11.9 生产环境部署 - 数据结构 - 机器学习
数据结构 - 机器学习
深度学习
当前位置:首页 » 区块链精品文章 » 正文
11.9 生产环境部署
1229 人参与 2018年09月29日 14:36 分类 : 区块链精品文章 评论
Fabric CA在整个证书管理环节中处于十分核心的位置。在生产环境中部署时,必须从多个方面进行考虑,以充分确保安全性、可靠性、规范性等指标。
1.根证书的生成
根证书目前可以通过从权威机构(包括GolbalSign、VeriSign)申请,或采用自行签名的方式生成。技术上来讲,两者都可以完成部署过程,并且都能保证同样的安全。但不同场景下两者各有利弊,总结如表11-12所示。
表11-12 权威机构颁发与自行签名比较
因此,如果应用场景不仅包括私有网络,而且需要可靠的证书机制,推荐采用权威机构颁发的根证书;如果仅面向私有网络场景,并且技术团队有较丰富的证书管理经验,则可以采用自行签名的方法进行部署。
2.分层部署结构
在实际部署中,PKI推荐采用分层的结构,即不由根CA来直接签发证书,而是通过由根CA签发的中间CA甚至更下层CA(统称为intermediate CA),来实现对服务器实体和用户证书的管理,Fabric CA很好地支持了该功能。分层CA如图11-1所示。
图11-1 分层CA部署
之所以采用分层结构,是因为CA颁发证书的过程都需要CA的私钥进行签名,而一旦CA私钥发生泄露或所颁发证书被破坏,则该CA的信任性就遭到了破坏,需要对该CA以及依赖它的所有安全机制进行重建(可以想象,更换一个根CA(Root CA)将带来大量变更和挑战)。
因此,通过分层结构,可以隔离破坏的风险,即便发生私钥泄露,也只是影响到某个中间CA。并且,该CA一旦出现问题,其自身的证书很容易被上层CA撤销。同时,采用分层结构的情况下,根证书私钥可以处于离线状态,进行最强等级的保护(如采用基于硬件的机制),以保障安全。
3.TLS机制
Fabric CA采用了证书来识别网络中的身份,并进一步进行权限管控。TLS证书则从另一个维度来保护网络中的通信。
TLS证书在通信双方建立安全连接时,同样采用了证书机制来进行身份识别。最常见的情况是服务端启用TLS机制。这种情 况下客户端会事先获取服务端的证书,并请求服务端发送带有签名的消息,用可信的服务端证书进行认证。反过来,也可以对客户端进行TLS认证,这样就确保连 接到服务端的用户都是预先许可的用户。
需要注意的是,Fabric中的证书和TLS证书是两个层面:前者进行网络中的身份管理;后者确保安全连接。为了达到更安全的级别,建议同时启用这两种机制。
4.负载均衡和高可用
由于FabricCA的服务端是典型的提供RESTful请求的Web服务,因此很容易采用传统Web服务器进行扩展的方式来实现负载均衡和高可用,包括开源的Nginx、HAProxy或商用的F5等。
这里给出基于HAProxy 1.7.0+的配置例子,负载均衡到四个本地fabric-ca服务上。
新建一个配置文件haproxy.cfg,内容为:
global # 全局属性
daemon # 是否在后台运行
maxconn 4096 # 最大支持的并发连接数
defaults # 默认的参数,对其他段都起作用
mode tcp # tcp转发模式,也可以为http模式
timeout connect 5000ms # 连接到后端server的超时
timeout client 15000ms # 来自客户端的超时时间
timeout server 15000ms # 后端服务器的超时时间
frontend http-in # 前端服务http-in,接收来自客户端的请求
bind *:7054 # 监听在对外的7054端口
default_backend fabric-ca # 转发的后端服务名称
backend fabric-ca # 后端服务,转发的目标,一共四个服务
balance roundrobin
server server1 127.0.0.1:8001 maxconn 1024
server server2 127.0.0.1:8002 maxconn 1024
server server3 127.0.0.1:8003 maxconn 1024
server server4 127.0.0.1:8004 maxconn 1024
启动四个fabric-ca-server服务,分别监听到本地的8001、8002、8003、8004端口上。后端都连接到同一个数据库集群,因此数据库也需要支持高可用。
之后采用如下命令启动HAProxy服务即可:
$ haproxy -f haproxy.cfg
本章小结
本章具体讲解了Fabric CA项目提供的诸多功能,包括如何安装、配置,以及使用它来满足管控Fabric网络中身份证书的诸多需求。
基于CFSSL开源组件,Fabric CA项目提供了用户的注册、证书的分发和撤销等核心功能,并且支持分层的部署模型、TLS、负载均衡等特性,方便满足不同的复杂应用场景。
实际上,Fabric CA项目遵循了PKI体系。因此,在部署和使用PKI过程中的最佳实践可以很好地应用到Fabric CA项目中以确保安全。当然,作为一套处于核心位置的安全系统,除了技术上要尽量规避漏洞以外,在规章制度、操作流程上更要进行严格规定和充分的实践检 验。
来源:我是码农,转载请保留出处和链接!
