Grafana接入单点登陆cas实践

最新推荐文章于 2024-04-29 10:41:46 发布
最新推荐文章于 2024-04-29 10:41:46 发布
阅读量3.3k 收藏
点赞数
分类专栏: 云原生监控 文章标签: 云原生 监控程序
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mo56834154/article/details/112311472
版权

Grafana接入单点登陆cas实践

grafana是一款比较流行且好用的可视化制图工具,在实战过程中,往往需要与公司内已有系统做打通,势必带来的问题是如何和内部系统做联动

对grafana添加auth.proxy属性

grafana.ini配置文件中添加如下配置:

[auth.proxy]
	enabled=true
	header_name=X-WEBAUTH-USER
	header_property= username
	auto_sign_up= true

编写grafana-cas,通过golang实现反向代理

package main

import (
	"flag"
	"io"
	"net"
	"net/http"
	"net/url"
	"strings"
	"time"

	"github.com/go-cas/cas"
	"github.com/go-chi/chi"
	"github.com/golang/glog"
)

var (
	casURL      string
	grafanaAddr string
	serviceAddr string
)

func init() {
	flag.StringVar(&casURL, "cas-url", "sso.example.com", "cas url")
	flag.StringVar(&grafanaAddr, "grafana-addr", "localhost:3000", "grafana addr")
	flag.StringVar(&serviceAddr, "service-addr", ":8080", "grafana proxy addr")
	flag.Parse()
}

func main() {
	url, _ := url.Parse(casURL)
	client := cas.NewClient(&cas.Options{URL: url})
	httpClient = createHTTPClient()
	root := chi.NewRouter()
	root.Use(client.Handler)
	root.HandleFunc("/*", handle)

	server := &http.Server{
		Addr:    serviceAddr,
		Handler: client.Handle(root),
	}
	if err := server.ListenAndServe(); err != nil {
		glog.Fatal(err)
	}
}
var (
	httpClient *http.Client
)

const (
	MaxIdleConnections int = 20
	RequestTimeout int = 30
)

// 重用httpclient
func createHTTPClient() *http.Client {
	client := &http.Client{
		CheckRedirect: func(req *http.Request, via []*http.Request) error {
			return http.ErrUseLastResponse
		},
		Transport: &http.Transport{
			Dial: (&net.Dialer{
				Timeout: 10 * time.Second,
			}).Dial,
			IdleConnTimeout:     10 * time.Second,
			TLSHandshakeTimeout:   5 * time.Second,
			ResponseHeaderTimeout: 10 * time.Second,
			MaxIdleConns: 50,
			MaxIdleConnsPerHost: MaxIdleConnections,
		},
		Timeout: time.Duration(RequestTimeout) * time.Second,
	}
	return client
}
func handle(w http.ResponseWriter, r *http.Request) {
    // 通过cas登陆的结果获取userName
	user := strings.Split(cas.Username(r), "@")[0]
	r.Header.Add("X-WEBAUTH-USER", user)
	r.Host, r.URL.Host = grafanaAddr, grafanaAddr
	r.RequestURI, r.URL.Scheme = "", "https"
	// 设置连接池
	transport := http.DefaultTransport
	outReq := new(http.Request)
	*outReq = *r 
	res, err := transport.RoundTrip(outReq)
	if err != nil {
		w.WriteHeader(http.StatusBadGateway)
		return
	}

	// 将登陆后的header传递给代理对象
	for key, value := range res.Header {
		for _, v := range value {
			w.Header().Add(key, v)
		}
	}
	w.WriteHeader(res.StatusCode)
	// 将返回结果copy
	io.Copy(w, res.Body)
	res.Body.Close()
}

使用grafana-cas镜像

Dockerfile

FROM golang:1.14.1
ENV GO111MODULE=on \
    GOPROXY=https://goproxy.cn,direct \
    GIN_MODE=release \
    PORT=8080
WORKDIR /app
COPY . /app
RUN go build -o /app/grafana-cas -gcflags "all=-N -l" grafana-cas.go
RUN chmod +x ./grafana-cas
EXPOSE 8080
ENTRYPOINT ["./grafana-cas"]

