From: 刘洪青 Date: Tue, 21 Sep 2021 09:21:26 +0000 (+0800) Subject: docs: 整理部署文档 X-Git-Url: https://source.supwisdom.com/gerrit/gitweb?a=commitdiff_plain;h=e854d09e283c9a65817be016e1ca76d2da4deacd;p=institute%2Fdeploy-authx-service.git docs: 整理部署文档 --- diff --git "a/deploy-manifests/k8s-rancher/0.1.1.\350\256\244\350\257\201\346\216\210\346\235\203\346\234\215\345\212\241\345\256\211\350\243\205\351\203\250\347\275\262\346\211\213\345\206\214.md" "b/deploy-manifests/k8s-rancher/0.1.1.\350\256\244\350\257\201\346\216\210\346\235\203\346\234\215\345\212\241\345\256\211\350\243\205\351\203\250\347\275\262\346\211\213\345\206\214.md" index a92e6a0..0e189f5 100644 --- "a/deploy-manifests/k8s-rancher/0.1.1.\350\256\244\350\257\201\346\216\210\346\235\203\346\234\215\345\212\241\345\256\211\350\243\205\351\203\250\347\275\262\346\211\213\345\206\214.md" +++ "b/deploy-manifests/k8s-rancher/0.1.1.\350\256\244\350\257\201\346\216\210\346\235\203\346\234\215\345\212\241\345\256\211\350\243\205\351\203\250\347\275\262\346\211\213\345\206\214.md" @@ -9,6 +9,7 @@ 版本 | 作者 | 日期 | 备注 - | - | - | - v1 | 刘洪青 | 2020-06-10 | 初稿 +v1.4 | 刘洪青 | 2021-09-21 | V1.4部署更新 [TOC] @@ -92,6 +93,8 @@ v1 | 刘洪青 | 2020-06-10 | 初稿 mysqldump -u root -p token_server > token_server.sql mysqldump -u root -p user > user.sql mysqldump -u root -p user_authz > user_authz.sql + mysqldump -u root -p authx_log > authx_log.sql + mysqldump -u root -p agent_service > agent_service.sql ``` @@ -101,6 +104,8 @@ v1 | 刘洪青 | 2020-06-10 | 初稿 mysql -u root -p token_server < token_server.sql mysql -u root -p user < user.sql mysql -u root -p user_authz < user_authz.sql + mysql -u root -p authx_log < authx_log.sql + mysql -u root -p agent_service < agent_service.sql ``` @@ -117,7 +122,7 @@ v1 | 刘洪青 | 2020-06-10 | 初稿 * 镜像同步 - 从 https://harbor.supwisdom.com 中同步镜像 + 从 https://harbor.supwisdom.com 中同步镜像(须申请 harbor 帐号) 仓库管理 下 新建目标 ``` @@ -129,6 +134,7 @@ v1 | 刘洪青 | 2020-06-10 | 初稿 ``` admin-portal admin-portal/* authx-service authx-service/* + authx-log authx-log/* thirdparty-agent-service thirdparty-agent-service/* @@ -136,6 +142,7 @@ v1 | 刘洪青 | 2020-06-10 | 初稿 user-authorization-service user-authorization-service/* cas-server cas-server/* token-server token-server/* + attest-server attest-server/* jobs-server jobs-server/* @@ -185,12 +192,14 @@ v1 | 刘洪青 | 2020-06-10 | 初稿 本产品安装需要的域名如下: ``` - cas.paas.xxx.edu.cn 认证(视具体情况,可调整) - token.paas.xxx.edu.cn 认证(APP适用) + cas.paas.xxx.edu.cn 认证(视具体情况,可调整;包括,CAS 认证、Token 认证、身份验证服务) + token.paas.xxx.edu.cn (废弃,合并至 cas)认证(APP适用) + + personal-security-center.paas.xxx.edu.cn (废弃,合并至 authx-service)个人安全中心后端API - personal-security-center.paas.xxx.edu.cn 个人安全中心后端API + security-center.paas.xxx.edu.cn (废弃,合并至 authx-service)安全中心前端UI(帐号激活、忘记密码) - security-center.paas.xxx.edu.cn 安全中心前端UI(帐号激活、忘记密码) + authx-service.paas.xxx.edu.cn 用户授权服务(包括,用户认证授权管理前端UI、安全中心前端UI、安全中心后端API) authx-minio.paas.xxx.edu.cn 文件服务 ``` @@ -262,18 +271,27 @@ k8s集群内部地址,为集群内部,跨namespace访问的域名地址, MINIO_SECRET_KEY | minio密钥(base64加密),默认为 8pxlIe9#lN7Q | OHB4bEllOSNsTjdR -* auth-service 下的 poa-api-docs-installer +* auth-service 下的 authx-service-bff - ConfigMap,poa-api-docs-installer-env + ConfigMap,authx-service-bff-env