Sentry 企业级数据安全解决方案 - Relay 入门

内容整理自官方开发文档

Sentry Relay 通过提供作为应用程序和 sentry.io 之间中间层的独立服务来提供企业级数据安全性。

Relay 专门设计用于:

  • 在将个人身份信息 (PII) 发送给 Sentry 之前,在中心位置对其进行清理
  • 在低带宽或连接受限的地区提高事件响应时间
  • 充当将所有 HTTP 通信限制为自定义域名的组织的不透明代理

托管模式(managed mode) 下的 Relay 仅适用于商业和企业计划https://sentry.io/pricing/

Relay 用例

Relay 旨在支持对个人身份信息 (PII) 的数据清理、响应时间和企业域管理具有特定企业安全要求的组织。

PII 数据清理

Sentry 已经在两个地方清除了 PII

  1. 在发送事件之前在 SDK
  2. 抵达 Sentry 的基础设施后

Relay 添加了第三个选项,可以在将数据发送到 Sentry 之前在一个中心位置清理数据。

要选择正确的数据清理位置,请考虑:

响应时间

Relay 对请求的响应非常快。在您的基础设施附近安装 Relay 将进一步缩短发送事件时的响应时间。这种安装方法可以特别减少偏远地区的往返时间。

企业域管理

默认情况下,SDK 需要使用指向 sentry.io 的数据源名称 (DSN) 进行配置。如果您需要将所有 HTTP 通信限制为自定义域名,Relay 可以充当不透明代理,将事件可靠地转发到 Sentry

入门

开始使用 Relay 就像使用默认设置一样简单。您还可以配置 Relay 以满足您组织的需求。查看配置选项页面以获取有关操作场景的详细讨论。

Relay server 称为 relay。从 GitHub Releases 下载二进制文件。DockerHub 上提供了一个 Docker 镜像。

初始化配置

要创建初始配置,请使用 Relayrelay config init 命令,
该命令将配置文件放在当前工作目录下的 .relay 文件夹中。

Docker 中,使用 Docker 提供的标准机制提供配置目录,通过挂载 Docker volumes 或构建新容器并复制文件。

# 调整配置目录的权限
docker run --rm -it                \
  -v $(pwd)/config/:/work/.relay/  \
  --entrypoint bash                \
  getsentry/relay                  \
  -c 'chown -R relay:relay /work/.relay'

# 生成配置
docker run --rm -it                \
  -v $(pwd)/config/:/work/.relay/  \
  getsentry/relay                  \
  config init

选择默认配置以创建最小配置文件。
您可以通过选择 "create custom config" 并自定义这些参数来选择覆盖默认设置:

  • mode 设置,用于配置 Relay 运行的主要模式。有关可用 Relay 模式的更多信息,请参阅 Relay 模式

目前,只有 proxystatic 模式可供所有组织使用。managed 模式下的 Relay 仅适用于商业和企业计划https://docs.sentry.io/product/relay/modes/

  • upstream 设置配置 Relay 将事件转发到的服务器(默认为主要的 sentry.io URL)。

  • porthost 设置配置 Relay 将侦听的 TCP 端口。这是 SDK 发送事件的地址。

  • tls 设置配置 TLS 支持(HTTPS 支持),当需要保护 SDKRelay 之间的通信时使用。

设置记录在 .relay/config.yml 中。请注意,所有配置值都是可选的,并且默认为以下设置:

relay:
  mode: managed
  upstream: "https://sentry.io/"
  host: 0.0.0.0
  port: 3000
  tls_port: ~
  tls_identity_path: ~
  tls_identity_password: ~

配置在配置选项中有完整记录。

创建凭证

不适用于 proxystatic 模式。

除了 config.ymlinit 命令还创建了一个凭证文件 credentials.json,它位于同一个 .relay 目录中。此文件包含 Relay 用于与上游服务器进行身份验证的公钥和私钥。

因此,必须保护此文件不被未经授权的实体修改或查看。

典型的凭据文件类似于此示例:

{
  "secret_key": "5gkTAfwOrJ0lMy9aOAOmHKO1k6gd8ApYkAInmg5VfWk",
  "public_key": "nDJI79SbEYH9-8NEJAI7ezrgYfoIPW3Bnkg00k1z0fA",
  "id": "cde0d72e-0c4e-4550-a934-c1867d8a177c"
}

managed 模式下运行时,使用 public_key 向上游服务器注册您的 Relay

使用 Sentry 注册 Relay

不适用于 proxystatic 模式。

为了在 managed 模式下运行,RelaySentry 中的组织和项目设置中提取 PII 剥离、过滤和速率限制的配置。
由于这些设置可能包含敏感信息,因此它们的访问受到 Sentry 的限制并需要授权。

Sentry 注册 Relay

  1. 通过检查 credentials.json 文件或运行以下命令来复制公钥的内容:

    docker run --rm -it                \
      -v $(pwd)/config/:/work/.relay/  \
      getsentry/relay                  \
      credentials show
  2. 单击 Sentry 主导航中的 Settings,然后选择 Relays

  1. 点击 New Relay Key 添加密钥并保存:

此过程向 Sentry 注册 Relay,以便准备发送消息。请参阅配置选项以了解有关 Relay 配置选项的更多信息。

运行 Relay

Sentry 注册 Relay 后,它就可以运行了:

docker run --rm -it                \
  -v $(pwd)/config/:/work/.relay/  \
  -p 3000:3000                     \
  getsentry/relay                  \
  run

在默认配置下,Relay 发出类似于以下内容的日志输出:

INFO  relay::setup > launching relay from config folder .relay
 INFO  relay::setup >   relay mode: managed
 INFO  relay::setup >   relay id: cde0d72e-0c4e-4550-a934-c1867d8a177c
 INFO  relay::setup >   public key: nDJI79SbEYH9-8NEJAI7ezrgYfoIPW3Bnkg00k1z0fA
 ...
 INFO  relay_server::actors::upstream > relay successfully registered with upstream

有关如何配置 Relay 的日志记录的更多信息,请参阅 Logging 页面。

如果您移动了 config 文件夹(例如,出于安全原因),请使用 --config 选项指定位置:

docker run --rm -it                \
  -v $(pwd)/config/:/etc/relay/    \
  -p 3000:3000                     \
  getsentry/relay                  \
  run --config /etc/relay/

发送测试事件

一旦 Relay 运行并通过 Sentry 进行身份验证,将测试事件发送到您组织中的项目之一。

通过在 Settings > Projects > {YOUR_PROJECT_NAME} > Client Keys (DSN) 导航到您的项目设置来获取您的项目的 DSN,然后选择一个现有的 DSN,它看起来类似于:

https://12345abcdef10111213141516171819@o1.ingest.sentry.io/2345

接下来,替换部分 DSN 以匹配 Relay 可访问的地址。例如,如果 Relay 侦听 http://localhost:3000,请将 DSNprotocolhost 更改为:

http ://12345abcdef10111213141516171819@ localhost:3000 /2345

在您的 SDK 配置中使用新的 DSN。要对此进行测试,您可以使用 sentry-cli(安装说明)发送消息:

export SENTRY_DSN='http://12345abcdef10111213141516171819@127.0.0.1:3000/2345'
sentry-cli send-event -m 'A test event'

几秒钟后,该事件应出现在您项目的问题流(issues stream)中。

系列

公众号:黑客下午茶
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值