ACLS 不同部署场景的配置说明
K8S集群环境(物理机或虚拟机上部署 K8S集群,k8s 集群里部署 docker 容器,docker 容器里部署 aas)
1. 授权中⼼部署位置要求:授权中⼼可以访问到k8s 集群 api,容器实例内的 java 进程可以访问到授权中⼼;
2. 获取授权中⼼介质(ACLS-1.1.zip)解压;
3. 如果lib/kub-client⽬录下没有⽂件,则需要将 kube-client.zip 解压,并将⾥⾯的jar拷⻉到lib/kub-client⽬录下;
kub-client.zip
16.02MB
4. 拷⻉k8s集群配置⽂件config到${ACLS-HOME}\provider\k8s⽬录下;
5. ${ACLS-HOME}/domains/mydomain/config/vm.options⽂件⾥⾯增加配置:com.apusic.scutil.netName=acls⽹
卡名称或者固定ip地址(如果有多⽹卡的情况下需要配置此参数)
6. 获取 acls 所在节点的授权码;
7. 获取k8s集群节点 的IP,获取k8s 节点 IP ⽅法:kubectl get node <NODE_NAME> -o yaml|grep address:|awk
'{print $3}';将所有节点 IP 和 acls 的授权码⼀起提交给⾦蝶⼚商制作授权⽂件;
8. 将制作好的授权如⽂件放⼊到${ACLS-HOME}\host-license⽬录下;
9. 启动授权中⼼;
10. aas 侧配置按照常规集中授权⽅式进⾏配置,其中注意关于命名空间的配置如下:如果启动的容器不在默认的命
名空间default中,需要在容器侧通过系统参数apusic_acls_k8s_ns或JVM参数apusic_acls_k8s_ns指定命名
空间的正确值,或者设置为空字符串(apusic_acls_k8s_ns="")。
Docker 集群环境(物理机或虚拟机部署 docker 容器,docker 容器里部署 aas)
准备:查看${ACLS_HOME}/provider/spi是否存在DOCKER⽬录及⾥⾯是否存在host-docker.jar存
在,如果不存在,需要获取host-docker.tar.gz,并解压到${ACLS_HOME}/provider/spi⽬录。
host-docker.tar.gz
18.2MB
⼀、获取机器授权的⽂件,机器授权以IP地址为标识,如给172.24.2.58所在的机器进⾏授权。
⼆、创建连接到该机器的docker服务程序,通过授权中⼼安装⽬录下的bin下的⼯具进⾏创建(linux下
的⼯具为host-accounts.sh)
host-accounts.bat add -ip 172.24.2.58 -port 2376 -username test -password test -X-tls false -
provider DOCKER
参数说明:
-ip 为授权的机器,上⾯部署docker管理程序
-port 连接docker管理程序的端⼝,如2375
-username 预留字段,默认为test即可-password 预留字段,默认为test即可
-X-tls 是否开通tls连接docker管理程序,默认为false,如果设置为true,则需指定-X-certPath的值
-X-certPath 该值为⼀个⽬录,⽬录下的内容为连接docker管理程序需要的客户端证书、客户端密钥以
及ca证书,默认值以docker服务程序所在ip作为⽬录名称,如⽬录
${ACLS_HOME}\provider\spi\DOCKER\172.24.2.58
-X-local 如果授权中⼼在授权的机器上,则访问docker管理程序可以通过本地进⾏访问,该值设置为
true。默认为false
三、开通该机器的docker服务程序的远程访问
1. vi /usr/lib/systemd/system/docker.service
2. 找到[Service]下的ExecStart,增加配置-H tcp://0.0.0.0:2375 则表示开通远程访问端⼝2375
3. 配置客户端安全访问,则需要配置证书等内容(可以通过提供的cert-maker.sh⽣成证书),如--tlsverify --
tlscacert=/opt/weiys/ca/ca.pem --tlscert=/opt/weiys/ca/server-cert.pem --tlskey=/opt/weiys/ca/server
key.pem
cert-maker.sh
1.17KB
4. 保存修改的配置
5. 通过命令重新加载配置和启动 systemctl daemon-reload && systemctl restart docker
6. 查看启动状态 systemctl status docker
四、如果开启了docker服务程序的tls访问,则需要修改第2步中的配置,并配置参数-X-tls为true,指
定-X-certPath参数值,所需⽂件从第3步中的cert-maker.sh⽣成证书获取ca.pem,key.pem,cert.pem)
五、启动acls授权中⼼,导⼊机器授权⽂件到授权中⼼.在管控界⾯会显示机器授权条⽬
六、在授权的服务器上启动容器,部署中间件产品,配置连接授权中⼼进⾏测试。配置正确下,中间
件连接授权中⼼授权能够成功。
传统集群环境(物理机或虚拟机上部署 aas)
配置相对比较简单,请参考 acls 手册。