Предоставляемые услуги: api, prometheus (мониторинг метрик), grafana (интерфейс для проверки метрик).
api доступен извне (открыт порт) и использует httpsа также OAuth (оба также для предоставления метрик).
Службы мониторинга развертываются вместе с использованием docker-compose и состоят из:
prometheus не предоставляет никаких портов и настроен набыть в состоянии получить доступ к API-сервису, чтобы очистить метрики.Он явно не защищен какой-либо аутентификацией или шифрованием (кроме шифрования по умолчанию в докер-сети).
grafana предоставляет доступ к веб-порту, доступному для команды разработчиков, и поэтому настроен на использование ssl ибазовая аутентификация.Он использует внутреннюю сеть докера для запроса прометея без какой-либо аутентификации.
Интересно, есть ли у этой настройки серьезные недостатки в отношении безопасности сервиса Прометей?Он вообще не защищен, но недоступен извне.Это нормально, или мы все равно должны поставить обратный прокси-сервер перед ним, чтобы добавить ssl и (базовый) аутентификацию и позволить grafana использовать прокси-сервер для связи, а не для докер-сети?
Я считаю, что на этот вопрос ответили, когдаимеется список аргументов за / против и потенциальных других соответствующих аспектов, не упомянутых в этом вопросе, или сильная аргументация либо для предпочтения внутренней связи с докером, либо для использования обратных прокси.