key | 说明 | 配置示例 - | - | - - POA_SERVER_URL | POA网关地址(外部访问地址) | http://poa.paas.xxx.edu.cn - POA_SA_SERVER_URL | POA管理接口地址(k8s集群内部地址) | http://poa-sa-svc.poa.svc.cluster.local:8443 + UNIAUTH_BASIC_AUTH_USERNAME | uniauth sa basic 认证 的 用户名 | saadmin + UNIAUTH_BASIC_AUTH_PASSWORD | uniauth sa basic 认证 的 密码 | saadminfoobar + - | - | - + CASSERVER_SA_API_SERVER_URL | CAS认证服务管理接口地址(k8s集群内部地址) | http://cas-server-sa-api-svc.cas-server.svc.cluster.local:8080 + USER_DATA_SERVICE_SERVER_URL | 用户服务管理接口地址(k8s集群内部地址) | http://user-data-service-goa-svc.user-data-service.svc.cluster.local:8080 + USER_AUTHZ_SERVICE_SERVER_URL | 授权服务管理接口地址(k8s集群内部地址) | http://user-authorization-sa-svc.user-authorization-service.svc.cluster.local:8080 + UNIAUTH_SERVER_SA_API_SERVER_URL | Uniauth 管理接口地址(k8s集群内部地址) | http://uniauth-prod-backend.uniauth.svc.cluster.local:9090 + TPAS_FILE_API_URL | 文件服务接口地址(k8s集群内部地址)
默认:minio文件服务 | http://agent-service-svc.thirdparty-agent-service.svc.cluster.local:8080/api/v1/tpas/file/minio - | - | - - USER_API_SERVER_URL | 用户服务开放接口地址(k8s集群内部地址) | http://user-data-service-poa-svc.user-data-service.svc.cluster.local:8080 - USER_AUTHZ_API_SERVER_URL | 授权服务开放接口地址(k8s集群内部地址) | http://user-authorization-poa-svc.user-authorization-service.svc.cluster.local:8080 - COMMUNICATE_API_SERVER_URL | 通信服务开放接口地址(k8s集群内部地址) | http://communicate-center-poa-svc.communicate-center.svc.cluster.local:8080 + AUTHX_LOG_ENABLED | 是否开启日志推送 | true + AUTHX_LOG_RABBITMQ_HOST | rabbit mq 服务地址(k8s集群内部地址) | rabbitmq-server.authx-service.svc.cluster.local + AUTHX_LOG_RABBITMQ_PORT | rabbit mq 服务端口 | 5672 + AUTHX_LOG_RABBITMQ_USERNAME | rabbit mq 服务用户 | + AUTHX_LOG_RABBITMQ_PASSWORD | rabbit mq 服务密码 | + * thirdparty-agent-service 下的 thirdparty-agent-service @@ -298,6 +316,20 @@ k8s集群内部地址,为集群内部,跨namespace访问的域名地址, SMS_ALIYUN_REGION_ID | 区域 | cn-hangzhou SMS_ALIYUN_ACCESS_KEY_ID | 阿里云短信服务的帐号 | SMS_ALIYUN_ACCESS_SECRET | 阿里云短信服务的密钥 | + - | - | - + FACE_AIFACE_AUTOCONFIGURE_ENABLED | 新开普人脸开启开关 | true、false + FACE_AIFACE_URL | 新开普人脸地址 | + FACE_AIFACE_APPKEY | app key | + FACE_AIFACE_APPSECRET | app secret | + FACE_AIFACE_SECRETKEY | secret key | + FACE_AIFACE_TERM_CODE | term code | + - | - | - + FACE_AIPFACE_AUTOCONFIGURE_ENABLED | 百度人脸开启开关 | true、false + FACE_AIPFACE_APPID | app id | + FACE_AIPFACE_APIKEY | app key | + FACE_AIPFACE_SECRETKEY | secret key | + FACE_AIPFACE_GROUPIDLIST | 组ID,多个用逗号分隔,最多20个 | + Secret,agent-service-env-secret @@ -316,6 +348,15 @@ k8s集群内部地址,为集群内部,跨namespace访问的域名地址, CASSERVER_SA_API_SERVER_URL | CAS认证服务管理接口地址(k8s集群内部地址) | http://cas-server-sa-api-svc.cas-server.svc.cluster.local:8080 - | - | - TPAS_FILE_API_URL | 文件服务接口地址(k8s集群内部地址)
默认:minio文件服务 | http://agent-service-svc.thirdparty-agent-service.svc.cluster.local:8080/api/v1/tpas/file/minio + - | - | - + FILE_SERVER_TYPE | 文件服务类型 | minio + FILE_SERVER_URL | 文件服务地址(外网地址) | https://authx-minio.paas.xxx.edu.cn + - | - | - + AUTHX_LOG_ENABLED | 是否开启日志推送 | true + AUTHX_LOG_RABBITMQ_HOST | rabbit mq 服务地址(k8s集群内部地址) | rabbitmq-server.authx-service.svc.cluster.local + AUTHX_LOG_RABBITMQ_PORT | rabbit mq 服务端口 | 5672 + AUTHX_LOG_RABBITMQ_USERNAME | rabbit mq 服务用户 | + AUTHX_LOG_RABBITMQ_PASSWORD | rabbit mq 服务密码 | * user-data-service 下的 user-data-service-goa @@ -335,6 +376,12 @@ k8s集群内部地址,为集群内部,跨namespace访问的域名地址, JOBS_RABBITMQ_ACCOUNTUSERSVC2JOBSSYNCPASSWORDRABBITSENDER_ENABLED | 是否同步密码(明文密码)到 jobs 的 MQ | true、false JOBS_RABBITMQ_ORGANIZATIONUSERSVC2JOBSRABBITSENDER_ENABLED | 是否同步组织机构数据至 jobs 的 MQ | true、false JOBS_RABBITMQ_GROUPUSERSVC2JOBSRABBITSENDER_ENABLED | 是否同步用户组数据至 jobs 的 MQ | true、false + - | - | - + AUTHX_LOG_ENABLED | 是否开启日志推送 | true + AUTHX_LOG_RABBITMQ_HOST | rabbit mq 服务地址(k8s集群内部地址) | rabbitmq-server.authx-service.svc.cluster.local + AUTHX_LOG_RABBITMQ_PORT | rabbit mq 服务端口 | 5672 + AUTHX_LOG_RABBITMQ_USERNAME | rabbit mq 服务用户 | + AUTHX_LOG_RABBITMQ_PASSWORD | rabbit mq 服务密码 | * user-data-service 下的 user-data-service-biz @@ -345,7 +392,15 @@ k8s集群内部地址,为集群内部,跨namespace访问的域名地址, - | - | - CASSERVER_SA_API_SERVER_URL | CAS认证服务管理接口地址(k8s集群内部地址) | http://cas-server-sa-api-svc.cas-server.svc.cluster.local:8080 - | - | - + USER_AUTHZ_SERVICE_SERVER_URL | 授权服务管理接口地址(k8s集群内部地址) | http://user-authorization-sa-svc.user-authorization-service.svc.cluster.local:8080 + - | - | - TPAS_FILE_API_URL | 文件服务接口地址(k8s集群内部地址)
默认:minio文件服务 | http://agent-service-svc.thirdparty-agent-service.svc.cluster.local:8080/api/v1/tpas/file/minio + - | - | - + AUTHX_LOG_ENABLED | 是否开启日志推送 | true + AUTHX_LOG_RABBITMQ_HOST | rabbit mq 服务地址(k8s集群内部地址) | rabbitmq-server.authx-service.svc.cluster.local + AUTHX_LOG_RABBITMQ_PORT | rabbit mq 服务端口 | 5672 + AUTHX_LOG_RABBITMQ_USERNAME | rabbit mq 服务用户 | + AUTHX_LOG_RABBITMQ_PASSWORD | rabbit mq 服务密码 | * user-authorization-service 下的 user-authorization-service-poa @@ -355,6 +410,12 @@ k8s集群内部地址,为集群内部,跨namespace访问的域名地址, key | 说明 | 配置示例 - | - | - USER_DATA_SERVICE_SERVER_URL | 用户服务管理接口地址(k8s集群内部地址) | http://user-data-service-goa-svc.user-data-service.svc.cluster.local:8080 + - | - | - + AUTHX_LOG_ENABLED | 是否开启日志推送 | true + AUTHX_LOG_RABBITMQ_HOST | rabbit mq 服务地址(k8s集群内部地址) | rabbitmq-server.authx-service.svc.cluster.local + AUTHX_LOG_RABBITMQ_PORT | rabbit mq 服务端口 | 5672 + AUTHX_LOG_RABBITMQ_USERNAME | rabbit mq 服务用户 | + AUTHX_LOG_RABBITMQ_PASSWORD | rabbit mq 服务密码 | * user-authorization-service 下的 user-authorization-service-sa @@ -363,7 +424,17 @@ k8s集群内部地址,为集群内部,跨namespace访问的域名地址, key | 说明 | 配置示例 - | - | - - 暂无 | | + USER_AUTHORIZATION_SA_USER_RABBITMQ_CONSUMER_ENABLED | 是否开启用户数据订阅 | true + USER_AUTHORIZATION_SA_USER_RABBITMQ_HOST | rabbit mq 服务地址(k8s集群内部地址) | rabbitmq-server.authx-service.svc.cluster.local + USER_AUTHORIZATION_SA_USER_RABBITMQ_PORT | rabbit mq 服务端口 | 5672 + USER_AUTHORIZATION_SA_USER_RABBITMQ_USERNAME | rabbit mq 服务用户 | + USER_AUTHORIZATION_SA_USER_RABBITMQ_PASSWORD | rabbit mq 服务密码 | + - | - | - + AUTHX_LOG_ENABLED | 是否开启日志推送 | true + AUTHX_LOG_RABBITMQ_HOST | rabbit mq 服务地址(k8s集群内部地址) | rabbitmq-server.authx-service.svc.cluster.local + AUTHX_LOG_RABBITMQ_PORT | rabbit mq 服务端口 | 5672 + AUTHX_LOG_RABBITMQ_USERNAME | rabbit mq 服务用户 | + AUTHX_LOG_RABBITMQ_PASSWORD | rabbit mq 服务密码 | * cas-server 下的 cas-server-sa-api @@ -377,6 +448,12 @@ k8s集群内部地址,为集群内部,跨namespace访问的域名地址, FEDERATION_REFRESH_REDIS_TIMER_ENABLED | 是否定时刷新联合登录帐号绑定数据
