Prometheus使用Basic Auth进行安全防护,实现登录控制

最新推荐文章于 2024-05-07 21:43:01 发布
最新推荐文章于 2024-05-07 21:43:01 发布
阅读量1k 收藏 28
点赞数 21
分类专栏: Prometheus 文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/li815517253/article/details/136573722
版权

在日常prometheus的使用中是没有安全加密措施的,可能会导致监控信息,敏感信息遭遇泄漏。在这种情况下需要保护对Prometheus的访问。

一、Prometheus Basic Auth 使用背景

在日常prometheus的使用中是没有安全加密措施的,可能会导致监控信息,敏感信息遭遇泄漏。在这种情况下需要保护对Prometheus的访问。

二、方案简介

Prometheus于2.24版本(包括2.24)之后提供Basic Auth功能进行加密访问,在浏览器登录UI的时候需要输入用户密码,访问Prometheus api的时候也需要加上用户密码。

图片

大致步骤如下

  1. 预制用户密码,其中密码使用python3工具包加密

  2. 创建对应用户密码配置文件,修改普罗启动命令(operator场景通过ngress-nginx方式)

  3. 由于Prometheus访问需要认证,如果普罗负载存在探针则修改普罗负载本身的探针配置

  4. 由于Prometheus访问需要认证,如果有grafana,需要修改grafana相关步骤

三、准备工作,预制用户密码,其中密码使用python3工具包加密

因为Basic Auth 需要user、password 信息。访问Prometheus API的所有行为都需要用户名和密码。普罗配置的密码需要加盐加密,可以使用python3工具进行生成,再配置到普罗的相关配置中,作为登录密码认证使用。

  1. 安装python3环境

    apt install python3-bcrypt

  2. Python 脚本如下

    import getpass
import bcrypt

password = getpass.getpass("password: ")
hashed_password = bcrypt.hashpw(password.encode("utf-8"), bcrypt.gensalt())
print(hashed_password.decode())

  3. 运行脚本,假如我们需要的密码为: test。
    执行脚本后,需要我们手动键入需要使用的密码,在终端键入的时候不显示
     

    图片


    保存密码备用: $2b$12$kXxrZP74Fmjh6Wih0Ignu.uWSiojl5aKj4UnMvHN9s2h/Lc/ui0.S

四、prometheus操作配置实践操作

在prometheus的日常使用中,通常有三种方式:

  1. 容器化部署在集群中

  2. 通过kube-prometheus部署

  3. 二进制直接在虚机上部署

三种不同方式安装的prometheus,配置basic auth的方式也略有差异。本文将对这三种使用场景进行Basic auth的配置。

4.1 Prometheus容器化部署添加BasicAuth

默认无需用户、密码等认证方式,直接通过服务IP和端口就能访问到prometheus 的queryAPI和UI界面

图片

图片


如果需要给UI和 prometheus API 添加basic auth,那么该如何做呢?

  1. 确认prom的版本信息,低于2.24版本的prometheus 不支持配置Basic Auth
     

    图片


    存在该启动命令,即可配置basic auth。

  2. 创建configmap配置项
    准备webconfig.yml文件

    basic_auth_users:
  admin: $2b$12$kXxrZP74Fmjh6Wih0Ignu.uWSiojl5aKj4UnMvHN9s2h/Lc/ui0.S

    检测webconfig.yml是否可用:
    promtool check web-config webconfig.yml

    图片

    复用上述的webconfig.yml
    kubectl -n monitoring create configmap webconfig --from-file=webconfig.yml

    图片

  3. 将configmap挂载给prometheus 实例
    有多处修改点。
    需要修改volume配置,即增加configmap的挂载

     volumes:
 - configMap:
     name: webconfig
   name: basic-auth

    修改后效果如下:

    图片

    需要将配置挂载给prometheus容器,添加挂载点

     volumeMounts:
 - mountPath: /etc/prometheus/basicauth
   name: basic-auth

    修改后效果如下:

    图片

    需要修改启动命令,添加 web.config.file

    - --web.config.file=/etc/prometheus/basicauth/webconfig.yml

    修改后效果如下:

    图片

    修改完上述配置后,还得看情况继续修改探针配置。

  4. 修改探针配置 (如果有健康检查相关配置的话)
    同时还需要检查prometheus负载 是否有存活探针livenessProbe,和就绪探针readinessProbe相关配置。如果配置了探针,则需要对探针信息进行修改,添加访问头信息。否则会报错:

    图片

    因为kubelet探针需要访问prometheus接口,进行存活和就绪检测。如果配置了httpGet探针,不对探针进行httpHeaders配置,就会引起pod不断重启,无法正常运行。

    图片

    修改方式如下:
    首先需要对 用户名和明文密码进行 Base64编码处理,例如我设置的basicauth信息是: admin:test

    则需要echo -n "admin:test" |base64 -w0 ,编码后的信息为: YWRtaW46dGVzdA== ,保存备用

    图片

    然后继续编辑Prometheus负载配置:

    图片

    在livenessProbe.httpGet/readinessProbe.httpGet中添加:

    httpGet: 
  httpHeaders:
  - name: Authorization
    value: Basic YWRtaW46dGVzdA==

    图片


    修改完成后,保存退出负载配置。然后手动重启pod实例。

  5. 修改完成后,查看prometheus 实例状态。实例就绪
     

    图片


    访问prometheus的queryAPI,发现如果不带用户信息,则访问失败。basic auth生效

    图片

    访问Prometheus UI: 需要带用户鉴权,否则无法访问:
     

    图片

    图片

    页面密码输入明文即可。

4.2 Prometheus-operator部署场景添加basic auth

当前在k8s 部署prometheus 大都选择kube-prometheus这种形式,配置文件的变更都是交由crd进行管理。统一由prometheus-operator进行识别转换。

图片

  1. 查看对应的prometheus实例,并访问http API
     

    图片


    默认是不带鉴权的。

  2. 查看prometheus crd 的配置,发现没有web.config.file 相关可以配置的地方
    当前kube-prometheus 还不支持配置basic auth,详情可见https://github.com/prometheus-operator/prometheus-operator/issues/5765

  3. 规避方案
    借助nginx-ingress的能力配置basic auth。nginx ingress 在这方面非常灵活。
     

    图片


    即创建ingress 来实现。再创建ingress之前,我们需要先准备auth-secret

    执行下述命令之前 先安装 工具: yum -y install httpd

    $ htpasswd -c auth admin
New password:  test
New password:
Re-type new password:
Adding password for user admin

    效果如下:

    图片

    使用auth文件创建secret:
    kubectl create secret generic basic-auth --from-file=auth

    图片

  4. 给prometheus创建ingress访问入口
    由于我使用的k8s版本是1.21,ingress的写法会有所不同,1.22以后,ingress的api也不再是networking.k8s.io/v1beta1

    # ingress-prom.yaml
apiVersion: networking.k8s.io/v1beta1
kind: Ingress
metadata:
  annotations:
    nginx.ingress.kubernetes.io/auth-realm: Authentication Required
    nginx.ingress.kubernetes.io/auth-secret: basic-auth
    nginx.ingress.kubernetes.io/auth-type: basic
    kubernetes.io/ingress.class: nginx
  name: prometheus-k8s
  namespace: monitoring
spec:
  rules:
  - host: prometheus.example.com
    http:
      paths:
      - backend:
          serviceName: prometheus-k8s
          servicePort: 9090
        path: /
        pathType: Prefix

