使用Docker-ompose快速构建Nacos服务

发布于

使用Docker-ompose快速构建Nacos服务

在微服务架构中,服务的注册与发现扮演着至关重要的角色。Nacos(Naming and Configuration Service)是阿里巴巴开源的服务注册与发现组件,致力于支持动态配置管理和服务发现。最近,一位朋友表达了对搭建一套Nacos开发环境的兴趣。先前,我们曾发布了一篇有关在Linux上直接部署Nacos的文章,标题为《Linux下部署Nacos》。如有兴趣的读者可以前往查阅。

值得注意的是,今天我们在生产环境中扫描出一个关于Nacos的安全漏洞。在本文中,我们将详细介绍如何利用Docker-compose快速构建Nacos服务,并分享修复Nacos漏洞的方法,以确保您的微服务架构拥有可靠的服务注册与发现功能。

部署Nacos

Nacos官方文档中也提供了关于使用Docker部署的详细介绍,对这方面感兴趣的读者们可以前往查阅。我么在本文中将以2.3.0版本为例部署。

github地址:https://github.com/nacos-group/nacos-docker

nacos github 地址:https://github.com/alibaba/nacos

文档地址:https://nacos.io/zh-cn/docs/v2/quickstart/quick-start-docker.html

第一步:创建mysql的数据库表

因为我们已经有mysql数据库了,所以此处我们只需要创建数据库,导入数据即可。对应数据库文件可在nacos github中根据自己的版本去copy,我们此处部署的2.3.0,所以我们是直接复制如下文件运行的:

我们直接将这个sql文本贴到此处,部署2.3.0的朋友们也不用去下载了

nacos-db.sql

代码语言:javascript
复制
/*
 * Copyright 1999-2018 Alibaba Group Holding Ltd.
 *
 * Licensed under the Apache License, Version 2.0 (the "License");
 * you may not use this file except in compliance with the License.
 * You may obtain a copy of the License at
 *
 *      http://www.apache.org/licenses/LICENSE-2.0
 *
 * Unless required by applicable law or agreed to in writing, software
 * distributed under the License is distributed on an "AS IS" BASIS,
 * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
 * See the License for the specific language governing permissions and
 * limitations under the License.
 */

//

/   数据库全名 = nacos_config   /

/   表名称 = config_info   /

//

CREATE TABLE config_info (

id bigint(20) NOT NULL AUTO_INCREMENT COMMENT 'id',

data_id varchar(255) NOT NULL COMMENT 'data_id',

group_id varchar(128) DEFAULT NULL,

content longtext NOT NULL COMMENT 'content',

md5 varchar(32) DEFAULT NULL COMMENT 'md5',

gmt_create datetime NOT NULL DEFAULT '2010-05-05 00:00:00' COMMENT '创建时间',

gmt_modified datetime NOT NULL DEFAULT '2010-05-05 00:00:00' COMMENT '修改时间',

src_user text COMMENT 'source user',

src_ip varchar(20) DEFAULT NULL COMMENT 'source ip',

app_name varchar(128) DEFAULT NULL,

tenant_id varchar(128) DEFAULT '' COMMENT '租户字段',

c_desc varchar(256) DEFAULT NULL,

c_use varchar(64) DEFAULT NULL,

effect varchar(64) DEFAULT NULL,

type varchar(64) DEFAULT NULL,

c_schema text,

encrypted_data_key text NOT NULL COMMENT '密钥',

PRIMARY KEY (id),

UNIQUE KEY uk_configinfo_datagrouptenant (data_id,group_id,tenant_id)

) ENGINE=InnoDB DEFAULT CHARSET=utf8 COLLATE=utf8_bin COMMENT='config_info';


//

/   数据库全名 = nacos_config   /

/   表名称 = config_info_aggr   /

//

CREATE TABLE config_info_aggr (

id bigint(20) NOT NULL AUTO_INCREMENT COMMENT 'id',

data_id varchar(255) NOT NULL COMMENT 'data_id',

group_id varchar(128) NOT NULL COMMENT 'group_id',

datum_id varchar(255) NOT NULL COMMENT 'datum_id',

content longtext NOT NULL COMMENT '内容',

gmt_modified datetime NOT NULL COMMENT '修改时间',

app_name varchar(128) DEFAULT NULL,

tenant_id varchar(128) DEFAULT '' COMMENT '租户字段',

PRIMARY KEY (id),

UNIQUE KEY uk_configinfoaggr_datagrouptenantdatum (data_id,group_id,tenant_id,datum_id)