本文链接:http://www.54manong.com/?id=907
微信号:qq444848023 QQ号:444848023
加入【我是码农】QQ群:864689844(加群验证:我是码农)
- 3.4 消息协议结构2018-10-15 11:06
- 附录 区块链专业术语表2018-09-04 22:10
- 智能合约2018-09-25 11:17
- 第八章 区块链经济学的范式革命 [49] 2018-09-14 10:53
网站分类
- 数据结构
- 数据结构视频教程
- 数据结构练习题
- 数据结构试卷
- 数据结构习题解析
- 数据结构电子书
- 数据结构精品文章
- 区块链
- 区块链精品文章
- 区块链电子书
- 大数据
- 大数据精品文章
- 大数据电子书
- 机器学习
- 机器学习精品文章
- 机器学习电子书
- 面试笔试
- 物联网/云计算
标签列表
- 数据结构 (39)
- 数据结构电子书 (20)
- 数据结构习题解析 (8)
- 数据结构试卷 (10)
- 区块链是什么 (261)
- 数据结构视频教程 (31)
- 大数据技术与应用 (12)
- 百面机器学习 (14)
- 机器学电子书 (29)
- 大数据电子书 (37)
- 程序员面试 (10)
- RFID (21)
最近发表
- 找出数组中有3个出现一次的数字
- 《百面机器学习》电子书下载
- 区块链精品电子书《深度探索区块链:Hyperledger技术与应用_区块链技术丛书》张增骏
- 区块链精品电子书《比特币:一个虚幻而真实的金融世界》
- 区块链精品电子书《图说区块链》-徐明星 & 田颖 & 李霁月
- 区块链精品电子书《是非区块链:技术、投机与泡沫》-英国《金融时报》
- 区块链精品电子书《商业区块链:开启加密经济新时代》-威廉·穆贾雅
- 区块链精品电子书《人工智能时代,一本书读懂区块链金融 (互联网_时代企业管理实战系列)》-马兆林
-
(function(){
var bp = document.createElement('script');
var curProtocol = window.location.protocol.split(':')[0];
if (curProtocol === 'https'){
bp.src = 'https://zz.bdstatic.com/linksubmit/push.js';
}
else{
bp.src = 'http://push.zhanzhang.baidu.com/push.js';
}
var s = document.getElementsByTagName("script")[0];
s.parentNode.insertBefore(bp, s);
})();
全站首页 | 数据结构 | 区块链| 大数据 | 机器学习 | 物联网和云计算 | 面试笔试
var cnzz_protocol = (("https:" == document.location.protocol) ? "https://" : "http://");document.write(unescape("%3Cspan id='cnzz_stat_icon_1276413723'%3E%3C/span%3E%3Cscript src='" + cnzz_protocol + "s23.cnzz.com/z_stat.php%3Fid%3D1276413723%26show%3Dpic1' type='text/javascript'%3E%3C/script%3E"));本站资源大部分来自互联网,版权归原作者所有!
评论专区