Nous allons maintenant récupérer les fichiers coffee-server-consul-1-key.pem
et coffee-server-consul-1.pem
et les envoyer sur consul-server-02
.
Même chose pour le serveur consul-server-03
avec les fichiers coffee-server-consul-2-key.pem
et coffee-server-consul-2.pem
.
Puis, nous allons créer le fichier de configuration tls.hcl
sur chaque serveur Consul pour activer le chiffrement TLS.
Voici le fichier sur la machine server-consul-01
, pensez à changer le nom des fichiers des certificats en fonction de la machine.
Avec le fichier de configuration précédent, les échanges entre les serveurs Consul seront chiffrés et un agent avec un certificat non-valide ne pourra pas rejoindre le cluster en tant que serveur.
À noter que ces certificats seront utilisés pour les communications RPC entre les agents Consul ainsi que pour les communications HTTP (UI et API).
Vous pouvez utiliser votre propre CA locale pour générer les certificats. La seule contrainte est que les certificats doivent provenir d’une même CA.
Vault peut également être utilisé pour générer les certificats.
Activer le chiffrement sur les clients
Maintenant que les serveurs communiquent entre eux de manière sécurisée, nous allons activer le chiffrement sur les clients.
Pour rappel, voici les IPs des machines :
Nom | IP | Description |
---|---|---|
consul-server-01 | 192.168.1.151 | Machine 01 du cluster |
consul-server-02 | 192.168.1.152 | Machine 02 du cluster |
consul-server-03 | 192.168.1.153 | Machine 03 du cluster |
counting | 192.168.1.120 | Micro-Service ‘Counting’ |
dashboard | 192.168.1.79 | Micro-Service ‘Dashboard’ |
De même que pour les serveurs, nous allons générer un certificat pour chaque client Consul.
Nous exécutons la commande deux fois pour obtenir deux paires de certificats. Une paire pour chaque machine : counting
et dashboard
. Une fois les certificats générés, nous les récupèrons sur notre poste local ainsi que le fichier consul-agent-ca.pem
(le même que pour les serveurs).
Nous envoyons la paire de certificats coffee-client-consul-0.pem
et coffee-client-consul-0-key.pem
sur la machine counting
(192.168.1.120) et la paire coffee-client-consul-1.pem
et coffee-client-consul-1-key.pem
sur la machine dashboard
(192.168.1.79). Nous devons également envoyer le fichier consul-agent-ca.pem
sur les deux machines.
Nous allons maintenant créer le fichier de configuration tls.hcl
sur chaque client Consul pour activer le chiffrement TLS.
Avertissement
N’oubliez pas de changer le nom des fichiers en fonction de la machine.
Avec le fichier de configuration précédent, les échanges entre les clients Consul seront chiffrés et un agent avec un certificat non-valide ne pourra pas rejoindre le cluster en tant que client.
Chiffrement du Gossip
Le Gossip (wikipedia) est un protocole de communication utilisé par Consul pour la découverte des agents. Celui-ci va informer les agents Consul de la présence d’un membre dans le cluster ou de sa suppression. Il est indispensable pour le bon fonctionnement de Consul.
Par défaut, le Gossip n’est pas chiffré. Nous allons donc activer le chiffrement de celui-ci.
Il est important de noter que le chiffrement du Gossip est indépendant du chiffrement TLS. Le chiffrement du Gossip n’utilise pas de certificat, c’est un chiffrement symétrique qui sera le même pour tous les agents Consul.
Créons alors notre clé de chiffrement via la CLI Consul.
Nous allons paramétrer le chiffrement du Gossip sur les serveurs et les clients. Pour cela, nous allons créer le fichier gossip.hcl
sur chaque machine.
Une fois le fichier créé, nous allons redémarrer les agents Consul sur chaque machine. Vous n’aurez qu’une petite interruption de service le temps de configurer les clés sur chaque noeud.
Astuce
Il est aussi possible de configurer le chiffrement du Gossip sans interruption !
Pour cela, entrez la clé de chiffrement mais n’activez pas le chiffrement incoming/outgoing:
Cela permettra aux agents de pouvoir déchiffrer les messages du Gossip mais pas de les chiffrer (les machines peuvent donc continuer à communiquer avec le cluster).
Activons maintenant le chiffrement des messages sortants :
Les agents peuvent envoyer du traffic chiffré, ainsi que recevoir du traffic chiffré et non-chiffré (toujours sans aucune indisponibilité).
Enfin, on peut activer le chiffrement des messages entrants (et refuser les messages non-chiffrés) :
Distribuer une nouvelle clé de chiffrement
Admettons maintenant que notre clé est compromise par un noeud infecté. Nous allons donc devoir la changer sur l’ensemble du cluster.