) ENGINE=InnoDB DEFAULT CHARSET=utf8 COLLATE=utf8_bin COMMENT='增加租户字段';


//

/   数据库全名 = nacos_config   /

/   表名称 = config_info_beta   /

//

CREATE TABLE config_info_beta (

id bigint(20) NOT NULL AUTO_INCREMENT COMMENT 'id',

data_id varchar(255) NOT NULL COMMENT 'data_id',

group_id varchar(128) NOT NULL COMMENT 'group_id',

app_name varchar(128) DEFAULT NULL COMMENT 'app_name',

content longtext NOT NULL COMMENT 'content',

beta_ips varchar(1024) DEFAULT NULL COMMENT 'betaIps',

md5 varchar(32) DEFAULT NULL COMMENT 'md5',

gmt_create datetime NOT NULL DEFAULT '2010-05-05 00:00:00' COMMENT '创建时间',

gmt_modified datetime NOT NULL DEFAULT '2010-05-05 00:00:00' COMMENT '修改时间',

src_user text COMMENT 'source user',

src_ip varchar(20) DEFAULT NULL COMMENT 'source ip',

tenant_id varchar(128) DEFAULT '' COMMENT '租户字段',

encrypted_data_key text NOT NULL COMMENT '密钥',

PRIMARY KEY (id),

UNIQUE KEY uk_configinfobeta_datagrouptenant (data_id,group_id,tenant_id)

) ENGINE=InnoDB DEFAULT CHARSET=utf8 COLLATE=utf8_bin COMMENT='config_info_beta';


//

/   数据库全名 = nacos_config   /

/   表名称 = config_info_tag   /

//

CREATE TABLE config_info_tag (

id bigint(20) NOT NULL AUTO_INCREMENT COMMENT 'id',

data_id varchar(255) NOT NULL COMMENT 'data_id',

group_id varchar(128) NOT NULL COMMENT 'group_id',

tenant_id varchar(128) DEFAULT '' COMMENT 'tenant_id',

tag_id varchar(128) NOT NULL COMMENT 'tag_id',

app_name varchar(128) DEFAULT NULL COMMENT 'app_name',

content longtext NOT NULL COMMENT 'content',

md5 varchar(32) DEFAULT NULL COMMENT 'md5',

gmt_create datetime NOT NULL DEFAULT '2010-05-05 00:00:00' COMMENT '创建时间',

gmt_modified datetime NOT NULL DEFAULT '2010-05-05 00:00:00' COMMENT '修改时间',

src_user text COMMENT 'source user',

src_ip varchar(20) DEFAULT NULL COMMENT 'source ip',

PRIMARY KEY (id),

UNIQUE KEY uk_configinfotag_datagrouptenanttag (data_id,group_id,tenant_id,tag_id)

) ENGINE=InnoDB DEFAULT CHARSET=utf8 COLLATE=utf8_bin COMMENT='config_info_tag';


//

/   数据库全名 = nacos_config   /

/   表名称 = config_tags_relation   /

//

CREATE TABLE config_tags_relation (

id bigint(20) NOT NULL COMMENT 'id',

tag_name varchar(128) NOT NULL COMMENT 'tag_name',

tag_type varchar(64) DEFAULT NULL COMMENT 'tag_type',

data_id varchar(255) NOT NULL COMMENT 'data_id',

group_id varchar(128) NOT NULL COMMENT 'group_id',

tenant_id varchar(128) DEFAULT '' COMMENT 'tenant_id',

nid bigint(20) NOT NULL AUTO_INCREMENT,

PRIMARY KEY (nid),

UNIQUE KEY uk_configtagrelation_configidtag (id,tag_name,tag_type),

KEY idx_tenant_id (tenant_id)

) ENGINE=InnoDB DEFAULT CHARSET=utf8 COLLATE=utf8_bin COMMENT='config_tag_relation';