默认:true | true、false - | - | - USER_DATA_SERVICE_SA_API_SERVER_URL | 用户服务管理接口地址(k8s集群内部地址) | http://user-data-service-goa-svc.user-data-service.svc.cluster.local:8080 + - | - | - + AUTHX_LOG_ENABLED | 是否开启日志推送 | true + AUTHX_LOG_RABBITMQ_HOST | rabbit mq 服务地址(k8s集群内部地址) | rabbitmq-server.authx-service.svc.cluster.local + AUTHX_LOG_RABBITMQ_PORT | rabbit mq 服务端口 | 5672 + AUTHX_LOG_RABBITMQ_USERNAME | rabbit mq 服务用户 | + AUTHX_LOG_RABBITMQ_PASSWORD | rabbit mq 服务密码 | * cas-server 下的 cas-server-security-engine @@ -403,24 +480,6 @@ k8s集群内部地址,为集群内部,跨namespace访问的域名地址, CAS_AUTHN_TOKEN_CRYPTO_SIGNING_KEY | jwt格式的ticket的签名密钥 | `(@K7qy)awCjxp$L653Mf$2` SPRING_THYMELEAF_PREFIX | 登录页面UI的代码目录 | classpath:/templates/themes/classic/ - | - | - - CASSERVER_FEDERATION_QQ_ENABLED | 联合登录 QQ,是否启用 | true、false - CASSERVER_FEDERATION_QQ_APPID | 联合登录 QQ,appid | - CASSERVER_FEDERATION_QQ_APPKEY | 联合登录 QQ,appkey | - - | - | - - CASSERVER_FEDERATION_OPENWEIXIN_ENABLED | 联合登录 微信,是否启用 | true、false - CASSERVER_FEDERATION_OPENWEIXIN_APPID | 联合登录 微信,appid | - CASSERVER_FEDERATION_OPENWEIXIN_APPSECRET | 联合登录 微信,appsecret | - - | - | - - CASSERVER_FEDERATION_WORKWEIXIN_ENABLED | 联合登录 企业微信,是否启用 | true、false - CASSERVER_FEDERATION_WORKWEIXIN_CORPID | 联合登录 企业微信,企业ID | - CASSERVER_FEDERATION_WORKWEIXIN_AGENTID | 联合登录 企业微信,应用AgentId | - CASSERVER_FEDERATION_WORKWEIXIN_SECRET | 联合登录 企业微信,Secret | - - | - | - - CASSERVER_FEDERATION_ALIPAY_ENABLED | 联合登录 支付宝,是否启用 | true、false - CASSERVER_FEDERATION_ALIPAY_APPID | 联合登录 支付宝,appid | - CASSERVER_FEDERATION_ALIPAY_APPPRIVATEKEY | 联合登录 支付宝,应用私钥 | - CASSERVER_FEDERATION_ALIPAY_ALIPAYPUBLICKEY | 联合登录 支付宝,支付宝公钥 | - - | - | - CASSERVER_JWT_ISS | idToken 签发者标识 | cas.paas.xxx.edu.cn CASSERVER_JWT_PRIVATE_KEY_PEM_PKCS8 | idToken 签名私钥(pkcs8),参考 certs/jwt/readme.md 生成公私钥pem | CASSERVER_JWT_PUBLIC_KEY_PEM | idToken 签名公钥,参考 certs/jwt/readme.md 生成公私钥pem | @@ -433,6 +492,8 @@ k8s集群内部地址,为集群内部,跨namespace访问的域名地址, CASSERVERSITE_PASSWORDLESS_SMS_FROM | 动态密码的短信发送者 | 认证中心 CASSERVERSITE_PASSWORDLESS_SMS_TEXT_TEMPLATE | 动态密码的短信模板 | 【认证中心】您正在登录统一身份认证,本次登录的动态密码为{token},有效期5分钟,请尽快完成登录。 - | - | - + SUPERAPP_TOKEN_SIGNING_KEY_URL | TOKEN认证验签公钥地址(k8s集群内部地址) | http://token-server-svc.token-server.svc.cluster.local:8080/token/jwt/publicKey + - | - | - TPAS_AGENT_SERVICE_SERVER_URL | 代理服务接口地址(k8s集群内部地址) | http://agent-service-svc.thirdparty-agent-service.svc.cluster.local:8080 TPAS_AGENT_SERVICE_SMS_SENDER_PATH | 短信发送服务地址
console:控制台输出,默认
aliyun:阿里云短信服务
其他,支持学校定制接口 | /api/v1/tpas/sms/console/send TPAS_AGENT_SERVICE_FILE_PATH | 文件服务地址
默认:minio文件服务 | /api/v1/tpas/file/minio @@ -443,7 +504,15 @@ k8s集群内部地址,为集群内部,跨namespace访问的域名地址, - | - | - USER_AUTHZ_SERVICE_SA_API_SERVER_URL | 授权服务管理接口地址(k8s集群内部地址) | http://user-authorization-sa-svc.user-authorization-service.svc.cluster.local:8080 - | - | - - SUPERAPP_TOKEN_SIGNING_KEY_URL | TOKEN认证验签公钥地址(外部访问地址) | https://token.paas.xxx.edu.cn/jwt/publicKey + ATTEST_SERVER_URL | 身份验证服务地址(k8s集群内部地址) | http://attest-server-svc.attest-server.svc.cluster.local:8080/attest + - | - | - + IPADDR_SERVER_URL | IP地址服务 | http://ipaddr.ipaddr.svc.cluster.local:9090 + - | - | - + AUTHX_LOG_ENABLED | 是否开启日志推送 | true + AUTHX_LOG_RABBITMQ_HOST | rabbit mq 服务地址(k8s集群内部地址) | rabbitmq-server.authx-service.svc.cluster.local + AUTHX_LOG_RABBITMQ_PORT | rabbit mq 服务端口 | 5672 + AUTHX_LOG_RABBITMQ_USERNAME | rabbit mq 服务用户 | + AUTHX_LOG_RABBITMQ_PASSWORD | rabbit mq 服务密码 | * cas-server 下的 cas-server-site-scheme @@ -465,7 +534,7 @@ k8s集群内部地址,为集群内部,跨namespace访问的域名地址, key | 说明 | 配置示例 - | - | - - TOKEN_SERVER_PREFIX | TOKEN认证地址(外部访问地址) | https://token.paas.xxx.edu.cn + TOKEN_SERVER_PREFIX | TOKEN认证地址(外部访问地址) | https://token.paas.xxx.edu.cn/token - | - | - TOKEN_SERVER_SECURITY_JWT_ISS | idToken签发者标识 | token.paas.xxx.edu.cn TOKEN_SERVER_SECURITY_JWT_EXPIRATION | idToken 失效时长
默认:30天 | 2592000 @@ -488,9 +557,17 @@ k8s集群内部地址,为集群内部,跨namespace访问的域名地址, TOKEN_SERVER_PASSWORDLESS_SMS_TEXT_TEMPLATE | 动态密码的短信模板 | 【认证中心】您正在登录统一身份认证,本次登录的动态密码为{token},有效期5分钟,请尽快完成登录。 TOKEN_SERVER_PASSWORDLESS_SMS_FROM | 动态密码的短信发送者 | 认证中心 - | - | - + GETUI_SERVER_URL | 个推服务地址 | https://openapi-gy.getui.com + GETUI_GEYAN_APP_ID | 个推,个验 app id | + GETUI_GEYAN_APP_KEY | 个推,个验 app key | + GETUI_GEYAN_APP_SECRET | 个推,个验 app secret | + GETUI_GEYAN_MASTER_SECRET | 个推,个验 master secret | + - | - | - MESSAGECENTER_ENABLED | 是否对接消息平台
默认:false| true、false MESSAGECENTER_APP_ID | 应用ID(由消息平台生成)| - MESSAGECENTER_MESSAGE_TYPE_CODE_APP_LOGIN | 消息类型代码(APP 登录) | APP_LOGIN + MESSAGECENTER_MESSAGE_TYPE_CODE_APP_LOGIN | 消息类型代码,APP 登录 | APP_LOGIN + MESSAGECENTER_MESSAGE_TYPE_CODE_PASSWORD | 消息类型代码,密码修改登出 | PASSWORD + MESSAGECENTER_MESSAGE_TYPE_CODE_APPPUSH | 消息类型代码,消息推送 | APPPUSH - | - | - POA_SERVER_URL | POA网关地址(外部访问地址) | https://poa.paas.xxx.edu.cn POA_CLIENT_ID | client id | @@ -503,6 +580,23 @@ k8s集群内部地址,为集群内部,跨namespace访问的域名地址, CASSERVER_SA_API_SERVER_URL | CAS认证服务管理接口地址(k8s集群内部地址) | http://cas-server-sa-api-svc.cas-server.svc.cluster.local:8080 - | - | - USER_DATA_SERVICE_SA_API_SERVER_URL | 用户服务管理接口地址(k8s集群内部地址) | http://user-data-service-goa-svc.user-data-service.svc.cluster.local:8080 + - | - | - + ATTEST_SERVER_URL | 身份验证服务地址(k8s集群内部地址) | http://attest-server-svc.attest-server.svc.cluster.local:8080/attest + - | - | - + IPADDR_SERVER_URL | IP地址服务 | http://ipaddr.ipaddr.svc.cluster.local:9090 + - | - | - + AUTHX_LOG_ENABLED | 是否开启日志推送 | true + AUTHX_LOG_RABBITMQ_HOST | rabbit mq 服务地址(k8s集群内部地址) | rabbitmq-server.authx-service.svc.cluster.local + AUTHX_LOG_RABBITMQ_PORT | rabbit mq 服务端口 | 5672 + AUTHX_LOG_RABBITMQ_USERNAME | rabbit mq 服务用户 | + AUTHX_LOG_RABBITMQ_PASSWORD | rabbit mq 服务密码 | + - | - | - + USER_RABBITMQ_ENABLED | 是否开启用户数据的消息接收 | true + USER_RABBITMQ_HOST | rabbit mq 服务地址(k8s集群内部地址) | rabbitmq-server.authx-service.svc.cluster.local + USER_RABBITMQ_PORT | rabbit mq 服务端口 | 5672 + USER_RABBITMQ_USERNAME | rabbit mq 服务用户 | + USER_RABBITMQ_PASSWORD | rabbit mq 服务密码 | + USER_RABBITMQ_CONSUMER_ENABLED | 是否开启用户数据订阅 | true * personal-security-center 下的 personal-security-center-bff @@ -511,10 +605,10 @@ k8s集群内部地址,为集群内部,跨namespace访问的域名地址, key | 说明 | 配置示例 - | - | - - PERSONAL_SECURITY_CENTER_SERVER_PREFIX | 个人安全中心访问地址(外部访问地址) | https://personal-security-center.paas.xxx.edu.cn - CAS_SERVER_PREFIX | CAS认证地址(外部访问地址) | https://cas.paas.xxx.edu.cn + PERSONAL_SECURITY_CENTER_SERVER_PREFIX | 个人安全中心访问地址(外部访问地址) | https://authx-service.paas.xxx.edu.cn/personal + CAS_SERVER_PREFIX | CAS认证地址(外部访问地址) | https://cas.paas.xxx.edu.cn/cas - | - | - - CASSERVER_SITE_SERVER_URL | CAS认证接口地址(k8s集群内部地址) | http://cas-server-sa-api-svc.cas-server.svc.cluster.local:8080 + CASSERVER_SITE_SERVER_URL | CAS认证接口地址(k8s集群内部地址) | http://cas-server-site-webapp-svc.cas-server.svc.cluster.local:8080/cas - | - | - CASSERVER_SA_API_SERVER_URL | CAS认证服务管理接口地址(k8s集群内部地址) | http://cas-server-sa-api-svc.cas-server.svc.cluster.local:8080 - | - | - @@ -523,6 +617,13 @@ k8s集群内部地址,为集群内部,跨namespace访问的域名地址, TPAS_FILE_API_URL | 文件服务接口地址(k8s集群内部地址)
默认:minio文件服务 | http://agent-service-svc.thirdparty-agent-service.svc.cluster.local:8080/api/v1/tpas/file/minio TPAS_MAIL_API_URL | 邮件发送服务地址(k8s集群内部地址)
console:控制台输出,默认
smtp:SMTP服务
其他,支持学校定制接口 | http://agent-service-svc.thirdparty-agent-service.svc.cluster.local:8080/api/v1/tpas/mail/smtp TPAS_SMS_API_URL | 短信发送服务地址(k8s集群内部地址)
console:控制台输出,默认
aliyun:阿里云短信服务
其他,支持学校定制接口 | http://agent-service-svc.thirdparty-agent-service.svc.cluster.local:8080/api/v1/tpas/sms/console + - | - | - + AUTHX_LOG_ENABLED | 是否开启日志推送 | true + AUTHX_LOG_RABBITMQ_HOST | rabbit mq 服务地址(k8s集群内部地址) | rabbitmq-server.authx-service.svc.cluster.local + AUTHX_LOG_RABBITMQ_PORT | rabbit mq 服务端口 | 5672 + AUTHX_LOG_RABBITMQ_USERNAME | rabbit mq 服务用户 | + AUTHX_LOG_RABBITMQ_PASSWORD | rabbit mq 服务密码 | + ConfigMap,personal-security-center-bff-template-env 邮件内容模板、短信内容模板 @@ -576,10 +677,14 @@ k8s集群内部地址,为集群内部,跨namespace访问的域名地址, key | 说明 | 配置示例 - | - | - - APP_SERVER_HOST_URL | 个人安全中心访问地址(外部访问地址) | http://personal-security-center.paas.xxx.edu.cn - CAS_SERVER_HOST_URL | CAS认证地址(外部访问地址) | https://cas.paas.xxx.edu.cn + APP_SERVER_HOST_URL | 个人安全中心访问地址(外部访问地址) | https://authx-service.paas.xxx.edu.cn/personal + CAS_SERVER_HOST_URL | CAS认证地址(外部访问地址) | https://cas.paas.xxx.edu.cn/cas + - | - | - + APPLICATION_INDEX_REDIRECT_URI | 网关服务的默认首页,安全中心访问地址(外部访问地址) | https://authx-service.paas.xxx.edu.cn + - | - | - + USER_DATA_SERVICE_SERVER_URL | 用户服务开放接口地址(k8s集群内部地址) | http://user-data-service-goa-svc.user-data-service.svc.cluster.local:8080 - | - | - - APPLICATION_INDEX_REDIRECT_URI | 网关服务的默认首页,安全中心访问地址(外部访问地址) | http://security-center.paas.xxx.edu.cn + USER_AUTHZ_SERVICE_SERVER_URL | 授权服务管理接口地址(k8s集群内部地址) | http://user-authorization-sa-svc.user-authorization-service.svc.cluster.local:8080 * personal-security-center 下的 security-center-ui @@ -588,14 +693,73 @@ k8s集群内部地址,为集群内部,跨namespace访问的域名地址, key | 说明 | 配置示例 - | - | - - RESOURCE_PREFIX | LOGO、FAVICON 等资源地址 | http://authx-minio.paas.xxx.edu.cn/security-center-ui - MAIN_SERVER | 安全中心访问地址(外部访问地址) | http://security-center.paas.xxx.edu.cn + RESOURCE_PREFIX | LOGO、FAVICON 等资源地址 | https://authx-minio.paas.xxx.edu.cn/security-center-ui + MAIN_SERVER | 安全中心访问地址(外部访问地址) | https://authx-service.paas.xxx.edu.cn - | - | - - PERSONAL_CENTER_API | 后端API,个人安全中心访问地址(外部访问地址) | http://personal-security-center.paas.xxx.edu.cn + PERSONAL_CENTER_API | 后端API,个人安全中心访问地址(外部访问地址) | https://authx-service.paas.xxx.edu.cn/personal + - | - | - + AUTH_TYPE | 认证对接方式,可选 cas,uniauth | cas - | - | - AUTH_CAS | CAS认证地址(外部访问地址) | http://cas.paas.xxx.edu.cn/cas JWT_ISS | JWT Token 签名方标识 | http://cas.paas.xxx.edu.cn/cas JWT_SECRET | JWT Token 签名密钥 | 固定值,`(@K7qy)awCjxp$L653Mf$2` + - | - | - + UNIAUTH_IDTOKEN | uniauth认证地址(外部访问地址) | https://uniauth.paas.xxx.edu.cn/idtoken + UNIAUTH_IDTOKEN_ISS | Id Token 签名方标识 | uniauth + UNIAUTH_CLIENT_ID | client id | 22 + + 注: + AUTH_TYPE 为 cas 时,配置 AUTH_CAS、JWT_ISS、JWT_SECRET + AUTH_TYPE 为 uniauth 时,配置 UNIAUTH_IDTOKEN、UNIAUTH_IDTOKEN_ISS、UNIAUTH_CLIENT_ID + + +* attest-server 下的 attest-server + + ConfigMap,attest-server-env + + key | 说明 | 配置示例 + - | - | - + POA_SERVER_URL | POA网关地址(外部访问地址) | https://poa.paas.xxx.edu.cn + POA_CLIENT_ID | client id | + POA_CLIENT_SECRET | client secret | + POA_SCOPES | api 接口的 scope | appPush:v1:apppushByMessageType + - | - | - + ATTEST_SERVER_PREFIX | 身份验证服务地址(外部访问地址) | https://attest.paas.xxx.edu.cn/attest + - | - | - + ATTEST_SERVER_SECUREPHONE_SMS_TEXT_TEMPLATE | 短信内容模板 | 【认证服务】{name}:您正在进行验证身份,验证码为{code},有效期5分钟,请尽快完成验证。 + ATTEST_SERVER_SECUREPHONE_SMS_FROM | 短信内容标题 | 认证服务 + - | - | - + ATTEST_SERVER_SECUREEMAIL_MAIL_TEXT_TEMPLATE | 邮件内容模板 | 【认证服务】{name}:您正在进行验证身份,验证码为{code},有效期5分钟,请尽快完成验证。 + ATTEST_SERVER_SECUREEMAIL_MAIL_FROM | 邮件内容标题 | 认证服务 + - | - | - + ATTEST_SERVER_FACEVERIFY_SUPERAPP_URL_SCHEME | 在超级APP 中唤起人脸识别的 URL Scheme | superapp + - | - | - + TOKEN_SERVER_TOKEN_SIGNING_KEY_URL | TOKEN认证验签公钥地址(k8s集群内部地址) | http://token-server-svc.token-server.svc.cluster.local:8080/token/jwt/publicKey + - | - | - + TPAS_AGENT_SERVICE_SERVER_URL | 代理服务接口地址(k8s集群内部地址) | http://agent-service-svc.thirdparty-agent-service.svc.cluster.local:8080 + TPAS_AGENT_SERVICE_SMS_SENDER_PATH | 短信发送服务地址
console:控制台输出,默认
aliyun:阿里云短信服务
其他,支持学校定制接口 | /api/v1/tpas/sms/console/send + TPAS_AGENT_SERVICE_MAIL_SENDER_PATH | 邮件发送服务地址
console:控制台输出,默认
smtp:SMTP服务
其他,支持学校定制接口 | /api/v1/tpas/mail/console/send + - | - | - + USER_DATA_SERVICE_SA_API_SERVER_URL | 用户服务管理接口地址(k8s集群内部地址) | http://user-data-service-goa-svc.user-data-service.svc.cluster.local:8080 + - | - | - + TOKEN_SERVER_SERVER_URL | Token认证服务接口地址(k8s集群内部地址)| http://token-server-svc.token-server.svc.cluster.local:8080/token + + +* authx-log 下的 authx-log-sa + + ConfigMap,authx-log-sa-env + + key | 说明 | 配置示例 + - | - | - + USER_DATA_SERVICE_SERVER_URL | 用户服务管理接口地址(k8s集群内部地址) | http://user-data-service-goa-svc.user-data-service.svc.cluster.local:8080 + - | - | - + IPADDR_SERVER_URL | IP地址服务 | http://ipaddr.ipaddr.svc.cluster.local:9090 + - | - | - + AUTHX_LOG_ENABLED | 是否开启日志推送 | true + AUTHX_LOG_RABBITMQ_HOST | rabbit mq 服务地址(k8s集群内部地址) | rabbitmq-server.authx-service.svc.cluster.local + AUTHX_LOG_RABBITMQ_PORT | rabbit mq 服务端口 | 5672 + AUTHX_LOG_RABBITMQ_USERNAME | rabbit mq 服务用户 | + AUTHX_LOG_RABBITMQ_PASSWORD | rabbit mq 服务密码 | ## 开始安装 @@ -611,10 +775,13 @@ k8s集群内部地址,为集群内部,跨namespace访问的域名地址, - | - 用户服务 user-data-service | user 授权服务 user-authorization-service | user_authz + - | - + 日志服务 authx-log | authx_log + - | - 认证服务 cas-server | cas_server 认证服务(APP适用) token-server | token_server - | - - 第三方代理服务 thridparty-agent-service | agent_service + (可选)第三方代理服务 thridparty-agent-service | agent_service - | - v4认证迁移数据 | tmp_data @@ -623,6 +790,9 @@ k8s集群内部地址,为集群内部,跨namespace访问的域名地址, ``` create user 'user'@'%' identified with mysql_native_password by 'your_password'; create user 'user_authz'@'%' identified