Plutôt que de devoir modifier tous les agents Consul, nous allons simplement distribuer la nouvelle clé de chiffrement sur chaque noeud à partir d’un des serveurs.
Il est possible de voir les clés de chiffrement utilisées par les agents Consul via la commande consul keyring -list
.
Information
La clé de chiffrement n’est pas forcément la même pour le WAN et le LAN. Ici, les clés WAN sont stockées sur les serveurs et les clés LAN sur toutes les machines.
Maintenant, nous allons créer une nouvelle clé de chiffrement et la distribuer sur chaque noeud en utilisant la commande consul keyring
.
Puis supprimons l’ancienne clé de chiffrement sur chaque noeud.
Une erreur est apparue car Consul ne vous permettra pas de supprimer une clé de chiffrement si elle est utilisée. Nous devons d’abord indiquer de quelle clé de chiffrement nous souhaitons faire usage.
Nous avons désormais une nouvelle clé de chiffrement sur l’ensemble du cluster.
Grâce à cette méthode, nous pouvons changer la clé de chiffrement sur l’ensemble du cluster sans avoir à modifier les fichiers de configuration sur chaque noeud. Hashicorp propose même un exemple de script Bash que vous pouvez exécuter régulièrement pour changer la clé de chiffrement.
Créer des ACLs
Depuis le début de cet article, nous utilisons la CLI Consul, ainsi que l’interface web comme bon nous semble. Cependant, dans un environnement de production, il est important de limiter l’accès à Consul et de définir des permissions pour les utilisateurs.
Sur Consul, nous avons les ACLs (à ne pas confondre avec les Intentions pour les services). Les ACLs permettent de définir des permissions pour les utilisateurs et les applications.
Activer les ACLs
Lors de la première activation des ACLs, nous allons paramétrer une politique de base par défaut. Il est obligatoire (pour le moment) de définir une politique par défaut qui autorise les échanges, sous peine de ne plus pouvoir accéder à Consul.
Nous allons alors nous connecter sur chaque serveur consul et créer le fichier acl.hcl
avec le contenu suivant :
On répète l’opération sur chaque serveur Consul et on redémarre le service Consul.
Une fois les ACLs activées, nous allons créer le token de bootstrap. Ce token dispose des droits absolus sur Consul. Il est donc important de le conserver précieusement.
Par défaut, lorsque nous ne sommes pas authentifiés, nous avons accès à toutes les fonctionnalités de Consul qui ne concernent pas les ACLs (grâce à la default_policy
que nous avons défini plus haut).
Si nous essayons d’accéder à une fonctionnalité qui concerne les ACLs, nous obtenons une erreur :
Pour palier à ce problème, nous pouvons utiliser le token de bootstrap. Cependant, ce token est très puissant et nous ne devons pas l’utiliser pour les opérations courantes (nous allons régler ce problème par la suite).
Définissons une variable d’environnement CONSUL_HTTP_TOKEN
dont la valeur est le SecretID du token de bootstrap.
La policy global-management
(00000000-0000-0000-0000-000000000001) permet d’accéder à toutes les fonctionnalités de Consul, il n’est pas possible de l’éditer ou de la supprimer (en revanche, il est possible de la renommer).
Une fois notre token de bootstrap créé, nous allons modifier le fichier de configuration acl.hcl
sur chaque serveur Consul pour que la default_policy
soit deny
.
Ainsi, si nous ne sommes pas authentifié, nous n’avons aucun droit et aucun accès.
Après avoir redémarré les services Consul, la commande consul members
ne devrait rien nous renvoyer si nous ne définissons pas la variable d’environnement CONSUL_HTTP_TOKEN
avec la valeur du SecretID du token de bootstrap.
Astuce
Si vous perdez le token de bootstrap, il est possible de réinitialiser les ACLs en ligne de commande. Vous pouvez consulter la documentation officielle pour plus d’informations : access-control-troubleshoot
Créer des policies
Une policy est un ensemble de règles qui définissent les permissions d’un utilisateur ou d’une application. Il sera possible de lier un token à une (ou plusieurs) policy.
Les différentes permissions sont les suivantes :
- read (autoriser à lire les données, mais pas à les modifier)
- write (autoriser à lire et modifier les données)
- deny (interdire l’accès à une ressource)
- list (autoriser à lister les ressources KV)
Il est possible d’appliquer ces permissions sur les ressources suivantes :
- agent (pour les opérations sur l’agent)
- node (pour les opérations sur les noeuds)
- service (pour les opérations sur le catalogue de services)
- key (pour les opérations sur le KV store)
- session (pour les opérations sur les sessions)
- operator (pour les opérations sur le cluster)
- acl (pour les opérations sur les policies et tokens)
Pour créer une policy, nous allons utiliser la commande consul acl policy create
:
Mais avant ça, nous allons pouvoir décrire notre policy dans un fichier .hcl
et l’appliquer avec la commande consul acl policy create -name <nom de la policy> -rules <fichier .hcl>
.
Astuce
Si la permission par défaut est deny, il vous faudra une policy pour rejoindre le cluster ou pour créer un service.
Par exemple :
Mise en place d’ACL pour les applications
Après l’activation des ACLs et de la policy par défaut deny
, les applications counting et dashboard ne sont plus présentes dans le catalogue de services et ne peuvent plus communiquer avec Consul Connect.
Nous allons commencer par créer une policy pour l’application counting, qui aura les permissions pour rejoindre le cluster en tant que counting et pour créer un service counting.
Quant à la la policy pour l’application dashboard dashboard.hcl
, qui aura les permissions pour rejoindre le cluster en tant que dashboard, pour créer un service dashboard, pour lire les services commençant par counting et enfin pour lire les informations des noeuds commençant par counting.
Nous appliquons maintenant les deux policies avec la commande consul acl policy create -name <nom de la policy> -rules <fichier .hcl>
.
Nous allons maintenant créer un token correspondant à chaque application, en lui associant la policy correspondante.
Nous obtenons les tokens suivants :
df228746-fb24-837d-cbc3-c4ad80aff27a
pour l’application counting2748f8e2-f260-76a1-325f-81363490c757
pour l’application dashboard
Nous créons ensuite un fichier de configuration sur les deux machines avec le token correspondant.
Après avoir redémarré les deux applications, nous pouvons maintenant accéder à l’application dashboard et counting.
Grâce à ces ACLs, chaque machine dispose du minimum de permissions pour fonctionner.
Différente manière d’utiliser un token
En UI, il vous faudra vous connecter en donnant un token valide. Vous pouvez utiliser le token de bootstrap ou un token que vous avez créé.
En ligne de commande, il existe plusieurs manières de spécifier un token :
- en utilisant la variable d’environnement
CONSUL_HTTP_TOKEN
- en utilisant l’option
-token
et en spécifiant le token - en utilisant l’option
-token-file
et en spécifiant le chemin vers le fichier contenant le token
Et par l’API REST, il vous faudra spécifier le token dans le header X-Consul-Token
.
Modifier les permissions par défaut
Il se peut que vous souhaitiez modifier les permissions par défaut pour permettre des actions sans devoir s’authentifier.
Par exemple, nous souhaitons permettre à toutes les machines de lister les services et les noeuds. Par défaut, voici les réponses obtenues :
Pour donner cette autorisation, nous pouvons créer une policy qui aura les permissions read
sur les services et les noeuds.
Pour l’appliquer à toutes les requêtes non-authentifiées, nous devons lier cette policy au token Anonymous.
Celui-ci est créé par défaut, et possède l’ID 00000000-0000-0000-0000-000000000002
.
Depuis l’UI, nous devons alors éditer le token Anonymous et lui associer la policy default-permissions.
(Bonus) Créer un token pour créer des snapshots
Pour créer un token qui aura les permissions pour générer des snapshots, il faut ajouter une policy qui aura les permissions write
sur les ACLs.
J’aurais bien aimé pouvoir faire mes sauvegardes avec une policy qui aurait uniquement la permission read
sur les snapshots, mais cela semble impossible.
Conclusion
J’avais prévu de faire un chapitre sur le fait d’interconnecter plusieurs clusters Consul et présenter Consul dans un cluster Kubernetes, mais après ces > 1700 lignes de markdown et le temps que j’ai passé à reproduire les différents cas, je pense que je vais m’arrêter là.
Surtout pour un article qui n’intéressera qu’un publique très restreint.
Il reste néanmoins plus qu’assez de matière pour faire d’autres articles (Consul dans Kubernetes, Extraction de métriques dans Consul Connect, Datacenter Federation, etc.), mais je pense que je vais faire une pause sur Consul pour le moment et me concentrer sur une potentielle certification HashiCorp (si j’en ai le temps et la foi).
J’espère que cet article vous aura plu et qu’il vous aura permis de mieux comprendre Consul et ses fonctionnalités !
Je ne le partage pas beaucoup, mais je possède une page Ko-Fi vous permettant de me faire un don (sans créer de compte) si vous souhaitez (et pouvez vous le permettre) soutenir financièrement mes projets.
Liens utiles
Gitalking ...