    图片

  5. 访问queryAPI&prometheus UI
    可以发现queryAPI直接访问已经被限制登录
     

    图片


    如果带鉴权用户访问则可以获取监控数据
     

    图片


    同时也可以发现,访问UI已经限制登录鉴权
     

    图片


    输入用户和密码后即可登录

    图片

  6. 高版本的k8s ingress写法可参考

    apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  annotations:
    nginx.ingress.kubernetes.io/auth-realm: Authentication Required
    nginx.ingress.kubernetes.io/auth-secret: basic-auth
    nginx.ingress.kubernetes.io/auth-type: basic
    kubernetes.io/ingress.class: nginx
  name: prometheus-k8s
  namespace: monitoring
spec:
  rules:
  - host: prometheus.example.com
    http:
      paths:
      - backend:
          service:
            name: prometheus-k8s
            port:
              name: web
        path: /
        pathType: Prefix

4.3 Prometheus裸机方式部署添加Basic Auth

  1. 创建webconfig.yml

    basic_auth_users:
  admin: $2b$12$kXxrZP74Fmjh6Wih0Ignu.uWSiojl5aKj4UnMvHN9s2h/Lc/ui0.S

    图片

  2. 启动prometheus

    ./prometheus --web.config.file=webconfig.yml --config.file=prometheus.yml

    其中 --web.config.file=webconfig.yml 为关键配置,prometheus 启动后会要求 带密码访问
    启动成功:

    图片

  3. 访问prometheus UI
    要求输入用户密码信息

    图片

  4. 访问prometheus http API接口
     

    图片


    带用户信息访问:

    图片

五、Grafana 如何对接鉴权之后的Prometheus

正常来说,如果对Prometheus配置了Basic Auth后,所有需要访问Prometheus的组件均需做出调整,否则无法获取数据。Grafana也不例外

  1. 登录Grafana UI, 初次登录需要填写grafana的用户密码,默认是admin:admin

    图片

  2. 确认数据源配置,并对数据源进行配置

    图片

  3. 配置完成后,点击正下方绿色按钮Test,测试数据源的联通性(不出意外,连接失败)
    如果没失败,就万事大吉,无需在往下看了。恭喜你完成对接。
    失败了请看下面,如何解决:

    图片

  4. 查看monitoring命名空间中grafana-datasource的configmap配置
    kubectl get cm -n monitoring |grep grafana-datasources
     

    图片


    编辑该配置项:
    kubectl edit cm grafana-datasources -n monitoring
    将 editable: false 设置为 : editable: true

    修改的原因是因为 grafana内置了默认的数据源,且数据源不允许修改。我们需要调整这个默认的规定

    图片

  5. 手动重启grafana实例
    cm修改完成后,无法动态加载配置,需要手动重启grafana实例加载新配置。
    如果grafana没做持久化处理,之前手动配置的dashboard可能会因为重启grafana实例而丢失,建议备份dashboard,dashboard可由grafana页面以json格式导出

    图片

  6. 再次访问Grafana UI
     

    图片


    查看dashboard信息:
     

    图片


    Ok,大功告成!

六、总结建议

  1. 容器化部署的prometheus 修改逻辑其实和二进制相同。将对应的Basic Auth 信息传递给prometheus,然后启动加载就可以了。低版本Promethues加载失败,会打印错误日志:
    unknow long flag '--web.config.file'
    要求Prometheus版本不低于2.24.

  2. 如果prometheus在部署的时候配置了存活探针和就绪探针,不对探针进行httpHeaders的配置,则会造成prometheus实例无法正常运行。

七 拓展内容

7.1 Grafana 如何取消匿名登录

🔐 正常情况下,Grafana的监控信息应该需要用户才能登录显示对接数据源指标的显示。如果谁都能登录查看,容器造成信息泄漏等安全问题

图片

如何才能实现Grafana的安全登录功能呢?

