如果我理解正确的话,结构区块链网络中的每个对等方(通过八卦以某种方式互连)只会接受来自其他对等方的传入连接,如果它们使用与Fabric CA签名的公钥的HTTPS连接。
这是对的吗?
因此,在我的理解中,Root-CA成为单点故障,因为可以修改它,从那时起,经过修改的Root-CA证书将传播到节点,最终没有节点可以相互连接。
这是对的吗?
答案 0 :(得分:3)
让我试着回答这两个问题,或许更直接一些。
问题1:如果我理解正确的话,结构区块链网络中的每个对等体(以某种方式通过八卦互连)只接受来自其他对等体的传入连接,如果它们使用与Fabric CA签名的公钥的HTTPS连接。这是对的吗?
ANSWER1:不,这不对。您说“Fabric CA”,但每个结构区块链网络都有多个可信CA,其中每个CA可能是Fabric CA或其他CA或组合。此模型中没有单个受信任的CA根。此外,来自对等方的连接是通过GRPC而不是HTTPS。
问题2:所以在我的理解中,Root-CA成为单点故障,因为可以修改它,从那时起,经过修改的Root-CA证书将传播到节点,最终没有节点可以相互连接。这是对的吗?
答案2:不,这不正确。 没有SPoF(单点故障),因为: a)单个Fabric CA可以在集群中运行 b)区块链网络中有多个Fabric CA集群(或其他CA)。 c)同伴和订购者不直接连接到CA.它们使用可从文件系统或其分类帐副本本地获得的加密材料。 也没有SPoT(单点信任),因为: a)它们是没有共同根密钥的多个根CA. b)配置更新,这些更新会影响谁可能需要来自不同信任根的多个身份的签名。例如,更改信任策略可能需要来自区块链中每个组织的管理员签名(或者在超级边界术语中,在渠道中)。
答案 1 :(得分:1)
同行将接受来自其他同行和订购者的传入连接。您可以定义哪些成员将参与某个频道,即谁将参与您网络中的迷你区块链。然后,为每个成员创建工件。您有关于应创建的频道和工件的更多信息,here。有关您将使用here的工具的更多信息。
创建频道并加入对等节点后,连接将由MSP控制。创建频道时,您可以为每个menber定义de public key。然后,MSP管理它们。
正如您所说,可以修改Root-CA,但这可能发生在任何其他具有任何其他Root-CA的系统中。当成员请求其密钥时,应该打开Fabric CA Server,然后它将被停止。此外,Hyperledger建议创建中间CA.
答案 2 :(得分:1)
varnit和Urko的答案部分解决了这个问题。但是,在确定Fabric CA是否提供SPoF时,需要考虑许多方面。首先,如varnit的响应中所述,Fabric CA可以高度可用。但是,区块链网络的运行不需要Fabric CA,SDK或CLI可以使用它来获取用于配置网络中的对等方和订货方的证书以及交易所用的通道。交易。在完全使用cryptogen工具完全配置网络CA时,可以创建所需的证书。在Fabric的手册中定义了here。要配置网络,您将使用header("Content-Type: text/plain");
工具。
配置网络时,代表每个组织角色的证书存储在网络的创世块中,并在配置通道时存储在通道的配置块中。因此,每个节点,无论是对等节点还是订购者,都可以访问所有(根)证书。更改各种组织的根证书的唯一方法是获取经过验证的事务,以根据为该网络定义的认可策略更新同意的网络配置。
答案 3 :(得分:0)
首先,我想说这个问题非常有趣第二,我认为您对Hyperledger Composer的关注是正确的,但我会说这是一个解决方案,因为所有Hyperledger Fabric组件都是基于容器的,因此可以轻松扩展所以在Docker swarm的情况下我会使用`
docker service scale hyper ledger-ca 5`
它会将它扩展到5个容器或不同的节点我希望能回答你的问题,请告诉我是否有任何问题需要回答