kube-prometheus的TLS安全改造

已于 2023-10-16 16:00:58 修改
阅读量153 收藏 1
点赞数 1
分类专栏: # Prometheus 文章标签: prometheus 安全 devops
于 2022-12-23 16:09:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zfw_666666/article/details/128420787
版权

一、prometheus

#创建证书以及证书secret

openssl genrsa -out prome.key 2048

openssl req -new -x509 -key prome.key -out prome.crt -subj /C=CN/ST=Beijing/L=Beijing/O=DevOps/CN=prome.test.com

kubectl create secret tls prome-tls-secret --cert=prome.crt --key=prome.key -n Prometheus

kubectl get secrets -A | grep prome-tls-secret

#修改kube-prometheus-stack的values.yaml文件 

prometheus.prometheusSpec.web
web: 
  tlsConfig: 
    keySecret: 
      key: tls.key
      name: prome-tls-secret
    cert: 
      secret: 
        key: tls.crt
        name: prome-tls-secret

二、alertmanage

#创建证书以及证书secret

openssl genrsa -out alert.key 2048

openssl req -new -x509 -key alert.key -out alert.crt -subj /C=CN/ST=Beijing/L=Beijing/O=DevOps/CN=alert.test.com

kubectl create secret tls  alert-tls-secret --cert=alert.crt --key=alert.key -n Prometheus

kubectl get secrets -A | grep  alert-tls-secret

#修改kube-prometheus-stack的values.yaml文件 

alertmanage.alertmanagerSpec.web
web: 
  tlsConfig: 
    keySecret: 
      key: tls.key
      name: alert-tls-secret
    cert: 
      secret: 
        key: tls.crt
        name: alert-tls-secret

#修改完成后使用helm安装kube-prometheus-stack

helm install prometheus . -n prometheus

三、grafana

修改grafana的cm配置

kubectl get cm -A | grep grafana

kubectl edit cm -n prometheus prometheus-grafana  

data:
  grafana.ini: |  # 添加以下配置
  [server]
  protocol = https
  cert_file = /etc/grafana/ssl/tls.crt
  cert_key = /etc/grafana/ssl/tls.key

#创建证书secret

openssl genrsa -out grafana.key 2048

openssl req -new -x509 -key grafana.key -out grafana.crt -subj /C=CN/ST=Beijing/L=Beijing/O=DevOps/CN=grafana.test.com

kubectl create secret tls grafana-tls-secret --cert=grafana.crt --key=grafana.key -n prometheus

kubectl get secrets -A | grep grafana-tls-secret

#将证书挂载到grafana容器内

kubectl get sts -A | grep grafana

kubectl edit sts -n prometheus prometheus-grafana

volumeMounts:  #  volumeMounts下添加证书挂载路径
  - mountPath: /etc/grafana/ssl
    name: tls
 
volumes:  #volumes 下添加secret
  - name: tls
    secret: 
      defaultMode: 420 
      secretName: grafana-tls-secret

# 修改livenessProbe生存探针的协议为HTTPS

livenessProbe: 
  failureThreshold: 10 
  httpGet: 
    path: /api/health 
	port: 3000 
	scheme: HTTPS

# 修改readinessProbe就绪探针的协议为HTTPS 

readinessProbe: 
  failureThreshold: 3 
  httpGet: 
    path: /api/health
    port: 3000 
    scheme: HTTPS

