【Nacos】Nacos 双端版本升级实战手册

发布时间:2024年01月14日

在这里插入图片描述

背景

由于原来使用的 Nacos 版本(1.1.4)存在安全漏洞,需要进行升级修复。经过查询后,决定将版本升级到2.2.4。

Nacos 服务共有三个:

  • 192.168.2.190:8848
  • 192.168.2.191:8848
  • 192.168.2.192:8848

步骤

  1. 服务端升级(不开鉴权)
  2. 客户端升级
  3. 服务端开启鉴权

说明:服务端升级到 2.2.4 版本,如果不需要开启鉴权,则客户端可以不升级,因为配置中心兼容支持 Nacos1.0 起的所有版本客户端,服务发现兼容 Nacos1.2 起所有版本客户端。
具体参考:https://nacos.io/zh-cn/docs/v2/upgrading/2.0.0-compatibility.html(FAQ)

一、服务端升级

1. 修改 Nginx 代理配置(nginx.conf)

说明:在1.1.4版本时,我们对 Nacos 服务端的协议进行了升级(即 http -> https),方式是通过 Nginx 进行代理转发,从 8848 转发到 8849 端口。而在 2.2.4 版本的 Nacos 中,新增了 gRPC 的通信方式,需要新增端口,因此这里在 nginx.conf 需要新增一些端口转发配置。
具体参考:https://nacos.io/zh-cn/docs/v2/upgrading/2.0.0-compatibility.html(新版本部署)

# 具体路径以实际为准,这里仅供参考
# 若不知道配置文件位置,可通过 history 或 find ./ -name "nginx.conf" 2> /dev/null 命令查找
# 备份配置文件
cp /home/appuser/nginx/conf/nginx.conf /home/appuser/nginx/conf/nginx.conf_20240114_bak

# 修改配置文件
vim /home/appuser/nginx/conf/nginx.conf

# 在 http{} 同层级下添加以下内容
stream {
    upstream nacos-tcp {
    	# IP 与所在服务器需对应
        server 192.168.2.190:9849;
    }
    server {
        listen 9848;
        proxy_pass nacos-tcp;
    }
}

# 检查配置修改是否正确
/home/appuser/nginx/sbin/nginx -t

# 重新加载配置文件
/home/appuser/nginx/sbin/nginx -s reload
2. 执行SQL

Nacos 2.x 版本相比 Nacos 1.x 版本,数据结构有所变更,以下是相应 SQL 脚本:

注意:SQL 脚本需在新版本启动前执行,否则将启动报错

ALTER TABLE nacos_config.config_info ADD encrypted_data_key TEXT NOT NULL COMMENT '秘钥';
ALTER TABLE nacos_config.config_info_beta ADD encrypted_data_key TEXT NOT NULL COMMENT '秘钥';
ALTER TABLE nacos_config.his_config_info ADD encrypted_data_key TEXT NOT NULL COMMENT '秘钥';

CREATE TABLE nacos_config.`permissions` (
    `role` varchar(50) NOT NULL,
    `resource` varchar(255) NOT NULL,
    `action` varchar(8) NOT NULL,
    UNIQUE INDEX `uk_role_permission` (`role`,`resource`,`action`) USING BTREE
);
3. 修改配置文件

建议直接在本地修改好相应的配置文件之后,再压缩上传到服务器,避免配置文件修改不一致出现问题。

  • application.properties
    ### 服务端端口号
    server.port=8849
    
    ### 使用数据库类型
    spring.datasource.platform=mysql
    db.num=1
    db.url.0=jdbc:mysql://192.168.2.193:3306/nacos_config?characterEncoding=utf8&connectTimeout=1000&socketTimeout=3000&autoReconnect=true&useUnicode=true&useSSL=false&serverTimezone=UTC
    db.user.0=root
    db.password.0=root
    