//

/   数据库全名 = nacos_config   /

/   表名称 = group_capacity   /

//

CREATE TABLE group_capacity (

id bigint(20) unsigned NOT NULL AUTO_INCREMENT COMMENT '主键ID',

group_id varchar(128) NOT NULL DEFAULT '' COMMENT 'Group ID,空字符表示整个集群',

quota int(10) unsigned NOT NULL DEFAULT '0' COMMENT '配额,0表示使用默认值',

usage int(10) unsigned NOT NULL DEFAULT '0' COMMENT '使用量',

max_size int(10) unsigned NOT NULL DEFAULT '0' COMMENT '单个配置大小上限,单位为字节,0表示使用默认值',

max_aggr_count int(10) unsigned NOT NULL DEFAULT '0' COMMENT '聚合子配置最大个数,,0表示使用默认值',

max_aggr_size int(10) unsigned NOT NULL DEFAULT '0' COMMENT '单个聚合数据的子配置大小上限,单位为字节,0表示使用默认值',

max_history_count int(10) unsigned NOT NULL DEFAULT '0' COMMENT '最大变更历史数量',

gmt_create datetime NOT NULL DEFAULT '2010-05-05 00:00:00' COMMENT '创建时间',

gmt_modified datetime NOT NULL DEFAULT '2010-05-05 00:00:00' COMMENT '修改时间',

PRIMARY KEY (id),

UNIQUE KEY uk_group_id (group_id)

) ENGINE=InnoDB DEFAULT CHARSET=utf8 COLLATE=utf8_bin COMMENT='集群、各Group容量信息表';


//

/   数据库全名 = nacos_config   /

/   表名称 = his_config_info   /

//

CREATE TABLE his_config_info (

id bigint(64) unsigned NOT NULL,

nid bigint(20) unsigned NOT NULL AUTO_INCREMENT,

data_id varchar(255) NOT NULL,

group_id varchar(128) NOT NULL,

app_name varchar(128) DEFAULT NULL COMMENT 'app_name',

content longtext NOT NULL,

md5 varchar(32) DEFAULT NULL,

gmt_create datetime NOT NULL DEFAULT '2010-05-05 00:00:00',

gmt_modified datetime NOT NULL DEFAULT '2010-05-05 00:00:00',

src_user text,

src_ip varchar(20) DEFAULT NULL,

op_type char(10) DEFAULT NULL,

tenant_id varchar(128) DEFAULT '' COMMENT '租户字段',

encrypted_data_key text NOT NULL COMMENT '密钥',

PRIMARY KEY (nid),

KEY idx_gmt_create (gmt_create),

KEY idx_gmt_modified (gmt_modified),

KEY idx_did (data_id)

) ENGINE=InnoDB DEFAULT CHARSET=utf8 COLLATE=utf8_bin COMMENT='多租户改造';


//

/   数据库全名 = nacos_config   /

/   表名称 = tenant_capacity   /

//

CREATE TABLE tenant_capacity (

id bigint(20) unsigned NOT NULL AUTO_INCREMENT COMMENT '主键ID',

tenant_id varchar(128) NOT NULL DEFAULT '' COMMENT 'Tenant ID',

quota int(10) unsigned NOT NULL DEFAULT '0' COMMENT '配额,0表示使用默认值',

usage int(10) unsigned NOT NULL DEFAULT '0' COMMENT '使用量',

max_size int(10) unsigned NOT NULL DEFAULT '0' COMMENT '单个配置大小上限,单位为字节,0表示使用默认值',

max_aggr_count int(10) unsigned NOT NULL DEFAULT '0' COMMENT '聚合子配置最大个数',

max_aggr_size int(10) unsigned NOT NULL DEFAULT '0' COMMENT '单个聚合数据的子配置大小上限,单位为字节,0表示使用默认值',

max_history_count int(10) unsigned NOT NULL DEFAULT '0' COMMENT '最大变更历史数量',

gmt_create datetime NOT NULL DEFAULT '2010-05-05 00:00:00' COMMENT '创建时间',

gmt_modified datetime NOT NULL DEFAULT '2010-05-05 00:00:00' COMMENT '修改时间',

PRIMARY KEY (id),

UNIQUE KEY uk_tenant_id (tenant_id)

) ENGINE=InnoDB DEFAULT CHARSET=utf8 COLLATE=utf8_bin COMMENT='租户容量信息表';


CREATE TABLE tenant_info (

id bigint(20) NOT NULL AUTO_INCREMENT COMMENT 'id',

kp varchar(128) NOT NULL COMMENT 'kp',

tenant_id varchar(128) default '' COMMENT 'tenant_id',

tenant_name varchar(128) default '' COMMENT 'tenant_name',

tenant_desc varchar(256) DEFAULT NULL COMMENT 'tenant_desc',

create_source varchar(32) DEFAULT NULL COMMENT 'create_source',

gmt_create bigint(20) NOT NULL COMMENT '创建时间',

gmt_modified bigint(20) NOT NULL COMMENT '修改时间',

PRIMARY KEY (id),

UNIQUE KEY uk_tenant_info_kptenantid (kp,tenant_id),

KEY idx_tenant_id (tenant_id)

) ENGINE=InnoDB DEFAULT CHARSET=utf8 COLLATE=utf8_bin COMMENT='tenant_info';


CREATE TABLE users (

username varchar(50) NOT NULL PRIMARY KEY,

password varchar(500) NOT NULL,

enabled boolean NOT NULL

);


CREATE TABLE roles (

username varchar(50) NOT NULL,

role varchar(50) NOT NULL,

constraint uk_username_role UNIQUE (username,role)

);


CREATE TABLE permissions (

role varchar(50) NOT NULL,

resource varchar(512) NOT NULL,

action varchar(8) NOT NULL,

constraint uk_role_permission UNIQUE (role,resource,action)

);


INSERT INTO users (username, password, enabled) VALUES ('nacos', '$2a$10$EuWPZHzz32dJN7jexM34MOeYirDdFAZm2kuWj7VEOJhhZkDrxfvUu', TRUE);


INSERT INTO roles (username, role) VALUES ('nacos', 'ROLE_ADMIN');

第二步:创建docker-compose.yml文件

首先我们创建一个Nacos的部署目录 nacos,在目录nacos 下创建一个 docker-compose.yml 文件,内容如下:

代码语言:javascript
复制
version: "3.8"

services:

nacos:

image: nacos/nacos-server:v2.3.0

container_name: nacos-standalone-mysql

env_file:

- ./nacos-standlone-mysql.env

volumes:

- ./standalone-logs/:/home/nacos/logs

ports:

- "8848:8848"

- "9848:9848"

restart: always

创建nacos-standlone-mysql.env 文件

代码语言:javascript
复制
PREFER_HOST_MODE=192.168.10.106

MODE=standalone

SPRING_DATASOURCE_PLATFORM=mysql

MYSQL_SERVICE_HOST=192.168.10.106

MYSQL_SERVICE_DB_NAME=nacos

MYSQL_SERVICE_PORT=3306

MYSQL_SERVICE_USER=root

MYSQL_SERVICE_PASSWORD=123456

MYSQL_SERVICE_DB_PARAM=characterEncoding=utf8&connectTimeout=1000&socketTimeout=3000&autoReconnect=true&useUnicode=true&useSSL=false&serverTimezone=Asia/Shanghai&allowPublicKeyRetrieval=true

NACOS_AUTH_IDENTITY_KEY=xiuji

NACOS_AUTH_IDENTITY_VALUE=xiuji2024

NACOS_AUTH_ENABLE=true

NACOS_AUTH_TOKEN=MTQ3NmViZDctOTJiNC00MmZmLWJhNmItMjA4MzA3ZTUyYmZj

注:

  • nacos镜像版本前边有个v,比如 v2.3.0对应的是nacos2.3.0 版本。
  • NACOS_AUTH_ENABLE=true:开启权限系统

2.2.2版本之前的Nacos默认控制台,无论服务端是否开启鉴权,都会存在一个登录页;这导致很多用户被误导认为Nacos默认是存在鉴权的。在社区安全工程师的建议下,Nacos自2.2.2版本开始,在未开启鉴权时,默认控制台将不需要登录即可访问,同时在控制台中给予提示,提醒用户当前集群未开启鉴权。

  • NACOS_AUTH_TOKEN=MTQ3NmViZDctOTJiNC00MmZmLWJhNmItMjA4MzA3ZTUyYmZj

NACOS_AUTH_TOKEN也就是nacos配置文件中的nacos.core.auth.plugin.nacos.token.secret.key nacos.core.auth.plugin.nacos.token.secret.key=SecretKey012345678901234567890123456789012345678901234567890123456789(2.2.0.1后无默认值),这个值我们如果部署的是2.2.0.1 之前版本的话需要修改这个默认值,不然会有安全漏洞,文章后便我们会介绍。