修改完成后保存退出,重启容器, 到浏览器使用https://ip:port访问验证

CN-FuWei
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
prometheus:用于Kubernetes的Prometheus部署
04-08
为了保护Prometheus服务器和数据的安全,需要配置TLS加密通信、限制访问权限等。 2. **资源管理** 设置合理的资源请求和限制,避免Prometheus占用过多资源影响集群稳定性。 3. **监控策略** 设计合理的监控策略...
prometheus-tls怎么使用
weixin_42596214的博客
02-11 172
Prometheus是一个开源的系统监控和告警工具,TLS(Transport Layer Security)是一种安全协议,通过证书加密传输数据,确保数据在传输过程中不被窃取或篡改。 要使用Prometheus-TLS,你需要以下步骤: 生成TLS证书:你可以使用自签名证书或从CA颁发的证书。 配置Prometheus:在Prometheus的配置文件中,需要指定TLS证书和密钥的路径。 ...
prometheus-TLS
最新发布
u013218342的博客
08-25 209
设置prometheus TLS
二、Prometheus TLS加密认证和基于 basic_auth 用户名密码访问
李在奋斗的博客
03-18 1万+
文章目录Prometheus 基于用户名密码访问1. `Node Export`端配置密码2. 在被监控端这里生成密码3. 在node_exporter中新增配置文件4. node_exporter启动时引用该配置5. 访问http://192.168.2.44:9100/metrics需要账户密码验证了6. 配置Prometheus启用用户名密码访问7. 重启Prometheus后可以看到数据可以正常采集了`Prometheus` 对 `Node_Exporter` TLS加密认证1. 启用 TLS ,准
使用openssl制作https的证书
lucky_ly的博客
01-10 3907
使用openssl制作https的证书
prometheus-tls加密
大新新大浩浩的博客
06-09 1455
prometheus-tls加密
kube-prometheus-stack 部署
cl18707602767的博客
11-07 1584
kube-prometheus-stack 部署
kube1.18.20.tgz | sealos
11-18
10. **安全性**:包括 RBAC(Role-Based Access Control)授权,TLS 通信,以及如何保护 Pod 和服务免受攻击。 11. **故障排除**:学习如何诊断和解决 Kubernetes 集群中的常见问题,例如 Pod 状态异常,网络不通,...
Go-k8s使用多Haproxy自动发现代理Lb
08-14
在k8s中,服务发现是通过kube-apiserver、kube-proxy和endpoints资源来实现的。当一个Pod被创建或者销毁时,endpoints资源会实时更新,反映当前集群中Pod的状态。Go-k8s库则提供了接口,使得Haproxy能够监听这些变化...
k8s-1.12.3.rar
05-03
6. **安全性和认证**:可能涉及 TLS 证书、Service Accounts、Role-Based Access Control (RBAC) 规则和秘钥管理。 7. **部署和滚动更新**:YAML 文件或 Helm 图表,用于定义应用的容器化部署和服务,并演示如何...
容器云Kubernetes落地实践原汁原味培训可编辑ppt
03-20
认证授权通过kube-apiserver进行,使用TLS证书和 RBAC(Role-Based Access Control)策略。资源隔离通过Pod安全策略限制Pod可以使用的资源和服务。数据保护则依赖于PV的持久化存储机制和备份策略。 【容器与应用...
Prometheus 发布 LTS 长期支持版本啦
耳东@Erdong的博客
07-20 882
最近翻看Prometheus的发布记录,发现在2022.07.14发布了新的版本v2.37.0,这个版本的新特性更新和BUG修复我们下篇文章再讲,这个版本和其他版本有一个最大的不同,那就是这个版本是Prometheus的第一个LTS版本。...
PrometheusTLS认证
可问春风的博客
01-12 3840
对于一些隐私数据的 Exporter,有时我只想让 Prometheus 访问而不想暴露出来,一种方式是通过双向 TLS 加密认证来完成,在这篇文章中我将介绍一下我是如何实现这个的。 所谓双向加密,那么就是双方的事情,这里分别有: Prometheus 怎样自带证书去拉取 Exporter Exporter 如何以 TLS 的形式暴露出来 所以这两个问题就是这一篇文章要解决的问题。因为第一个问题依赖于第二个问题,所以,我第一步肯定要先解决第二个问题,然后才能介绍如何解决第一个问题。 Exporter TL
用openssl 生成证书的过程
weixin_38166557的博客
06-06 737
1.安装 openssl 后可以执行如下命令来生成私钥和对应的证书请求文件 ca openssl req -new -keyout private.key -out for_request.csr Generating a 2048 bit RSA private key .............+++ ..........................................
prometheus简介
菲宇运维
09-18 5185
一、prometheus简介 1.1 什么是prometheus prometheus是一个最初在SoundCloud上构建的开源系统监控和警报工具包 。 从2012年开始,许多公司和组织开始使用Prometheus,该项目拥有非常活跃的开发人员和用户社区。 目前它是一个独立的开源项目,并且不依赖与任何公司。 为了强调这一点,并澄清项目的治理结构,Prometheus在2016年加入Cloud...
Prometheus部署(一)
热门推荐
变成习惯
07-03 2万+
Prometheus是最初在SoundCloud上构建的开源系统监视和警报工具包。自2012年成立以来,许多公司和组织都采用了Prometheus,该项目拥有非常活跃的开发人员和用户社区。Prometheus 于2016年加入了 Cloud Native Computing Foundation,这是继Kubernetes之后的第二个托管项目。 官网:https://prometheus.io 最新版本: 2.19.0 Exporter是一个采集监控数据并通过Prometheus监控规范对外提供数据的组件,
转openssl生成证书文件
william_djj的专栏
07-31 358
一、生成key, 文件名字是openssl.key openssl genrsa -out openssl.key 1024 openssl.key 是生产key的名称可随意 。 1024是生成密钥的长度。 二、生成cer证书 openssl req -new -x509 -key openssl.key -out openssl.cer -days 3650 -subj /CN=baidu.com penssl.key为之前生成的key的名字,openssl.cer为生成的证书名字,36..
SSL基础:18:使用-newkey同时生成私钥和CSR文件
知行合一 止于至善
12-14 2721
openssl有很多子命令和设定选项,但常用的翻来覆去就是那几条,这篇文章继续介绍在各种证书生成教程中出现的req子命令的-newkey选项。
OpenSSL创建根CA并签发证书
Remi的博客
06-29 733
Windows下安装配置OpenSSL,建立demoCA文件夹,创建相应文件夹和文件,命令行进入OpenSSL 生成根CA密钥 genrsa -out ca.key 2048 生成根证书 req -new -x509 -days 7300 -key ca.key -out ca.crt -subj "/C=CN/ST=provin /L=city /O=org /OU= dept /CN=teacher " -subj subj:证书拥有者的信息值,取代证书请求文件中.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

CN-FuWei

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值