    ### 是否开启鉴权(这里暂时不开启,因为客户端是1.1.4,开启后将会导致服务注册不了)
    nacos.core.auth.enabled=false
    
    ### 开启旧版本服务之间的鉴权方式,升级完成后关闭
    nacos.core.auth.enable.userAgentAuthWhite=true
    
    ### 白名单授权,用于标识来自其他nacos服务器的请求。(根据需要自行修改,需要保证每台nacos服务器都是一样配置)
    nacos.core.auth.server.identity.key=identityRegexp
    nacos.core.auth.server.identity.value=identityRegexp
    
    ### 用于生成accessToken的密钥(根据需要自行修改,需要保证每台nacos服务器都是一样配置)
    # 官方推荐将配置项设置为Base64编码的字符串,且原始密钥长度不得低于32字符
    nacos.core.auth.plugin.nacos.token.secret.key=aWRlbnRpdHlpZGVudGl0eWlkZW50aXR5aWRlbnRpdHlpZGVudGl0eQ==
    
  • cluster.conf
    192.168.2.190:8848
    192.168.2.191:8848
    192.168.2.192:8848
    
4. 升级服务端(依次升级)
## 上传安装包(可以通过rz命令或sftp上传)
rz

## 解压缩
unzip nacos-2.2.4.zip -d /home/appuser

## 停止旧服务
sh /home/appuser/nacos-1.1.4/bin/shutdown.sh

## 启动新服务
sh /home/appuser/nacos-2.2.4/bin/startup.sh

## 查看启动日志
tail -f /home/appuser/nacos-2.2.4/logs/start.out -n 10

## 若观察到 mybatis-plus 图标,并没有报错,即启动成功
## 登录nacos页面(https://192.168.0.190:8848/nacos)查看是否正常

二、客户端升级

据我了解,客户端升级有两种方式:

  • 第一种:直接升级 Spring Boot、Spring Cloud、Spring Cloud Alibaba 版本
  • 第二种:升级 Nacos Client 版本,并重写源码

由于我们项目比较大 + 时间紧,第一种升级方式的风险比较大,故选择第二种方式。

1. 添加依赖
<dependency>
    <groupId>com.alibaba.cloud</groupId>
    <artifactId>spring-cloud-starter-alibaba-nacos-discovery</artifactId>
    <exclusions>
        <exclusion>
            <groupId>com.alibaba.nacos</groupId>
            <artifactId>nacos-client</artifactId>
        </exclusion>
    </exclusions>
</dependency>
<dependency>
    <groupId>com.alibaba.cloud</groupId>
    <artifactId>spring-cloud-starter-alibaba-nacos-config</artifactId>
    <exclusions>
        <exclusion>
            <groupId>com.alibaba.nacos</groupId>
            <artifactId>nacos-client</artifactId>
        </exclusion>
    </exclusions>
</dependency>
<dependency>
    <groupId>com.alibaba.nacos</groupId>
    <artifactId>nacos-client</artifactId>
    <version>2.2.4</version>
</dependency>
<dependency>
    <groupId>com.alibaba.nacos</groupId>
    <artifactId>nacos-common</artifactId>
    <version>2.2.4</version>
</dependency>
2. 添加配置

bootstrap.yml

spring:
    cloud:
        nacos:
            discovery:
                username: nacos
                password: nacos
            config:
                username: nacos
                password: nacos
                contextPath: /nacos
3. 重写 Nacos 客户端源码

重写方式:在项目的 java 目录下新建需重写类所在的包路径,然后复制源码到该路径下并进行修改,比如:NacosDiscoveryProperties 类所在包路径为 com.alibaba.cloud.nacos,则在 java 目录下新建该包,然后复制源码
重写源码

  • NacosDiscoveryProperties.java

    public class NacosDiscoveryProperties {
        private String username;
        private String password;
        public String getUsername() {
            return username;
        }
        public void setUsername(String username) {
            this.username = username;
        }
        public String getPassword() {
            return password;
        }
        public void setPassword(String password) {
            this.password = password;
        }
        public Properties getNacosProperties() {
            properties.put(USERNAME, Objects.toString(username, ""));
            properties.put(PASSWORD, Objects.toString(password, ""));
        }
    }
    