with mysql_native_password by 'your_password'; + + create user 'authx_log'@'%' identified with mysql_native_password by 'your_password'; + create user 'cas_server'@'%' identified with mysql_native_password by 'your_password'; create user 'token_server'@'%' identified with mysql_native_password by 'your_password'; @@ -640,10 +810,13 @@ k8s集群内部地址,为集群内部,跨namespace访问的域名地址, - | - 用户服务 user-data-service | user 授权服务 user-authorization-service | user_authz + - | - + 日志服务 authx-log | authx_log + - | - 认证服务 cas-server | cas_server 认证服务(APP适用) token-server | token_server - | - - 第三方代理服务 thridparty-agent-service | agent_service + (可选)第三方代理服务 thridparty-agent-service | agent_service - | - v4认证迁移数据 | tmp_data @@ -651,6 +824,9 @@ k8s集群内部地址,为集群内部,跨namespace访问的域名地址, ``` create database `user` DEFAULT CHARSET utf8 COLLATE utf8_general_ci; create database `user_authz` DEFAULT CHARSET utf8 COLLATE utf8_general_ci; + + create database `authx_log` DEFAULT CHARSET utf8 COLLATE utf8_general_ci; + create database `cas_server` DEFAULT CHARSET utf8 COLLATE utf8_general_ci; create database `token_server` DEFAULT CHARSET utf8 COLLATE utf8_general_ci; @@ -668,6 +844,9 @@ k8s集群内部地址,为集群内部,跨namespace访问的域名地址, ``` grant all privileges on `user`.* to 'user'@'%' with grant option; grant all privileges on `user_authz`.* to 'user_authz'@'%' with grant option; + + grant all privileges on `authx_log`.* to 'authx_log'@'%' with grant option; + grant all privileges on `cas_server`.* to 'cas_server'@'%' with grant option; grant all privileges on `token_server`.* to 'token_server'@'%' with grant option; @@ -874,6 +1053,18 @@ k8s集群内部地址,为集群内部,跨namespace访问的域名地址, TODO: 修改 bff、zuul 配置 TODO: 修改 security-center-ui 配置 + 7.attest-server + + 此为 身份验证服务 + + 提供双因子、二次认证时,进行用户的身份验证,包括 APP推送验证、安全手机验证、安全邮箱验证、人脸识别验证 等能力 + + 8.authx-log + + 此为 日志服务 + + 收集 用户、认证、授权 的管理、使用过程中产生的 操作日志、登录日志;同时,提供日志查询、基于日志的统计功能 + 9.jobs-server 此为 任务调度服务 @@ -924,9 +1115,13 @@ k8s集群内部地址,为集群内部,跨namespace访问的域名地址, cas-server token-server - + personal-security-center + attest-server + + authx-log + jobs-server ``` @@ -956,15 +1151,14 @@ k8s集群内部地址,为集群内部,跨namespace访问的域名地址, 先修改 脚本中的域名(如果存在) +* 必须,1.authx0service/10.0.init.sql + + 包括, + 安全中心的认证对接配置 + 云平台,管理接口的路由配置 + 云平台,管理功能的菜单配置 * 可选,1.authx-service/10.0.tmp.sql 若通过交换同步组织机构、帐号数据的,须执行该数据库脚本 - -* 可选,1.authx-service/10.1.init-flow.sql - - 若部署了 流程平台 的产品 - - 可默认创建几个管理员帐号,以及初始授权 - diff --git "a/deploy-manifests/k8s-rancher/0.1.1.\350\256\244\350\257\201\346\216\210\346\235\203\346\234\215\345\212\241\345\256\211\350\243\205\351\203\250\347\275\262\346\211\213\345\206\214.pdf" "b/deploy-manifests/k8s-rancher/0.1.1.\350\256\244\350\257\201\346\216\210\346\235\203\346\234\215\345\212\241\345\256\211\350\243\205\351\203\250\347\275\262\346\211\213\345\206\214.pdf" index 35bc552..ceaccec 100644 Binary files "a/deploy-manifests/k8s-rancher/0.1.1.\350\256\244\350\257\201\346\216\210\346\235\203\346\234\215\345\212\241\345\256\211\350\243\205\351\203\250\347\275\262\346\211\213\345\206\214.pdf" and "b/deploy-manifests/k8s-rancher/0.1.1.\350\256\244\350\257\201\346\216\210\346\235\203\346\234\215\345\212\241\345\256\211\350\243\205\351\203\250\347\275\262\346\211\213\345\206\214.pdf" differ