堆栈内存溢出
  繁体   English   中英

Prometheus Pushgateway 的访问控制

[英]Access Control for the Prometheus Pushgateway

 原文  2020-01-28 22:16:17       security/ networking/ prometheus/ prometheus-pushgateway

问题描述

我们有一个 Prometheus Pushgateway 正在运行并监听来自我们的 AWS Lambda function 的指标推送。但是,公众可以访问到 Pushgateway 的 URL,这可能会带来一些安全问题。 我们想知道是否有任何方法可以为 Pushgateway 添加一层保护,使其不可公开访问?

我发现这个 Github 线程可以回答这个问题: https://github.com/prometheus/pushgateway/issues/281

它建议在 pushgateway 前面设置一个反向代理。 但是,我仍然对这实际上如何工作感到困惑? 我们目前正在使用 Kube.netes 来部署 Prometheus。

3 个解决方案

解决方案1
 1  2020-01-29 13:44:32

这里的建议是使用 AWS 内部负载均衡器将 Pushgateway 的 URL 设置为内部,创建一个 AWS 私有托管区域,将您的 VPC 附加到该区域,然后下一步是在同一 VPC 中部署 lambda。

这应该可以解决安全问题。

解决方案2
 1 已采纳  2020-01-30 20:24:36

您可以通过使用 TLS 机密作为入口规则在入口控制器中包含身份验证。 这是一个示例,展示了如何为您的入口生成基本身份验证:

https://kubernetes.github.io/ingress-nginx/examples/auth/basic/

另外,不要忘记在您的客户端中包含 Python 处理程序函数以设置 auth 标头,如下所示:

https://github.com/prometheus/client_python#handlers-for-authentication

解决方案3
 1  2022-02-17 22:39:28

没错,这里需要反向代理。 我也遇到了同样的问题,所以你的 prometheus/pushgateway 前面需要 nginx。

首先,使用本文安装 nginx(如果您已经配置了 prometheus,则可以从步骤 8 — 保护 Prometheus 开始):

我的 nginx 配置:

events { }
http {
upstream prometheus {
      server 127.0.0.1:9090;
      keepalive 64;
}

upstream pushgateway {
      server 127.0.0.1:9091;
      keepalive 64;
}

server {
      root /var/www/example;
      listen 0.0.0.0:80;
      server_name __;      
      location / {
            auth_basic "Prometheus server authentication2";
            auth_basic_user_file /etc/nginx/.htpasswd;
            proxy_pass http://prometheus;
      }  
}


server {
      root /var/www/example;
      listen 0.0.0.0:3001;
      server_name __;      
      location / {
            auth_basic "Pushgateway server authentication";
            auth_basic_user_file /etc/nginx/.htpasswd;
            proxy_pass http://pushgateway;
      } 
}
}

我的 pushgateway.service 文件:

[Unit]
Description=Pushgateway
Wants=network-online.target
After=network-online.target

[Service]
User=pushgateway
Group=pushgateway
Type=simple
ExecStart=/usr/local/bin/pushgateway --web.listen-address="127.0.0.1:9091" --web.telemetry-path="/metrics"  --persistence.file="/tmp/metric.store"  --persistence.interval=5m --log.level="info" --log.format="logger:stdout?json=true"

[Install]
WantedBy=multi-user.target

重要的是设置:--web.listen-address="127.0.0.1:9091",而不是 ":9091" - 所以它只会暴露给本地主机。

通过 nginx 推送网关可以访问端口 3001,端口 9091 将不公开。 需要基本身份验证才能访问或推送指标。

关于如何使用 Postman 进行测试,您可以在此处找到

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 通过访问控制拒绝返回访问 MYSQL访问控制 提要访问控制 容器即服务的访问控制 Symfony角色访问控制 MongoDB中的访问控制 MVC3访问控制 Web应用程序上的访问控制 访问控制异常-访问被拒绝 控制对未来内容的访问
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM