在consol版本1.4.0中，我们发布了一个改进的访问控制列表（ACL）系统。consur的acl可以配置为保护consur UI、HTTP API、consur CLI、数据中心内的服务通信和节点通信。对于生产数据中心，建议使用ACL。acl的核心是将规则分组为策略，然后将一个或多个策略与令牌关联起来。有了这种灵活性，您可以构建ACL系统，以满足您的安全需求和威胁模型。但是，我们建议至少有一个默认策略deny all，这意味着所有请求都需要经过身份验证和授权。对于一个安全的数据中心，每个节点和每个服务都应该有自己的特权。例如，每个节点都应该获得一个ACL代理令牌，该令牌只对其自己的节点名具有节点写入权限，对预期在该客户机上注册的服务前缀具有服务读取权限。»配置ACL升级到Consul 1.4.0或更新版本后，您将需要迁移ACL令牌。这将允许您从重新设计的系统中获益，而无需再次引导整个系统。如果您是第一次设置acl，我们建议您遵循HashiCorp学习站点上的引导ACLs指南。初始引导过程可通过六个步骤完成：在所有服务器上启用ACL。创建引导令牌。创建代理策略。创建代理令牌。在所有客户端上启用ACL。本指南还介绍了几个可选步骤，包括配置匿名令牌和为UI创建令牌。本指南中的初始步骤只是一个起点，将创建一个最低限度的安全数据中心，运营商需要采取进一步的行动来创建一个更安全的数据中心。首先，我们建议每个客户机获取一个ACL代理令牌，该令牌仅对其自己的节点名具有节点写入权限，而对预期在该客户机上注册的服务前缀具有服务读取权限。»进一步考虑如果您想了解ACL系统的更多信息，我们建议您阅读ACL概述文档和ACL规则文档。