与k8s做集成

在helm中添加grafanaCas配置

grafanaCas:
	enabled: true
	image:
	  repository: {{imageRepository}}
	  tag: {{imageTag}}
	  pullPolicy: IfNotPresent
	replicas: 1
	service:
	  type: ClusterIP
	  root_url: {{grafana的真实地址}} 
	  port: 80
	  targetPort: 8080
	  annotations: {}
	  labels: {}
	ingress:
	  enabled: true
	  annotations: 
	    kubernetes.io/ingress.class: nginx
	    kubernetes.io/tls-acme: "true"
	  labels: {}
	  path: /
	  hosts:
	    - {{对外提供的grafana的地址}} 
	  tls: 
	  - secretName: {{tls secret}}
	    hosts:
	      - {{对外提供的grafana的地址}} 
	deploymentStrategy:
	  type: RollingUpdate
	  maxSurge: 25%
	  maxUnavailable: 25%
	readinessProbe:
	  httpGet:
	    path: /api/health
	    port: 3000
	  initialDelaySeconds: 20
	  timeoutSeconds: 300
	  failureThreshold: 10

添加deployment,ingress,svc

deployment
{{- if .Values.grafanaCas.enabled -}}
apiVersion: apps/v1
kind: Deployment
metadata:
  name: {{ template "grafanaCas.fullname" . }}
  labels:
    app: {{ template "grafanaCas.name" . }}
    chart: {{ template "grafanaCas.chart" . }}
    release: {{ .Release.Name }}
    heritage: {{ .Release.Service }}
spec:
  replicas: {{ .Values.grafanaCas.replicas }}
{{- with .Values.deploymentStrategy }}
  strategy:
{{ toYaml . | trim | indent 4 }}
{{- end }}
  selector:
    matchLabels:
      app: {{ template "grafanaCas.name" . }}
      release: {{ .Release.Name }}
  template:
    metadata:
      labels:
        app: {{ template "grafanaCas.name" . }}
        chart: {{ template "grafanaCas.chart" . }}
        release: {{ .Release.Name }}
        heritage: {{ .Release.Service }}
    spec:
      containers:
        - name: {{ template "grafanaCas.name" . }}
          image: "{{ .Values.grafanaCas.image.repository }}:{{ .Values.grafanaCas.image.tag }}"
          imagePullPolicy: {{ .Values.grafanaCas.image.pullPolicy }}
          command: ["./grafana-cas"]
          ports:
            - name: http
              containerPort: {{ .Values.grafanaCas.service.targetPort}}
              protocol: TCP
          livenessProbe:
            tcpSocket:
              port: http
            initialDelaySeconds: 30
            periodSeconds: 20
            timeoutSeconds: 1
          readinessProbe:
            tcpSocket:
              port: http
            initialDelaySeconds: 50
            periodSeconds: 20
            timeoutSeconds: 1
          resources:
            {{- toYaml .Values.grafanaCas.resources | nindent 12 }}
{{- end }}
ingress
{{- if and .Values.grafanaCas.enabled .Values.grafanaCas.ingress.enabled -}}
{{- $fullName := include "grafanaCas.fullname" . -}}
{{- $servicePort := .Values.grafanaCas.service.port -}}
{{- $ingressPath := .Values.grafanaCas.ingress.path -}}
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: {{ $fullName }}
  namespace: {{ .Release.Namespace }}
  labels:
    app: {{ template "grafanaCas.name" . }}
    chart: {{ template "grafanaCas.chart" . }}
    release: {{ .Release.Name }}
    heritage: {{ .Release.Service }}
{{- if .Values.grafanaCas.ingress.labels }}
{{ toYaml .Values.grafanaCas.ingress.labels | indent 4 }}