  1. 查看集群中monitoring ns下的grafana-conf 配置项
    kubectl get cm -n monitoring |grep grafana-conf

    图片

  2. 编辑该配置项
    kubectl edit cm -n monitoring grafana-conf
    根据关键字找到 auth.anonymous配置,将enabled = true 设置为 fale

    图片

  3. 重启grafana 实例
    修改配置后,需要重启grafana实例,加载配置(如果没做持久化处理,注意备份相关dashboard)

  4. 刷新grafana页面,重新登录
    可以发现,再次登录页面,都需要填写用户信息了

    图片

7.2 Prometheus BasicAuth 添加多用户

现实场景下,Prometheus的Baisc Auth信息需要配置多个提供给不同团队。
例如我之前添加的basic auth 只用一个鉴权用户: admin: test; 现在如果想添加新的鉴权用户: mike: hello
我们先用python3 工具生成hello 字段加密后的样子: $2b$12$qhdgpdq669cXNW4DLqRfI.JIBJ0KIvvf0I.I3ccie/tn8d4BxzqV2
此时只需要前往之前设置的webconfig 这个configmap中添加该信息即可:
kubectl edit cm webconfig -n monitoring

图片

修改完成后,使用prometheus的热加载命令加载新配置:
curl -u "admin:test" -XPOST http://ip:9090/-/reload

