随着因特网的发展,其用户规模、应用数量以及带宽都在快速增长。在过去的几年中,智能设备这种新的用户载体已进入因特网世界。它形式多样、由简入繁,可以简单至冰箱、空调或微波炉,也可以像无人机或自动驾驶车辆一样精密。这些智能设备统称为物联网(IoT)设备,用于掌控实用程序的功能和联网运作。有足够多的案例证明,攻击者正在利用物联网设备发起一些称为分布式拒绝服务(DDoS)攻击的大规模网络攻击。在本章中,你将了解 DDoS 攻击,学习区块链帮助企业组织抵御如此大规模的网络攻击的部署操作。
DDoS 攻击具有恶意企图,通过来自地理位置分散的系统发送大量请求来扰乱服务器的合法流量,阻碍正常用户访问。现在,让我们首先了解拒绝服务(DoS)攻击的工作原理。在 DoS 攻击期间,攻击者通过大量请求轰炸目标计算机,导致服务器资源耗尽,从而导致合法用户的请求失败。在 DoS 攻击中,攻击者使用单台机器进行攻击来耗尽目标服务器资源。相比之下,DDoS 攻击威力更加强劲,因为可以使用多至数百万台计算机来使目标服务器应接不暇。
越来越多的企业组织正在将自己的应用服务迁移到具有大量基础设施的云端,以满足其海量客户的实时需求。企业可以构建自己庞大的云服务器基础设施,也可以迁移到云服务提供商提供的服务器上。今天,攻击者更喜欢用 DDoS 攻击方法来破坏目标服务,因为他们可以生成 GB 甚至 TB 级的随机数据来轰炸目标受害者,并且目标安全团队也难以识别和拦截每个攻击源,因为它们在数量上可能是数百万计的。
此外,攻击者永远不会合法地控制他们的攻击源机器,而是通过一些精心设计的恶意软件感染全球数百万台计算机,获得完全访问权限然后控制其发动大规模 DDoS 攻击。这些受感染的计算机的集合称为僵尸网络(botnet),而单个受感染计算机被称为僵尸节点(bot)。
虽然难以明确追溯到世界上的首次 DDoS 攻击事件,但第一次引人注目的 DDoS 攻击发生在 1999 年,针对的是明尼苏达大学。它影响了 220 多个系统,并使整个网络设施宕机了好几天。
2016 年 10 月 21 日星期五,整个世界目睹了针对 Dyn(托管 DNS 提供商)的最复杂的 DDoS 攻击的发生。Dyn 确认 Mirai 僵尸网络是恶意攻击流量的主要来源。这次攻击开启了对因特网安全和威胁态势的新关注。
要发起 DDoS 攻击,黑客可以自行构建整个僵尸网络,也可以从暗网租用僵尸网络资源。一旦攻击者准备好武器,他们只需要去发现易受攻击的站点、主机或者整个网络。
洛克希德–马丁公司(Lockheed-Martin)的一位计算机科学家提出了一个名为网络杀伤链的术语,它阐述了从侦察到最终攻击目标开始的整个网络攻击阶段。这些阶段包括:
・侦察:攻击者识别目标设备并开始搜索其中的漏洞。
・武器化:攻击者使用远程工具包和恶意软件(病毒或蠕虫)来针对漏洞发起行动。
・恶意代码传播:攻击者通过发送网络钓鱼邮件、秘密下载、USB 设备、内部人员协助等多种方法将攻击代码注入受害者网络。
・漏洞利用:恶意代码用于触发攻击,对目标网络采取措施以利用漏洞。
・安装:恶意软件自动安装在受害者计算机中。
・命令与控制:恶意软件给予远程攻击者访问受害者机器的控制权限。
为了从 DDoS 角度理解每个阶段,了解僵尸网络基础设施及其构建方式对我们来说非常重要。
1. 构建僵尸网络
DDoS 攻击的分布式特性需要利用全球数百万台受感染的计算机。今天,攻击者可以利用暗网租用或购买那些随时可用的僵尸网络资源。有一些工具,如 Jumper、Dirt 和 Pandore,实际上是降低甚至消除了攻击者构建这些僵尸网络的技术障碍。
