概述
在以前文章 如何在阿里云上安全的存放您的配置 - 续 中,咱们讲述了云上安全存放配置的方法。基于前文原理,本文将以代码示例方式讲解如何基于配置中心产品 ACM 将应用配置(如 数据库链接配置)从应用程序代码中解耦,从而达到如下目的:html
- 安全合规:应用程序和生产环境上将不须要发布和持久化任何程序敏感信息;
- 敏捷发布:数据库链接串配置修改动态生效,不须要程序从新发布甚至重启;
示例程序架构和准备工做
文章中的示例将分为如下几个步骤:java
- 配置 ACM 和 RAM,设置 ECS RAM Role,并进行 ACM 受权,来受权 ECS 上的应用免 AK/SK(即 AccessKey/SecretKey) 来调用 ACM;
-
读取配置程序编写:使用 ACM Java SDK 动态读取配置内容,来进行数据库配置。mysql
-
其中,程序中不含任何敏感配置,如数据库链接串,阿里云 AK/SK等;sql
- 数据库链接串在 ACM 上动态刷新,应用不停机。
-
程序代码架构以下图所示:数据库
开始前,用户应准备好:安全
- 在阿里云上购买 ECS;
- 在阿里云上开通 ACM, RAM 等免费服务产品;
- 准备好数据库,可在阿里云上开通数据库或在 ECS 上自行搭建,数据库里面可准备好一张 user 表,并准备若干记录;
- 准备好可访问数据库的 Java 应用程序 (或从这里下载完整代码示例下载)。
配置ACM和RAM
该章节分为两个部分:架构
- 在 ACM 中配置相关敏感信息;
- 经过 RAM 设置用户的 ECS 的 RAM Role;
在 ACM 控制台中建立配置
代码示例所需数据库链接的配置运维
- Data ID:
com.alibaba.cloud.acm:jdbc-sample.properties - Group:非必选,在“更多高级选项”中,默认值为“DEFAULT_GROUP”
DEFAULT_GROUP - 配置内容, 可根据实际状况进行配置:
jdbc.url=xxx
jdbc.username=xxx
jdbc.password=xxxide
配置 ECS RAM Role
在ACM程序访问中,用户可设置 AccessKey、SecretKey 属性的方式来访问 ACM 产品,可是在本文中推荐经过“ECS 实例角色”的方式来访问ACM。该方式自动获取临时凭证,提升安全性和下降运维成本,凭证周期由 ACM SDK 自动维护,应用运行时只需设置 JVM 参数“-Dram.role.name=ramRoleName”,ramRoleName”,ramRoleName 为授予该 ECS 的 RAM 角色名称,如 ECS-RAM。运行命令以下:函数
java -jar -Dram.role.name=ECS-RAM sample-1.0-SNAPSHOT-jar-with-dependencies.jar
关于如何设置 ECS 实例角色,请参考“ECS 实例角色”文章。为减小文章篇幅,本文不赘述了。
读取配置程序编写
该章节分为三个部分:
- 在 ACM 中初始化 ACM 链接,用户仅需填写配置信息,无需填写 AK/SK 敏感信息;
- 读取 ACM 配置,并监听配置变化;
- 相关业务代码编写,根据需求创建数据库链接并查询数据;
在程序中初始化 ACM,并读取相关配置
- namespace:命名空间 ID,在控制台“命名空间详情”的“命名空间ID”处能够获取到
- endpoint: ACM 链接域,在控制台“命名空间详情”的“End Point”处能够获取到
private void initACM() {
Properties properties = new Properties();
String namespace = "1ca01ca0-11b0-1e01-0df1-d1010101bc10";
String endpoint = "acm.aliyun.com";
properties.put("endpoint", endpoint);
properties.put("namespace", namespace);
ConfigService.init(properties);
}
经过 ACM 获取配置并监听配置变化
获取数据库链接配置的内容,而且添加配置监听器。当数据库链接配置的内容须要变动,在 ACM 控制台修改后,程序实时接收到新的内容,新的数据库链接也实时生效,不中断程序的运行。
- dataId:刚刚新建配置时 Data ID 所填写的值
- group:刚刚新建配置时 Group 所填写的值,默认为“DEFAULT_GROUP”,隐藏在“更多高级选项”中
private void initJDBCProperties() throws ConfigException {
String dataId = "com.alibaba.cloud.acm:jdbc-sample.properties";
String group = "DEFAULT_GROUP";
properties = ConfigService.getConfig2Properties(dataId, group, 3000);
// 添加配置监听
ConfigService.addListener(dataId, group, new ConfigChangeListener() {
@Override
public void receiveConfigInfo(String content) {
Properties properties = new Properties();
try {
properties.load(new StringReader(content));
} catch (IOException e) {
LOGGER.error("addListener", e);
}
SampleApp.this.properties = properties;
}
});
}
创建数据库链接并查询数据
从 ACM 获取到的链接数据库所需的地址、用户名、密码,经过 MySQL JDBC 驱动包“mysql-connector-java”与 MySQL 服务创建链接。接着,再查询“user”表的总记录数,返回给函数调用者。
注: 程序中使用的链接信息为ACM中保存的最新的数据库链接信息,链接信息经过上面的ACM的监听配置程序进行动态刷新,从而保证为最新。
private int count() {
String url = properties.getProperty("jdbc.url");
String username = properties.getProperty("jdbc.username");
String password = properties.getProperty("jdbc.password");
Connection connection = null;
Statement statement = null;
ResultSet resultSet = null;
try {
connection = DriverManager.getConnection(url, username, password);
statement = connection.createStatement();
resultSet = statement.executeQuery("select count(*) from `user`");
if (resultSet.next()) {
return resultSet.getInt(1);
}
} catch (SQLException e) {
LOGGER.error("count", e);
} finally {
close(connection, statement, resultSet);
}
return 0;
}
测试运行
若是你按照本片文章前面工做,完成了 ECS RAM Role 设置和受权之后,可在不设置任何 AK/SK 状况下,将程序实例打包成可执行 jar 后,上传到对应的 ECS 环境上运行便可。当程序运行时,如 如何在阿里云上安全的存放您的配置 - 续 文章所描述的,程序将自动获取临时凭证访问 ACM,凭证周期由 ACM SDK 自动维护。应用运行时只需设置 JVM 参数“-Dram.role.name=ramRoleName”,ramRoleName”,ramRoleName 为授予该 ECS 的 RAM 角色名称,如 ECS-RAM。运行命令以下:
java -jar -Dram.role.name=ECS-RAM sample-1.0-SNAPSHOT-jar-with-dependencies.jar
本代码示例经过 ACM 控制台配置 JDBC 的链接属性,再使用 ACM Java SDK 读取配置内容,与 MySQL 创建链接,查询“用户”数据,最后将结果打印出来,控制台输出内容以下:
总记录数: 9
注:若是是在您本身电脑上或本地测试,须要手动设置 AccessKey、SecretKey 属性,才能够访问 ACM 产品,目前支持三种设置方式,本示例可以使用环境变量,以下:
spas_accessKey=xxx spas_secretKey=xxx