图片

多用户访问生效

图片

li815517253
关注
  • 21
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何使用Prometheus轻松实现集群监控?
01-27
和Zabbix类似,Prometheus也是一个近年比较火的开源监控框架,和Zabbix不同之处在于 Prometheus相对更灵活点,模块间比较解耦,比如告警模块、代理模块等等都可以选择性配置。服务端和客户端都是开箱即用,不需要...
Prometheus配置Basic Auth进行安全防护实现登录控制
华为云官方博客
01-15 1045
在日常prometheus使用中是没有安全加密措施的,可能会导致监控信息,敏感信息遭遇泄漏。在这种情况下需要保护对Prometheus的访问。
Prometheus 配置Basic auth认证
Hu_wen的专栏
03-20 472
Prometheus于2.24版本(包括2.24)之后提供Basic Auth功能进行加密访问,在浏览器登录UI的时候需要输入用户密码,访问Prometheus api的时候也需要加上用户密码。执行脚本后,在password:后面输入你要设置的密码,然后就会生成一串加密的密码串,记录下该密码串,后面配置会使用到。以上准备工作完成后,最后在启动的命令脚本中,需加入web.config.file的配置参数。注意的是,密码是加密前的明文密码,配置完成后重启服务就正常了。使用python脚本,生成加密密码串。
prometheus部署
LX199707的博客
09-19 324
一,实验环境 IP 角色 192.168.189.15 prometheus、node1 192.168.189.16 altermanager、node2 192.168.30.189.17 grafana、node3 注意部署的时候 全部关闭防火墙和核心防护 systemctl stop firewalld && systemctl disable firewalld sed -i 's/=enfor
SpringCloud微服务实战——搭建企业级开发框架(四十五):【微服务监控告警实现方式二】使用Actuator(Micrometer)+Prometheus+Grafana实现完整的微服务监控
全栈程序猿的专栏
07-29 3725
Prometheus是一款开源的系统和服务监控系统,属于云原生计算基金会项目。它可以通过设置的时间间隔从配置的目标系统采集指标数据,保存指标数据(时序数据库),评估规则表达式,显示结果,并在检测到指定条件时触发警报。多维数据模型Prometheus实现了一个高维数据模型,它从根本上将所有数据存储为时间序列属于同一指标和同一组标记维度的时间戳值。除了存储的时间序列,Prometheus可能会生成临时派生的时间序列作为查询的结果。高效存储可视化具有多种选项的快速灵活的客户端图表。...
Prometheus监控部署
潇潇雨歇
09-21 628
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录一、通用监控系统基础知识以及Prometheus的概述1.监控系统的发展史:2.什么是Prometheus?二、工作原理及适用性1.prometheus获取数据的方式2.Prometheus 负责时序型指标数据的采集及存储,数据的分析、聚合、可视化、告警需要安装其他组件。三,实验环境1.关闭防火墙和核心防护1.1Prometheus部署 一、通用监控系统基础知识以及Prometheus的概述 1.监控系统的发展史: SNMP时代:
【详细学习SpringBoot源码-SpringBoot中的Actuator应用-数据可视化操作之SpringBootAdmin-数据可视化操作之Prometheus+Grafana安装部署-10】
Coder_ljw的博客
12-26 881
【详细学习SpringBoot源码-SpringBoot中的Actuator应用-数据可视化操作之SpringBootAdmin-数据可视化操作之Prometheus+Grafana安装部署-10】执行器端点(endpoints)可用于监控应用及与应用进行交互,Spring Boot包含很多内置的端点。每个端点都可以启用或禁用。这控制着端点是否被创建,并且它的bean是否存在于应用程序上下文中。还必须通过JMX或HTTP进行暴露,大部分应用选择HTTP,端点的ID映射到一个带/actuator前缀的URL。
Securing Microservices Integrity with Hashicorp
禅与计算机程序设计艺术
07-31 1680
2020年是微服务领域一个重要的分水岭,随着云计算、容器化技术的普及,大量微服务应用开始向云平台迁移,同时也带来了新的安全风险。微服务的架构模式使得系统被切割成多个独立服务,它们之间需要进行密集通信,这就给攻击者提供了一个便利的攻击点。传统的单体架构已经无法满足微服务架构的需求了。安全防护面临着重构的困境,而HashiCorp Vault则可以帮助我们解决这个问题。本文将讨论微服务环境下的服务间认证机制——基于Hashicorp Vault实现服务间密钥共享和数据一致性保障。
百亿流量微服务网关的设计与实现
u013527895的博客
07-18 1403
本文从百亿流量交易系统微服务网关(API Gateway)的现状和面临的问题出发,阐述微服务架构与 API 网关的关系,理顺流量网关与业务网关的脉络,分享API网关知识与经验。API网关概述“计算机科学领域的任何问题都可以通过增加一个间接的中间层来解决。”——David Wheeler分布式服务架构、微服务架构与 API 网关1. 什么是API网关(API Gateway)其实,网关跟面向服务架构...
kubernetes1.5.2版本 yum install 方式安装部署 认证授权机制 安全模式 完整版
码农崛起
08-18 2541
此次是kubernetes1.5的版本 认证相关参数: •anonymous-auth参数:是否启用匿名访问,可以选择true或者false,默认是true,表示启用匿名访问。 •authentication-token-webhook参数:使用tokenreviewAPI来进行令牌认证。 •authentication-token-webhook-cache-ttl参数:webhook令牌认证缓存响应时长。 •client-ca-file参...
SpringBoot学习(四)NoSQL、接口文档、远程调用、消息服务、Web安全、可观测性、AOT
bollks的博客
04-25 808
响应式-单个数据响应式-多个数据普通对象。
Prometheus使用文档
07-02