下图描述了僵尸网络的整个生命周期:
2. 侦察
遭受侦查的目标系统可以大到一整个数据中心,或小到一台计算机。在这两种情况下,僵尸网络的构建需要识别一些具有恶意软件可以攻击利用的漏洞的主机。攻击者查找与其目标直接或间接相关的信息,以非法访问那些受到保护的资产。攻击者会尝试所有可能的方法绕过现有的安全系统,包括防火墙、入侵防御系统(IPS)、Web 应用防火墙和终端保护系统。
3. 武器化
通过使用众多的开源软件资源,攻击者能够有效避免在构建恶意代码过程中遇到的技术障碍。如果程序员具有恶意企图并开发代码,就可能会开发出新的恶意软件,而安全系统最初很难检测到这些新的恶意软件。
以下是一些用于进行 DDoS 攻击的常用工具列表:
・低轨道离子炮(LOIC):这是黑客组织 anonymous 最喜欢使用的工具之一。它是一个简单的泛洪工具,可以生成大量的 TCP、UDP 或 HTTP 流量来拥塞目标服务器。它最初是为测试服务器性能的吞吐量而开发的。然而,anonymous 组织使用这个开源工具来发起复杂的 DDoS 攻击。该工具后来又增强了 IRC 功能,允许用户通过 IRC 控制连接系统。
・高轨道离子炮(HOIC):在有效使用 LOIC 几年后,
2. 侦察
遭受侦查的目标系统可以大到一整个数据中心,或小到一台计算机。在这两种情况下,僵尸网络的构建需要识别一些具有恶意软件可以攻击利用的漏洞的主机。攻击者查找与其目标直接或间接相关的信息,以非法访问那些受到保护的资产。攻击者会尝试所有可能的方法绕过现有的安全系统,包括防火墙、入侵防御系统(IPS)、Web 应用防火墙和终端保护系统。
3. 武器化
通过使用众多的开源软件资源,攻击者能够有效避免在构建恶意代码过程中遇到的技术障碍。如果程序员具有恶意企图并开发代码,就可能会开发出新的恶意软件,而安全系统最初很难检测到这些新的恶意软件。
以下是一些用于进行 DDoS 攻击的常用工具列表:
・低轨道离子炮(LOIC):这是黑客组织 anonymous 最喜欢使用的工具之一。它是一个简单的泛洪工具,可以生成大量的 TCP、UDP 或 HTTP 流量来拥塞目标服务器。它最初是为测试服务器性能的吞吐量而开发的。然而,anonymous 组织使用这个开源工具来发起复杂的 DDoS 攻击。该工具后来又增强了 IRC 功能,允许用户通过 IRC 控制连接系统。
下载到被新攻破的受害者系统中。下载完成后,脚本会自动在这个新的僵尸节点上启动新的攻击过程。整个攻击机制使用 HTTP、FTP 和远程过程调用(RPC)协议。在这种方法中,攻击者操作受害者机器,被攻破的系统会连接到攻击者的中央存储库,进而通过总中央库中下载恶意代码。如下图所示:
・反向链接传播:在此方法中,攻击者将工具包移植到新受感染的主机上。这个工具包被精心打造以接受来自受感染系统的文件传输请求。同时,反向通道文件复制的过程可以由一个端口侦听程序使用普通文件传输协议(TFTP)完成。与中央源传播方法不同,攻击者将漏洞利用和攻击代码一起传输到被攻陷的主机。如下图所示。
・自动传播:在这种机制中,当攻击者入侵系统时,他们的工具包将被拷贝到受感染的主机。这种机制在传输方法层面有所不同,因为攻击工具包首先仅由攻击者植入受感染的主机。在这种方法中,攻击者首先传输漏洞利用的攻击,然后传输来自他自己的代码,而非来自任何中央存储库。如下图所示:
5. 漏洞利用
一旦恶意程序进入网络中,它就会发起对各种漏洞(包括未修补的软件漏洞、有缺陷的软件编程实践或用户疏忽)的利用。通常,网络中存在大量的漏洞,而它们的可利用性,使得漏洞本身更加致命。
6. 安装
在安装阶段,恶意软件会锚定在目标系统中,从而允许远程攻击者访问它。在安装过程中,恶意软件可以植入系统的用户空间或内核空间中。安装在用户空间的恶意软件很容易被检测到。但是,内核空间中的恶意软件很少被安全系统(包括终端保护、终端检测和响应平台等系统)检测到。
7. 命令与控制(C2)
在成功安装了入侵工具后,目标主机就完全由攻击者的远程中央系统控制。这些被入侵操控的设备的网络称为僵尸网络,被攻击者随意摆布。但是,僵尸网络节点在被攻击者激活之前一直保持休眠状态。在公共的对等网络上,甚至存在一些加密过的僵尸主机之间的通信。
8. 对目标采取行动
一旦建立了 C2 通道,攻击者就可以对目标发起 DDoS 攻击。在此阶段,攻击者运行脚本以激活整个僵尸网络中的所有僵尸主机。攻击者还要配置僵尸网络,从而得知需要生成什么类型的攻击流量。
区块链是一个去中心化的网络,允许独立的各方在没有任何第三方参与的情况下进行通信。为了保护网络免受 DDoS 攻击,企业服务可以分布在多个服务器节点中,提供高弹性并消除单点故障。使用区块链的两个主要优点如下:
・区块链技术可用于部署分布式账本来存储列入黑名单的 IP。
・区块链技术消除了单点故障的风险。
区块链的 DDoS 防御平台,首先需要使用以太坊区块链的 Node.js 和 Truffle 来准备测试环境。我们将使用一个现有的区块链项目来保护网络免受 DDoS 攻击。该项目可以在链接https://github.com/gladiusio/gladius-contracts 下找到。
我们需要按照以下步骤为 Gladius 项目准备基础设施:
1)首先,我们将在系统环境中安装 Node.js,链接地址为https://nodejs.org/uk/download/package-manager/#arch-linux。
2)我们需要在测试环境中安装 truffle:
3)在命令行中执行如下命令:
4)现在在命令行中执行如下命令来启动测试网络:
以下屏幕截图显示了运行上述命令的输出内容:
5)在此终端窗口中,我们可以看到测试区块链网络中的所有交易。现在,我们必须打开一个新的终端窗口,并需要跳转到工作目录。
要进行项目配置,请按照以下说明操作:
1)在https://github.com/gladiusio/gladius-contracts 网页中找到.zip 文件并下载,然后将文件解压到你指定的路径。
2)用下面的代码替换 truffle.js 里的代码:
3)我们将进入名称为 gladius-contracts-master 的文件夹并使用以下命令编译合约:
以下屏幕截图显示了运行上述命令的输出内容:
4)现在,我们可以执行下面的命令将合约发布到 ganache-cli 的本地区块链上:
以下屏幕截图显示了运行上述命令的输出内容:
5)现在,我们必须使用 truffle test 命令启动单元测试,以确保智能合约正常运行:
7)接下来,我们在终端中找到 gladius-control-daemon-master 文件夹并链接合约应用程序二进制接口(ABI)。ABI 是两个程序模块之间的接口,其中一个程序模块位于机器代码级别:
以下屏幕截图显示了运行上述命令的输出内容:
8)下一步,我们可以执行 npm install 命令安装所需依赖:
9)然后,我们可以执行 node index.js 命令启动脚本:
10)打开一个新终端窗口,执行 gladius-networkd 命令:
11)下一步,我们需要再打开一个新的终端,执行 gladius-controld 命令:
12)为了启动你的节点,你需要在新终端中执行下面的命令:
以下屏幕截图显示了运行上述命令的输出内容:
13)我们可以将数据提交到特定的池,允许它接受或拒绝成为池的一部分:
14)完成节点创建后,我们可以使用管理应用程序检查它的状态。这显示了区块链中的节点信息:
现在只需将 Gladius 客户端下载到你的计算机并访问系统即可。
激活 Gladius 后,所有节点都会处理连续的请求流,以校验网站连接并阻止恶意活动。Gladius 积极致力于解决系统中的若干问题并实现稳定的系统。
区块链可以在以下场景中使用:
・冲突情况:区块链网络不仅连接可信方,还连接不可信方。因此,关注冲突情况并无缝地解决问题至关重要。区块链使用共识机制来确认交易和构建区块。不同的区块链使用不同的共识模型,例如工作量证明(PoW),权益证明(PoS)等,但目的是相同的,即避免冲突并使交易成功。
・共享公共数据库:如果企业组织在其员工(管理员或非 IT 人员)、承包商或第三方之间共享公共数据库,则许可链可以真正符合要求。当集中式数据库在不同方之间共享时,会增加使用特权升级的访问控制的风险。当使用许可链时,它确保只有提交的对等方有权对数据库进行更改,而交易背书可以由任何预先选择的参与者完成。
・交易业务规则需求:如果业务模型要求你有一个简单或复杂的逻辑策略来执行任何交易,那么区块链可以通过其逻辑策略提供很好的保证,例如以太坊的智能合约或超级账本的链码。业务策略将始终在节点软件中定义,该软件将强制节点按照定义的规则工作。
・系统透明性需求:如果组织的业务模型要求其对整个供应链的客户或供应商必须保持透明性,那么分布式账本技术可以更好地提供供应链运营管理系统的端到端可视性。在一个没有权限控制的区块链网络中,允许每个节点读写区块链账本,因此也变得透明。然而,在有权限的环境中,企业则更倾向于只有预选的节点参与区块链计算过程和账本管理。
・数据不变性的需求:如果企业组织需要开发高度安全的仅用于数据追加的数据库,则加密哈希和数字签名可以帮助构建这种高度安全的账本。
追加的数据库,则加密哈希和数字签名可以帮助构建这种高度安全的账本。在构建每个块时使用前一个块的哈希值,因此一旦创建了数据库,就不可能修改或重新排列它们。
区块链是业界所见过的最强大技术之一,但它并不总是适用于所有工作。这使得评估阶段在各个方面都非常关键。在理解了它最适合的业务之后,让我们看一些区块链不适合的情况:
・存储相当大的数据:由于其分布式和分散性,整个数据库与区块链网络中的每个节点一起存储(在基于权限的账本情况下,只允许预先选择的参与者读取和存储数据,因此,复制数据库将花费很长时间并且速度缓慢)。有一些解决方案是为了完成这个目的而建立的,我们可以快速了解一下。
・交易规则经常更改:如果设置并启动了智能合约策略,则不会更改执行路径。频繁更改业务流程和操作的组织不建议使用基于区块链的应用程序。区块链网络内的每个子系统和子进程必须是确定的。
・区块链必须从外部数据源获取数据:构建区块链智能合约不是为了从外部数据源获取信息。即使将其配置为在区块链和可信数据库之间进行通信,它也将作为常规数据库操作进行操作。而且,在这种情况下,区块链智能合约不会从外部数据库中提取条目。相反,可信数据库必须将数据推送到区块链上。
区块链正在为我们带来一些伟大的技术和商业机会,它正在促进不同组织之间的协作。领导者目前正在体验和寻找区块链技术用于其业务运营的用武之地,以便能够跟上不断变化的市场需求。让我们聚焦到落实区块链计划中的一些重要问题:
・谁是我的行业中最值得信赖的区块链技术领导者?
・我的竞争对手对区块链有什么看法?
