Контроль доступа для Прометея Pushgateway

Question

У нас работает Prometheus Pushgateway, который прослушивает метрики pu sh из нашей функции AWS Lambda. Однако URL-адрес Pushgateway доступен для публикации c, что может вызвать некоторые проблемы с безопасностью. Нам было интересно, можно ли каким-либо образом добавить слой защиты к Пушгейту, чтобы он не был общедоступным?

Я нашел эту ветку Github, которая может ответить на этот вопрос: https://github.com/prometheus/pushgateway/issues/281

Было предложено установить обратный прокси-сервер перед шлюзом. Тем не менее, я все еще не понимаю, как это может работать на самом деле? В настоящее время мы используем Kubernetes для развертывания Prometheus.

Answer 1

Вы можете включить аутентификацию в свой входной контроллер, используя секрет TLS в качестве входного правила. Вот пример, который показывает, как сгенерировать базовый c auth для вашего входа:

https://kubernetes.github.io/ingress-nginx/examples/auth/basic/

Кроме того, не забудьте включить Python Функция-обработчик в вашем клиенте для установки заголовка аутентификации, как указано здесь:

https://github.com/prometheus/client_python#handlers -for-authentication

Answer 2

Здесь будет предложено сделать URL-адрес Pushgateway Internal с помощью AWS Internal Load Balancer, создать AWS Private Hosted Zone и прикрепить ваш VP C к этой зоне, после чего следующим шагом будет развернуть лямбду в том же VP C.

Это должно решить проблему безопасности.