  • 公用属性配置如下表所示

属性名称

描述

选项

MODE

系统启动方式: 集群/单机

cluster/standalone默认 cluster

NACOS_SERVERS

集群地址

p1:port1空格ip2:port2 空格ip3:port3

PREFER_HOST_MODE

支持IP还是域名模式

hostname/ip 默认 ip

NACOS_SERVER_PORT

Nacos 运行端口

默认 8848

NACOS_SERVER_IP

多网卡模式下可以指定IP

SPRING_DATASOURCE_PLATFORM

单机模式下支持MYSQL数据库

mysql / 空 默认:空

MYSQL_SERVICE_HOST

数据库 连接地址

MYSQL_SERVICE_PORT

数据库端口

默认 : 3306

MYSQL_SERVICE_DB_NAME

数据库库名

MYSQL_SERVICE_USER

数据库用户名

MYSQL_SERVICE_PASSWORD

数据库用户密码

MYSQL_SERVICE_DB_PARAM

数据库连接参数

default : characterEncoding=utf8&connectTimeout=1000&socketTimeout=3000&autoReconnect=true&useSSL=false

MYSQL_DATABASE_NUM

数据库编号

默认 :1

JVM_XMS

-Xms

默认 :1g

JVM_XMX

-Xmx

默认 :1g

JVM_XMN

-Xmn

默认 :512m

JVM_MS

-XX:MetaspaceSize

默认 :128m

JVM_MMS

-XX:MaxMetaspaceSize

默认 :320m

NACOS_DEBUG

是否开启远程DEBUG

y/n 默认 :n

TOMCAT_ACCESSLOG_ENABLED

server.tomcat.accesslog.enabled

默认 :false

NACOS_AUTH_SYSTEM_TYPE

权限系统类型选择,目前只支持nacos类型

默认 :nacos

NACOS_AUTH_ENABLE

是否开启权限系统

默认 :false

NACOS_AUTH_TOKEN_EXPIRE_SECONDS

token 失效时间

默认 :18000

NACOS_AUTH_TOKEN

token

默认 :SecretKey012345678901234567890123456789012345678901234567890123456789(2.2.0.1后无默认值)

NACOS_AUTH_CACHE_ENABLE

权限缓存开关 ,开启后权限缓存的更新默认有15秒的延迟

默认 : false

MEMBER_LIST

通过环境变量的方式设置集群地址

例子:192.168.16.101:8847?raft_port=8807,192.168.16.101?raft_port=8808,192.168.16.101:8849?raft_port=8809

EMBEDDED_STORAGE

是否开启集群嵌入式存储模式

embedded 默认 : none

NACOS_AUTH_CACHE_ENABLE

nacos.core.auth.caching.enabled

default : false

NACOS_AUTH_USER_AGENT_AUTH_WHITE_ENABLE

nacos.core.auth.enable.userAgentAuthWhite

default : false

NACOS_AUTH_IDENTITY_KEY

nacos.core.auth.server.identity.key

default : serverIdentity

NACOS_AUTH_IDENTITY_VALUE

nacos.core.auth.server.identity.value

default : security

NACOS_SECURITY_IGNORE_URLS

nacos.security.ignore.urls

default : /,/error,/**/*.css,/**/*.js,/**/*.html,/**/*.map,/**/*.svg,/**/*.png,/**/*.ico,/console-fe/public/**,/v1/auth/**,/v1/console/health/**,/actuator/**,/v1/console/server/**

第三步:启动服务

在docker-compose.yml统计目录下执行如下命令启动容器:

代码语言:javascript
复制
docker-compose up -d

查看容器启动日志

代码语言:javascript
复制
docker-compose logs -f

如下所示则启动无异常

第四步:访问服务

在浏览器中输入地址访问服务,我此处是 http://192.168.10.106/nacos,我此处开启了鉴权,使用默认用户名和默认密码 登录,

  • 默认用户名:nacos
  • 默认密码:nacos

登录之后我们先修改密码,然后就可以使用nacos了

Nacos 默认密钥漏洞(CNVD-2023-17316)

Nacos存在默认的密钥SecretKey012345678901234567890123456789012345678901234567890123456789,当用户开启服务端鉴权,并且未修改默认密钥的情况下,攻击者可以利用该密钥生成登录凭证,从而访问Nacos服务端,获取敏感信息。

解决方案

  • 建议升级Nacos到2.2.0.1及以上的版本。

对于生产环境,升级版本,尤其是大版本的升级风险较大,若需升级版本的话需谨慎对待

  • 建议修改默认的密钥。

我们如果是docker部署,则将NACOS_AUTH_TOKEN=SecretKey012345678901234567890123456789012345678901234567890123456789 修改为我们自定义的值,重启服务即可

如果是在Linux直接部署的,则修改nacos.core.auth.plugin.nacos.token.secret.key的值之后重启服务即可。

官网文档描述地址:https://nacos.io/zh-cn/docs/v2/guide/user/auth.html

官网文档描述如下:

#数据库#nacos#null#部署#服务