・哪些业务部门最容易受到干扰?
・我们的区块链部署对谁的影响最大?他们可能会有什么反应?
・区块链可能的商业案例是什么?我们如何才能实现更好、更可持续的商业模式?
・部署中涉及的总成本因素是什么?
・目前的规章制度对区块链应用的影响是什么?
・我们如何协同监管机构向市场推出区块链应用来实现双赢?
・我们如何将安全控制应用于区块链应用程序?
在将区块链应用程序投入市场之前,预计会进行一系列头脑风暴,但建议明确项目的范围并与合适的利益相关者结盟。
懒惰和好奇,是创新与进步的源泉。
比特币、以太坊等公有区块链平台的实验,充分论证了区块链技术在支持去中心化交易方面的巨大优势。
越来越多的企业也开始关注区块链技术,尝试将其引入商业场景中,以提高进行复杂商业交易的效率,降低多方合作的成本。超级账本 Fabric 项目应运而生。Fabric 作为超级账本社区的早期项目之一,集合了来自科技界和金融界的最新成果,首次提供了面向联盟链场景的分布式账本平台实现。
本章将带领读者学习如何从源码开始本地编译和安装 Fabric 环境,以及在多服务器环境下如何部署一个典型的 Fabric 网络。同时,还将介绍如何使用容器方式在单机环境下快速启动完整的 Fabric 网络环境。接下来,讲解链码和应用通道的相关操作和 SDK 支持。最后,本章对在生产环境中部署 Fabric 网络的有关注意事项进行探讨。
Fabric 从 1.0 版本开始,在架构上进行了重新设计,解耦了节点的角色,同时在安全性、性能、可扩展性和可插拔性方面都有了不少改进。在将交易发送到网络中之前,需要先向背书节点收集足够多的背书支持,同时采用专门的排序节点来负责整个网络中十分核心的排序环节。
目前,网络中存在以下 4 种不同种类的服务节点,彼此协作完成整个区块链系统的功能。对网络中节点角色进行解耦是 Fabric 设计中的一大创新,这也是联盟链场景下的特殊需求和环境所决定的:
・背书节点(Endorser):负责对交易的提案(proposal)进行检查和背书,计算交易执行结果;
・确认节点(Committer):负责在接受交易结果前再次检查合法性,接受合法交易对账本的修改,并写入区块链结构;
・排序节点(Orderer):对所有发往网络中的交易进行排序,将排序后的交易按照配置中的约定整理为区块,之后提交给确认节点进行处理;
・证书节点(CA):负责对网络中所有的证书进行管理,提供标准的 PKI 服务。
另外,网络中支持多通道的特性。使用一条独立的系统通道(system channel)负责管理网络中的各种配置信息,并完成对其他应用通道(application channel,供用户发送交易使用)的创建。
目前,要启动一个 Fabric 网络,需要遵循如下的主要步骤
1)预备网络内各项配置,包括网络中成员的组织结构和对应的身份证书(使用 cryptogen 工具完成);生成系统通道的初始配置区块文件,新建应用通道的配置更新交易文件以及可能需要的锚节点配置更新交易文件(使用 configtxgen 工具完成)。
2)使用系统通道的初始配置区块文件启动排序节点,排序节点启动后自动按照指定配置创建系统通道。
3)不同的组织按照预置角色分别启动 Peer 节点。这个时候网络中不存在应用通道,Peer 节点也并没有加入网络中。
4)使用新建应用通道的配置更新交易文件,向系统通道发送交易,创建新的应用通道。
5)让对应的 Peer 节点加入所创建的应用通道中,此时 Peer 节点加入网络,可以准备接收交易了。
6)用户通过客户端向网络中安装注册链码(相关定义参见后面 9.5 节),链码容器启动成功后用户即可对链码进行调用,将交易发送到网络中。
后续章节将详细介绍各个步骤的操作顺序及方法
动手能力较强的读者,建议通过本地编译安装来部署超级账本 Fabric 网络,以便对相关组件有更深入的理解。
超级账本 Fabric 基于 Go 语言实现,本地编译推荐配置 Golang 1.7 或更高版本的环境。下面将讲解如何编译生成 fabric-peer、fabric-orderer 和 fabric-ca 等组件的二进制文件,以及如何安装一些配置和开发相关的工具。
常见的 Linux 发行版(包括 Ubuntu、Redhat、CentOS 等)和 MacOS 等都可以原生支持 Fabric 编译和运行。
操作系统推荐 Linux 内核 3.10 + 版本,支持 64 位环境。另外,作为 Fabric 节点,物理内存建议至少为 2GB,如果有较多的链码则需要更多容器;预留足够硬盘空间(一般建议 20GB 或更多)以存储区块文件。在生产环境中对性能和稳定性要求高的场景下,甚至要预留更多的物理资源。
下面将默认以 Ubuntu 16.04 操作系统为例进行操作。