{{- end }}
{{- with .Values.grafanaCas.ingress.annotations }}
  annotations:
{{ toYaml . | indent 4 }}
{{- end }}
spec:
{{- if .Values.grafanaCas.ingress.tls }}
  tls:
  {{- range .Values.grafanaCas.ingress.tls }}
    - hosts:
      {{- range .hosts }}
        - {{ . | quote }}
      {{- end }}
      secretName: {{ .secretName }}
  {{- end }}
{{- end }}
  rules:
  {{- range .Values.grafanaCas.ingress.hosts }}
    - host: {{ . }}
      http:
        paths:
          - path: {{ $ingressPath }}
            backend:
              serviceName: {{ $fullName }}
              servicePort: {{ $servicePort }}
  {{- end }}
{{- end }}
svc
{{- if .Values.grafanaCas.enabled -}}
apiVersion: v1
kind: Service
metadata:
  name: {{ template "grafanaCas.fullname" . }}
  namespace: {{ .Release.Namespace }}
  labels:
    app: {{ template "grafanaCas.name" . }}
    chart: {{ template "grafanaCas.chart" . }}
    release: {{ .Release.Name }}
    heritage: {{ .Release.Service }}
{{- if .Values.grafanaCas.service.labels }}
{{ toYaml .Values.grafanaCas.service.labels | indent 4 }}
{{- end }}
{{- with .Values.grafanaCas.service.annotations }}
  annotations:
{{ toYaml . | indent 4 }}
{{- end }}
spec:
{{- if (or (eq .Values.grafanaCas.service.type "ClusterIP") (empty .Values.grafanaCas.service.type)) }}
  type: ClusterIP
  {{- if .Values.grafanaCas.service.clusterIP }}
  clusterIP: {{ .Values.grafanaCas.service.clusterIP }}
  {{end}}
{{- else if eq .Values.grafanaCas.service.type "LoadBalancer" }}
  type: {{ .Values.grafanaCas.service.type }}
  {{- if .Values.grafanaCas.service.loadBalancerIP }}
  loadBalancerIP: {{ .Values.grafanaCas.service.loadBalancerIP }}
  {{- end }}
  {{- if .Values.grafanaCas.service.loadBalancerSourceRanges }}
  loadBalancerSourceRanges:
{{ toYaml .Values.grafanaCas.service.loadBalancerSourceRanges | indent 4 }}
  {{- end -}}
{{- else }}
  type: {{ .Values.grafanaCas.service.type }}
{{- end }}
{{- if .Values.grafanaCas.service.externalIPs }}
  externalIPs:
{{ toYaml .Values.grafanaCas.service.externalIPs | indent 4 }}
{{- end }}
  ports:
    - name: service
      port: {{ .Values.grafanaCas.service.port }}
      protocol: TCP
      targetPort: {{ .Values.grafanaCas.service.targetPort }}
{{ if (and (eq .Values.grafanaCas.service.type "NodePort") (not (empty .Values.grafanaCas.service.nodePort))) }}
      nodePort: {{.Values.grafanaCas.service.nodePort}}
{{ end }}
  selector:
    app: {{ template "grafanaCas.name" . }}
    release: {{ .Release.Name }}
{{- end }}
bangweimo123
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Grafanacas集成-yellowcong
03-06 384
grafana 实现单点登陆的方式,同sonar和graylog有点类似,通过Head部分的字段,将用户带到后端去。前面增加一个代理,apache ->grafana
通过 Keycloak 实现 Grafana 单点登录
youzhouliu的博客
05-23 2747
​ Keycloak作为一个开源软件产品,旨在为现代的应用程序和服务,提供包含身份管理和访问管理(英语:Access Management)功能的单点登录工具。 通过 keycloak 实现 grafana单点登录是一个非常不错的选择,实现也比较方便。 ​
【基于Maxkey Oauth2接入Grafana,实现单点登录】
最新发布
memory23的博客
04-29 909
解决Grafana登录报错login.OAuthLogin(missing saved state)问题
通过 Keycloak + Mysql 实现 Grafana 单点登录
Allen技术小站
07-01 3704
