9.6.4 多租户隔离与命名空间安全

多租户隔离与命名空间安全#

多租户场景下，Nacos通过“租户（Namespace）+ 分组（Group）+ 数据ID（DataId）”实现配置与服务的逻辑隔离。命名空间是核心隔离边界，决定不同业务线、环境与客户之间的数据可见性范围。本节从原理、配置、命令操作、排错与练习落实命名空间安全。

原理草图：命名空间隔离与权限绑定#

命名空间规划与安全策略#

环境隔离：dev/test/staging/prod使用独立命名空间。
业务隔离：按业务域划分命名空间，限制操作范围。
客户隔离：SaaS按租户创建命名空间，结合鉴权控制。
最小颗粒度：避免过细，公共配置用Group统一管理。

安装与基础安全启用（必做前置）#

以单机Nacos为例，启用鉴权后再开展多租户隔离。

1）启用鉴权（nacos/conf/application.properties）

# 启用鉴权
nacos.core.auth.enabled=true
# 默认token过期时间（秒）
nacos.core.auth.token.expire.seconds=18000
# 自定义密钥（生产环境必须修改）
nacos.core.auth.server.identity.key=serverIdentity
nacos.core.auth.server.identity.value=secureValue

2）重启Nacos

# 停止
./bin/shutdown.sh
# 启动（单机）
./bin/startup.sh -m standalone

预期效果：未携带token访问接口会返回401/403。

命名空间创建与权限绑定（实操示例）#

1）创建命名空间

# 创建命名空间：prod-tenant-a
curl -X POST "http://127.0.0.1:8848/nacos/v1/console/namespaces" \
  -d "customNamespaceId=prod-tenant-a" \
  -d "namespaceName=prod-tenant-a" \
  -d "namespaceDesc=Tenant A Production"

2）创建用户与角色（SQL示例，路径：nacos/conf/schema.sql）

-- 创建用户
INSERT INTO users(username, password, enabled) VALUES ('tenant_a', 'e10adc3949ba59abbe56e057f20f883e', 1);

-- 创建角色（命名空间级）
INSERT INTO roles(username, role) VALUES ('tenant_a', 'ROLE_NS_prod-tenant-a');

3）授权命名空间访问（Nacos权限表）

-- 仅授予该命名空间读写权限
INSERT INTO permissions(role, resource, action) 
VALUES ('ROLE_NS_prod-tenant-a', 'namespace:prod-tenant-a', 'READ,WRITE');

命令解释
- customNamespaceId：自定义命名空间ID，客户端必须显式指定。
- ROLE_NS_...：约定角色命名，便于审计与管理。
- resource：资源标识，限制在特定命名空间。

客户端指定命名空间（避免误注册）#

配置中心示例（Spring Cloud）

spring:
  cloud:
    nacos:
      config:
        server-addr: 127.0.0.1:8848
        namespace: prod-tenant-a
        group: app
        file-extension: yaml
      discovery:
        namespace: prod-tenant-a

预期效果：配置与服务仅在prod-tenant-a命名空间内可见。

安全加固示例：敏感配置单独隔离#

新增命名空间：secure-tenant-a

curl -X POST "http://127.0.0.1:8848/nacos/v1/console/namespaces" \
  -d "customNamespaceId=secure-tenant-a" \
  -d "namespaceName=secure-tenant-a" \
  -d "namespaceDesc=Sensitive Configs"

配置发布（仅限运维角色）

curl -X POST "http://127.0.0.1:8848/nacos/v1/cs/configs" \
  -d "dataId=db.yaml" \
  -d "group=secure" \
  -d "namespaceId=secure-tenant-a" \
  -d "content=jdbc.password: ENC(xxx)"

排错与故障定位#

问题1：访问命名空间返回403

# 1) 检查鉴权是否启用
grep "nacos.core.auth.enabled" nacos/conf/application.properties

# 2) 检查角色与权限
mysql -h127.0.0.1 -uroot -p nacos -e \
"SELECT * FROM roles WHERE username='tenant_a';
 SELECT * FROM permissions WHERE role='ROLE_NS_prod-tenant-a';"

解释：403通常是缺少namespace:xxx读写权限或token失效。

问题2：客户端误注册到默认命名空间

# 检查客户端配置是否显式指定namespace
grep -R "namespace" -n ./config/

解释：未指定namespace会落入public默认空间，导致串租户风险。

关键命令清单（操作路径清晰）#

# 查询命名空间列表
curl "http://127.0.0.1:8848/nacos/v1/console/namespaces"

# 发布配置到特定命名空间
curl -X POST "http://127.0.0.1:8848/nacos/v1/cs/configs" \
  -d "dataId=app.yaml" -d "group=app" -d "namespaceId=prod-tenant-a" \
  -d "content=app.name: tenant-a"

# 拉取配置（校验是否隔离）
curl -G "http://127.0.0.1:8848/nacos/v1/cs/configs" \
  --data-urlencode "dataId=app.yaml" \
  --data-urlencode "group=app" \
  --data-urlencode "namespaceId=prod-tenant-a"

练习题（动手实践）#

创建两个命名空间：prod-tenant-a与prod-tenant-b，分别发布app.yaml，验证互不可见。
为tenant_a用户仅授予prod-tenant-a权限，验证访问prod-tenant-b返回403。
模拟客户端忘记指定namespace，观察配置/服务落入public默认空间并修复。

小结#

通过命名空间规划、鉴权开启、权限绑定与客户端显式指定，可实现可靠的多租户隔离；配合敏感配置隔离与审计，有效降低跨租户访问与误操作风险。