提示 运行 Fabric 节点需要的资源并不苛刻,作为实验,Fabric 节点甚至可以在树莓派(Raspberry Pi)上正常运行
. 安装 Go 语言环境
Go 语言环境可以自行访问 golang.org 网站下载二进制压缩包安装。注意不推荐通过包管理器安装,版本往往比较旧。
如下载 Go 1.8 版本,可以采用如下命令
$ curl -O https://storage.googleapis.com/golang/go1.8.linux-amd64.tar.gz
下载完成后,解压目录,并移动到合适的位置(推荐为 /usr/local 下):
$ tar -xvf go1.8.linux-amd64.tar.gz
$ sudo mv go /usr/local
安装完成后记得配置 GOPATH 环境变量:
export GOPATH=YOUR_LOCAL_GO_PATH/Go
export PATH=$PATH:/usr/local/go/bin:$GOPATH/bin
此时,可以通过 go version 命令验证安装是否成功:
$ go version
go version go1.8 linux/amd64
2. 安装依赖包
编译 Fabric 相关代码,需要一些依赖包,可以通过如下命令安装:
通过如下命令可以获取 fabric-peer 和 fabric-orderer 组件编译所需要的代码,两者目前在同一仓库中
$ git clone http://gerrit.hyperledger.org/r/fabric
启动 Fabric 网络是一个比较复杂的过程,主要步骤包括计划拓扑、准备相关配置文件、启动 Orderer 节点、启动 Peer 节点和操作网络等。这里以 Fabric 代码中自带的示例为基础讲解相关的操作步骤。
启动的 Fabric 网络中包括一个 Orderer 节点和四个 Peer 节点,以及一个管理节点生成相关启动文件,在网络启动后作为操作客户端执行命令。
四个 Peer 节点分属于同一个管理域(example.com)下的两个组织 Org1 和 Org2,这两个组织都加入同一个应用通道(business-channel)中。每个组织中的第一个节点(peer0 节点)作为锚节点与其他组织进行通信,所有节点通过域名都可以相互访问,整体网络拓
Fabric 网络在启动之前,需要提前生成一些用于启动的配置文件,主要包括 MSP 相关文件(msp/*)、TLS 相关文件(tls/*)、系统通道初始区块(orderer.genesis.block)、新建应用通道交易文件(businesschannel.tx)、锚节点配置更新交易文件 Org1MSPanchors.tx 和 Org2MSPanchors.tx)等。各个文件的功能
注意,本小节主要描述如何生成这些启动配置文件,关于这些配置更详细的讲解可以参考后续相关章节。
1. 生成组织关系和身份证书
Fabric 网络提供的是联盟链服务,联盟由多个组织构成,组织中的成员提供了节点服务来维护网络,并且通过身份来进行权限管理。
因此,首先需要对各个组织和成员的关系进行规划,分别生成对应的身份证书文件,并部署到其对应的节点上。
用户可以通过 PKI 服务(如使用 fabric-ca)或者 OpenSSL 工具来手动生成各个实体的证书和私钥。但当组织结构比较复杂时,这种手动生成的方式容易出错,并且效率不高。
Fabric 项目提供了 cryptogen 工具(基于 crypto 标准库)实现自动化生成。这一过程首先依赖 crypto-config.yaml 配置文件。
crypto-config.yaml 配置文件的结构十分简单,支持定义两种类型(OrdererOrgs 和 PeerOrgs)的若干组织。每个组织中又可以定义多个节点(Spec)和用户(User)。
一个示例的 crypto-config.yaml 配置文件内容如下,其中定义了一个 OrdererOrgs 类型的组织 Orderer(包括一个节点 orderer.example.com),以及两个 PeerOrgs 类型的组织 Org1 和 Org2(分别包括 2 个节点和 1 个普通用户)
OrdererOrgs:
- Name: Orderer
Domain: example.com
Specs:
- Hostname: orderer
CommonName: orderer.example.com
PeerOrgs:
- Name: Org1
Domain: org1.example.com
Template:
Count: 2
Users:
Count: 1
- Name: Org2
Domain: org2.example.com
Template:
Count: 2
Users:
Count: 1