Prometheus 是一套开源的系统监控报警框架,用户可以非常方便的安装和使用 Prometheus 并且能够非常方便的对其进行扩展。Prometheus的基本原理是通过HTTP协议周期性抓取被监控组件的状态,任意组件只要提供对应的...
使用Prometheus全方位监控K8s集群
02-07
使用Prometheus全方位监控K8s集群
使用Python编写Prometheus监控的方法
01-20
使用python编写Prometheus监控,需要你先开启Prometheus集群。可以参考//www.jb51.net/article/148895.htm 安装。在python中实现服务器端。在Prometheus中配置请求网址,Prometheus会定期向该网址发起申请获取你想...
openshift-prometheus:使用Prometheus监视OpenShift进行OpenShift聚会
05-18
使用Prometheus监控OpenShift 该项目包含说明和随附文件,用于在OpenShift上部署Prometheus。 软件版本普罗米修斯v1.4.1 OpenShift OpenShift Origin v1.3 对于访问服务,本文假定您在运行单节点群集的计算机上键入...
Linux生成密钥对并配置免密访问
u014516208的博客
05-07 304
先生成私钥,再生成公钥。
Linux——综合实验
Xinan_____的博客
05-07 802
> MASTER_HOST='wangA.wld.com', //主节。赋予root用户replication slave 权限。编辑一个数据库连接脚本,测试数据库是否能正常连接。创建共享目录/share_nfs。编辑nfs配置文件 设置允许ip。2.7.1.存在53端口占用。编辑自动挂载父目录配置文件。编辑自动挂载父目录配置文件。编辑自动挂载子目录配置文件。创建一个用户用来做主从同步。从节点同步主节点二进制文件。创建一个只做nfs的用户。解决办法:停止其他端口。为我们的应用创建一个库。
【Linux】文件内容相关的命令,补充:管道符
最新发布
yannan20190313的博客
05-07 1054
【Linux】文件内容相关的命令,补充:管道符
Prometheus自带的Basic Authentication给我一个登录认证示例
09-21
### 回答1: Prometheus自带的Basic Authentication是一种简单的认证方式,它需要使用用户名和密码进行认证。下面是一个示例: 首先,需要在Prometheus配置文件中设置认证信息,例如: ``` # my prometheus.yml global: scrape_interval: 15s scrape_configs: - job_name: 'prometheus' # 配置认证信息 basic_auth: username: "admin" password: "secret" static_configs: - targets: ['localhost:9090'] ``` 然后,启动Prometheus服务器并访问其Web界面。在访问时,浏览器会弹出认证对话框,要求输入用户名和密码。在本例中,用户名为“admin”,密码为“secret”。如果输入正确,则可以成功登录并访问Prometheus Web界面。 ### 回答2: Prometheus是一款开源的监控系统,支持多种认证方式,包括Basic Authentication。Basic Authentication基于用户和密码的方式进行登录认证。以下是一个使用Basic Authentication的Prometheus登录认证示例: 1. 首先,在Prometheus的配置文件prometheus.yml中添加以下配置: ``` - job_name: 'prometheus' scheme: http basic_auth: username: your_username password: your_password static_configs: - targets: ['localhost:9090'] ``` 在上述示例中,username和password分别填写你自己设置的用户名和密码。 2. 保存并重启Prometheus服务使配置生效。 3. 使用浏览器或其他HTTP请求工具进行访问时,在请求的URL中添加用户名和密码,例如: ``` http://localhost:9090/graph?username=your_username&password=your_password ``` 请记住,Basic Authentication是一种基本的认证方式,通过明文传输用户名和密码进行认证,并不是一种安全的认证方法。因此,在生产环境中,建议考虑使用安全的认证方式,如OAuth认证或使用反向代理服务器进行认证。 ### 回答3: Prometheus是一个开源的监控和警报系统,它可以通过Basic Authentication来进行登录认证。Basic Authentication是一种简单的HTTP认证方式,它通过在每个请求的Header中包含用户名和密码来进行身份验证。 下面是一个使用Prometheus自带的Basic Authentication进行登录认证的示例: 1. 首先,在Prometheus的配置文件`prometheus.yml`中添加以下内容: ```yaml basic_auth_users: - username: admin password: password123 ``` 该示例中,我们创建了一个用户名为`admin`,密码为`password123`的用户。 2. 保存配置文件并重新启动Prometheus服务。 3. 打开浏览器,输入Prometheus的URL(例如:http://localhost:9090)。 4. 浏览器将弹出一个身份验证对话框,要求输入用户名和密码。 5. 输入之前在配置文件中设置的用户名和密码,点击“登录”按钮。 6. 登录成功后,将跳转到Prometheus的主页面,可以开始使用各种监控和查询功能。 通过以上步骤,我们成功地使用Prometheus自带的Basic Authentication进行登录认证。当访问Prometheus时,浏览器会提示输入用户名和密码,并且只有通过身份验证的用户才能访问和使用Prometheus的功能。 需要注意的是,Basic Authentication是一种简单的认证方式,它以明文形式传输用户名和密码,安全性较低,不适合在非受信任的环境中使用。在实际生产环境中,推荐使用安全的认证方式,如OAuth2、LDAP等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值