  • NacosConfigProperties.java

    public class NacosConfigProperties {
        private String username;
        private String password;
        public String getUsername() {
            return username;
        }
        public void setUsername(String username) {
            this.username = username;
        }
        public String getPassword() {
            return password;
        }
        public void setPassword(String password) {
            this.password = password;
        }
        public Properties getConfigServiceProperties() {
            properties.put(USERNAME, Objects.toString(username, ""));
            properties.put(PASSWORD, Objects.toString(password, ""));
        }
    }
    

由于我们所用的 Nacos 使用的是 https 协议,所以还需要重写 ServerHttpAgent 和 NacosRestTemplate 以支持 SSL。

  • ServerHttpAgent.java

    public class ServerHttpAgent implements HttpAgent {
        public static final String HTTP = "http://";
        public static final String HTTPS = "https://";
        private static final boolean isSSL = ObjectUtils.isEmpty(System.getProperty("nacos.ssl.enable"))
                || Boolean.parseBoolean(System.getProperty("nacos.ssl.enable"));
        static {
            if (isSSL) {
                try {
                    TrustManager[] managers = new TrustManager[1];
                    managers[0] = new TrustAllManager();
                    SSLContext sc = SSLContext.getInstance("SSL");
                    sc.init(null, managers, null);
                    HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory());
                    HttpsURLConnection.setDefaultHostnameVerifier((urlHostName, session) -> true);
                } catch (Exception e) {
                    LOGGER.error("trust all https certificates fail", e);
                }
            }
        }
        public static class TrustAllManager implements X509TrustManager {
            @Override
            public void checkClientTrusted(X509Certificate[] x509Certificates, String s) {
            }
            @Override
            public void checkServerTrusted(X509Certificate[] x509Certificates, String s) {
            }
            @Override
            public X509Certificate[] getAcceptedIssuers() {
                return null;
            }
        }
        private String getUrl(String serverAddr, String relativePath, boolean isSSL) {
            String contextPath = serverListMgr.getContentPath().startsWith("/") ?
                    serverListMgr.getContentPath() : "/" + serverListMgr.getContentPath();
            String url = StringUtils.removeEnd(serverAddr, "/") + "/" + StringUtils.removeStart(contextPath, "/") + relativePath;
            if (isSSL && url.startsWith(HTTP)) {
                return HTTPS + StringUtils.removeStart(url, HTTP);
            } else {
                return url;
            }
        }
    }
    
  • NacosRestTemplate.java

    public class NacosRestTemplate extends AbstractNacosRestTemplate {
        private static final Logger LOGGER = LogUtils.logger(NacosRestTemplate.class);
        private static final boolean isSSL = ObjectUtils.isEmpty(System.getProperty("nacos.ssl.enable"))
                || Boolean.parseBoolean(System.getProperty("nacos.ssl.enable"));
        static {
            if (isSSL) {
                try {
                    TrustManager[] managers = new TrustManager[1];
                    managers[0] = new ServerHttpAgent.TrustAllManager();
                    SSLContext sc = SSLContext.getInstance("SSL");
                    sc.init(null, managers, null);
                    HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory());
                    HttpsURLConnection.setDefaultHostnameVerifier((urlHostName, session) -> true);
                } catch (Exception e) {
                    LOGGER.error("trust all https certificates fail", e);
                }
            }
        }
        public static class TrustAllManager implements X509TrustManager {
            @Override
            public void checkClientTrusted(X509Certificate[] x509Certificates, String s) {
            }
            @Override
            public void checkServerTrusted(X509Certificate[] x509Certificates, String s) {
            }
            @Override
            public X509Certificate[] getAcceptedIssuers() {
                return null;
            }
        }
    }
    

三、服务端开启鉴权

# 编辑配置文件
vim /home/appuser/nacos-2.2.4/conf/application.conf

# 找到以下行,将 false 修改为 true 即可,无需重启
nacos.core.auth.enabled=false

开启之后观察服务日志与 Nacos 日志是否正常

文章来源:https://blog.csdn.net/weixin_47429870/article/details/135583771
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。