注意: 文中提到的一些ip,端口,邮箱,用户名等信息为个人配置,请按实际自行修改 1. docker 安装 mysql8.0.16 mysql端口使用3306 docker run --name mySql -p 3306:3306 --restart always -e MYSQL_ROOT_PASSWORD=root -d mysql:8.0.16 keycloak和grafana有...
漂亮的单点登录网页模版
08-30
漂亮的单点登录网页模版
单点登录入门链接
你好,欢迎光临!
06-04 585
https://www.cnblogs.com/EzrealLiu/p/5559255.html
开源ITSM工具itop接入单点登录框架cas实现步骤.docx
09-12
"itop接入CAS单点登录框架实现步骤" 本文将详细介绍开源ITSM工具iTop接入开源单点登录框架CAS的实现方法。该方法经过实践验证,已经在作者的单位中应用。 CAS框架简介 CAS(Central Authentication Service)是一...
spring boot整合CAS Client实现单点登陆验证的示例
08-28
Spring Boot 整合 CAS Client 实现单点登录验证的示例 Spring Boot 整合 CAS Client 是一种流行的解决方案,用于实现单点登录(Single Sign-On,简称 SSO)。在多个应用系统中,用户只需要登录一次就可以访问所有...
CAS单点登陆工具.zip
05-15
该资源是CAS单点登陆所需的项目,包含CAS-server-4.2.4、CAS-client-3.2.1,配合我的一篇名为CAS单点登陆实例的博客一起实操,https://blog.csdn.net/Candy_Sir/article/details/90238063 相信小伙伴一定成功搭建...
cas单点登陆服务端
06-22
在“cas单点登陆服务端war包”中,我们主要关注以下几个核心知识点: 1. **CAS架构**:CAS通常由服务端和客户端两部分组成。服务端负责用户身份验证,客户端则负责与服务端交互,确保用户已经通过了身份验证。在这...
grafana-authentication-proxy:Grafana 身份验证代理
06-24
grafana 身份验证代理 使用和 Express 在 Google OAuth2、基本身份验证或 CAS 身份验证背后最新的和 。 Elasticsearch、grafana 和用户客户端之间的代理 支持基本认证保护的 Elasticsearch,只有 grafana-authentication-proxy 知道用户/密码 兼容最新的grafana 增强的身份验证方法。 现在支持客户端的 Google OAuth2、BasicAuth(支持多用户)和 CAS 身份验证 支持每用户 grafana 索引。 现在您可以对用户 A 使用索引 grafana-int-userA,对用户 B 使用 grafana-int-userB 受启发并基于 ,其中 99% 是目前由他们编写的,谢谢:) 我们Bigdesk支持Bigdesk或Head等第三方插件,因为它们很难测试和维护 安装 #
Docker安装部署及使用
01-09
Docker安装部署及使用 实验内容 安装Docker. 创建自己的第一个容器 容器使用,查看、启动、进入、停止、删除对应容器。 容器安装MySQL。 Experimental environment Virtual Machine: VMware 15 OS: Ubuntu 18.04 Server Docker 安装 1. 卸载旧版本 sudo apt-get remove docker docker-engine docker.io 2. 安装依赖包 sudo apt-get install apt-transport-https ca-certificates curl softw
单点登陆(sso+shiro+cas
04-11
总之,结合Apache Shiro和CAS可以在Spring环境下实现高效、安全的单点登录解决方案。这一方案既满足了用户便捷的登录体验,又简化了系统管理员对多个应用的权限管理。通过细致的配置和测试,开发者可以构建出稳定...
GRAFANA接入第三方SSO
wang5525369的博客
05-12 3805
1.grafana修改配置文件,并禁用原有ldap登陆方式 在conf目录下的defaults.ini [auth.generic_oauth] name = SSO enabled = true allow_sign_up = true client_id = sso_id client_secret = sso_secret scopes = user:email email_attribute_name = email:primary auth_url = http://localhost/uc-gr
grafana初体验
alii79643的博客
04-26 94
1、centos版下载安装 wget https://s3-us-west-2.amazonaws.com/grafana-releases/release/grafana-5.0.4-1.x86_64.rpm sudo yum install initscripts fontconfig sudo rpm -Uvh grafana-5.0.4-1.x86_64.rpm ...
grafana 权限提升漏洞
OSCS开源安全社区
09-21 1055
当使用 Authproxy进行身份验证时,该漏洞允许攻击者从管理员权限升级到服务管理员。(在Authproxy功能中允许仅通过在X-WEBAUTH-USER HTTP标头中提供用户名(或电子邮件)来对用户进行身份验证即前端代理负责身份验证,并且只有使用此前端代理才能公开访问Grafana服务器。OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。AGrafana 是一个用于监控和可观察性的开源平台。
数据可视化组件Grafana详细解读--Debian/Ubuntu上的安装
YunWisdom
12-04 1572
数据可视化演示: PS:您可以在目标服务器上运行数据可视化组件,监控数据服务器,Web服务器,网络文件服务器等等服务器的各种运行状态,DevOps的必不可少的组件。   在Debian / Ubuntu上安装 描述 下载 基于Debian的Linux的的稳定 X86-64 基于Debian的Linux的的稳定 ARM64 基于Debian的Linux的的稳...
Grafana(三)Grafana 免密登录-隐藏导航栏-主题变换
m0_56659620的博客
01-17 2486
Grafana 的常用方式: 将配置好的Grafana图嵌入到系统页面中。
SSO之CAS单点登录详细教程.docx
01-04
SSO之CAS单点登录详细教程.docx

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值