问题场景

Nacos要部署到阿里云上面,并给其他服务器访问,但这样就会存在安全问题,这个问题在Nacos的官方开发手册上也有描述,连Nacos控制台的登录界面也写着“内网系统,不可暴露到公网”。所以这时就需要考虑到部署到外网的Nacos安全问题。

疑问

你可能会问:nacos不是有账号密码登录的吗?
nacos控制台(注意!是控制台!)确实有账号密码登录机制,但服务注册和服务发现并没有,所以居心叵测的人如果知道你外网Nacos的IP和端口,理论上可注册一个同名的服务到你的Nacos上,那么这时就会出大问题了。

解决方案

Nacos的服务端(即server)是可在配置文件中(/nacos/conf/application.properties)开启鉴权,这样客户端访问Nacos服务的时候就需要鉴权。具体可参考官方文档:关于鉴权章节

坑1:403问题

这个问题是因为spring-cloud-starter-alibaba-nacos内置的nacos-client依赖版本太低,通过修改pom排除原来的nacos-client,引入更新的1.4.0+版本即可(CSDN上也有很多解决这个问题的同类文章可参考):

        <dependency>
            <groupId>com.alibaba.cloud</groupId>
            <artifactId>spring-cloud-starter-alibaba-nacos-discovery</artifactId>
            <version>2.2.3.RELEASE</version>
            <exclusions>
                <exclusion>
                    <groupId>com.alibaba.nacos</groupId>
                    <artifactId>nacos-client</artifactId>
                </exclusion>
            </exclusions>
        </dependency>

        <dependency>
            <groupId>com.alibaba.cloud</groupId>
            <artifactId>spring-cloud-starter-alibaba-nacos-config</artifactId>
            <version>2.2.3.RELEASE</version>
            <exclusions>
                <exclusion>
                    <groupId>com.alibaba.nacos</groupId>
                    <artifactId>nacos-client</artifactId>
                </exclusion>
            </exclusions>
        </dependency>
        <dependency>
            <groupId>com.alibaba.nacos</groupId>
            <artifactId>nacos-client</artifactId>
            <version>1.4.1</version>
        </dependency>

坑2:503或unknown user问题

根据上面更换nacos-client版本一般都能解决问题,因为大部分都是nacos-client版本问题。我当时也通过以上方式成功启动了项目。**但是!!**问题又来了,启动后一直报ERROR,日志显示请求Naocs服务列表及发送心跳请求失败。我当时几乎查遍了度娘、bing、GitHub上的issue,描述遇到的问题都是关于nacos-client的版本问题,但是我已经解决了nacos-client版本问题,所以我确定并不是nacos-client的问题。通过对日志的分析,发现是Dubbo抛出的异常,这时我终于发现问题了!是因为Dubbo的问题(我的项目微服务调用并不是用OpenFeign的,而是Dubbo)
然后我在yml中关于dubbo的配置中加入了username、password

dubbo:
	registry:
		# 省略其他配置项...
		username: nacos账号
		password: nacos密码

重启服务后发现问题依旧…o(╥﹏╥)o
然后又一顿度娘,终于在一篇CSDN的文章中找到了原因及解决方案:
Dubbo + Nacos 服务启动报错,返回unknown user!
在这篇文章中提到:

“dubbo的源码中发现 username、paasword并没有实际用到,而在 RegistryConfig 类中发现 address属性值中,对username、password值进行了处理”

所以yml中dubbo关于 username、paasword的配置需要写在address配置项的值中:

dubbo:
	registry:
		# 省略其他配置项...
		address: nacos://你的Nacos地址?username=${你的Nacos的username}&password=${你的Nacos的password}

这里就会有一个小坑,如你们所见,账号密码都是以URL参数形式传递的,这就意味着如果你设置带特殊符号的复杂账号密码(然而大部分的生产环境都会设置带特殊符号的复杂账号密码)就有可能导致破坏了URL的拼接,导致账号密码只传递了一部分过去,导致鉴权失败
所以Nacos的账号密码,特别是密码,最好只由英文大小写+数字组成,不建议设置成带特殊符号的(至少不要用会影响URL拼接的特殊符号,如:#_&之类)

Logo

为开发者提供学习成长、分享交流、生态实践、资源工具等服务,帮助开发者快速成长。

更多推荐