为Nomad客户启用ACL的目的

Question

通过为集群上的所有Nomad 服务器设置，我们成功地启用了Nomad集群上的ACL子系统。看来，ACL按预期工作，而不需要为集群上的Nomad客户端设置acl.enabled = true。

Nomad文档的确提到了在Nomad客户端启用ACL：

要强制执行客户端端点，还需要在客户端上启用ACL。为此，请将acl节的启用值设置为true。完成后，重新启动客户端以读取新配置。

然而，我们看到的是，从客户端(没有acl.enabled = true)运行的Nomad命令仍然是门控的，如预期的那样，有403 (权限被拒绝)。

由于我们的集群有许多客户端，如果我们不必为每个客户机显式启用ACL，这将节省我们的时间。

总之，我们想知道是否绝对需要Nomad客户端也更新他们的配置以启用ACL，尽管ACL子系统似乎已经通过在Nomad服务器上启用ACL来工作。

Answer 1

如果你所有的游牧系统都是在100%可信的系统上，而且网络上的任何人都可以提交工作等等。那你就不需要ACL了。

如果你不同意，因为任何原因，那么你必须通过ACL的歌曲和舞蹈，并使它工作。如果您也使用Vault，则可以将两者集成在一起，从而使您的生活更轻松，请参见：https://www.vaultproject.io/docs/secrets/nomad

客户端也必须启用ACL，“要强制执行客户端端点，还需要在客户端上启用ACL”- https://learn.hashicorp.com/tutorials/nomad/access-control-bootstrap?in=nomad/access-control#enable-acls-on-nomad-clients。