使用该配置文件,通过如下命令可以为 Fabric 网络生成指定拓扑结构的组织和身份文件,存放到 crypto-config 目录下:
$ cryptogen generate --config=./crypto-config.yaml --output ./crypto-config
查看 crypto-config 目录结构,按照示例 crypto-config.yaml 中的定义进行生成:
$ tree -L 4 crypto-config
crypto-config
|-- ordererOrganizations
| `-- example.com
| |-- ca
| | |-- 293def0fc6d07aab625308a3499cd97f8ffccbf9e9769bf4107d6781f5e8072b_sk
| | `-- ca.example.com-cert.pem
| |-- msp
| | |-- admincerts
| | |-- cacerts
| | `-- tlscacerts
| |-- orderers
| | `-- orderer.example.com
| |-- tlsca | |-- 2be5353baec06ca695f7c3b04ca0932912601a4411939bfcfd44af18274d5a65_sk
| | `-- tlsca.example.com-cert.pem
| `-- users
| `-- [email protected]
`-- peerOrganizations
|-- org1.example.com
| |-- ca
| | |-- 501c5f828f58dfa3f7ee844ea4cdd26318256c9b66369727afe8437c08370aee_sk
| | `-- ca.org1.example.com-cert.pem
| |-- msp
| | |-- admincerts
| | |-- cacerts
| | `-- tlscacerts
| |-- peers
| | |-- peer0.org1.example.com
| | `-- peer1.org1.example.com
| |-- tlsca
| | |-- 592a08f84c99d6f083b3c5b9898b2ca4eb5fbb9d1e255f67df1fa14c123e4368_sk
| | `-- tlsca.org1.example.com-cert.pem
| `-- users
| |-- [email protected]
| `-- [email protected]
`-- org2.example.com
|-- ca
| |-- 86d97f9eb601868611eab5dc7df88b1f6e91e129160651e683162b958a728162_sk
| `-- ca.org2.example.com-cert.pem
|-- msp
| |-- admincerts
| |-- cacerts
| `-- tlscacerts
|-- peers
| |-- peer0.org2.example.com
| `-- peer1.org2.example.com
|-- tlsca
| |-- 4b87c416978970948dffadd0639a64a2b03bc89f910cb6d087583f210fb2929d_sk
| `-- tlsca.org2.example.com-cert.pem
`-- users
|-- [email protected]
`-- [email protected]
按照 crypto-config.yaml 中的定义,所生成的 crypto-config 目录下包括多级目录结构。其中 ordererOrganizations 下包括构成 Orderer 组织(1 个 Orderer 节点)的身份信息;peerOrganizations 下为所有的 Peer 节点组织(2 个组织,4 个节点)的相关身份信息。其中最关键的是 msp 目录,代表了实体的身份信息。
对于 Orderer 节点来说,需要将 crypto-config/ordererOrganizations/example.com/orderers/orderer.example.com 目录下的内容(包括 msp 和 tls 两个子目录)复制到 Orderer 节点的 /etc/hyperledger/fabric 路径(与 Orderer 自身配置一致)下。
对于 Peer 节点来说,则需要复制 peerOrganizations 下对应的身份证书文件。以 org1 的 peer0 为例,将 crypto-config/peerOrganizations/org1.example.com/peers/peer0.org1.example.com 目录下的内容(包括 msp 和 tls)复制到 Peer0 节点的 /etc/hyperledger/fabric(与 Peer 自身配置一致)路径下。
对于客户端节点来说,为了方便操作,可将完整的 crypto-config 目录复制到 /etc/hyperledger/fabric(与 configtx.yaml 中配置一致)路径下。
注意 目前,组织结构一旦生成,如果要进行修改,只能手动对证书进行调整,因此需要提前做好联盟的规划。未来会支持对组织结构和节点身份进行动态在线调整。
2. 生成 Ordering 服务启动初始区块
Orderer 节点在启动时,可以指定使用提前生成的初始区块文件作为系统通道的初始配置。初始区块中包括了 Ordering 服务的相关配置信息以及联盟信息。初始区块可以使用 configtxgen 工具进行生成。生成过程需要依赖赖 /etc/hyperledger/fabric/configtx.yaml 文件。configtx.yaml 配置文件定义了整个网络中的相关配置和拓扑结构信息。
编写 configtx.yaml 配置文件可以参考 Fabric 代码中(如 examples/e2e_cli 路径下或 sampleconfig 路径下)的示例。这里采用如下内容进行生成:
Profiles:
TwoOrgsOrdererGenesis:
Orderer:
<<: *OrdererDefaults
Organizations:
- *OrdererOrg
Consortiums:
SampleConsortium:
Organizations:
- *Org1
- *Org2
TwoOrgsChannel:
Consortium: SampleConsortium
Application:
<<: *ApplicationDefaults
Organizations:
- *Org1
- *Org2
Organizations:
- &OrdererOrg
Name: OrdererOrg
ID: OrdererMSP
MSPDir: crypto-config/ordererOrganizations/example.com/msp
BCCSP:
Default: SW
SW:
Hash: SHA2
Security: 256
FileKeyStore:
KeyStore:
- &Org1
Name: Org1MSP
ID: Org1MSP
MSPDir: crypto-config/peerOrganizations/org1.example.com/msp
BCCSP:
Default: SW
SW:
Hash: SHA2
Security: 256
FileKeyStore:
KeyStore:
AnchorPeers:
- Host: peer0.org1.example.com
Port: 7051
- &Org2
Name: Org2MSP
ID: Org2MSP
MSPDir: crypto-config/peerOrganizations/org2.example.com/msp
BCCSP:
Default: SW
SW:
Hash: SHA2
Security: 256
FileKeyStore:
KeyStore:
AnchorPeers:
- Host: peer0.org2.example.com
Port: 7051
Orderer: &OrdererDefaults
OrdererType: solo
Addresses:
- orderer.example.com:7050
BatchTimeout: 2s
BatchSize:
MaxMessageCount: 10
AbsoluteMaxBytes: 99 MB
PreferredMaxBytes: 512 KB
Kafka:
Brokers:
- 127.0.0.1:9092
Organizations:
Application: &ApplicationDefaults
Organizations:
该配置文件定义了两个模板:TwoOrgsOrdererGenesis 和 TwoOrgsChannel,其中前者可以用来生成 Ordering 服务的初始区块文件。
通过如下命令指定使用 configtx.yaml 文件中定义的 TwoOrgsOrdererGenesis 模板,来生成 Ordering 服务系统通道的初始区块文件。注意这里排序服务类型采用了简单的 solo 模式,生产环境中可以采用 kafka 集群服务: