我们有一个Prometheus Pushgateway,它正在运行并监听来自AWS Lambda函数的指标推送。但是,公众可以访问Pushgateway的URL,这可能会带来一些安全问题。我们想知道是否有什么方法可以向Pushgateway添加一层保护,以使其无法公开访问?
我发现此Github线程可以回答以下问题:https://github.com/prometheus/pushgateway/issues/281
它提议在Pushgateway的前面设置一个反向代理。但是,我仍然对实际上如何工作感到困惑?我们目前正在使用Kubernetes来部署Prometheus。
这里的建议是使用AWS内部负载均衡器将Pushgateway内部URL,创建一个AWS私有托管区域,然后将您的VPC附加到该区域,下一步是在同一VPC中部署lambda。 。
这应该解决安全性问题。
您可以通过使用TLS机密作为入口规则将身份验证包括在入口控制器中。以下示例显示了如何为您的入口生成基本身份验证:
https://kubernetes.github.io/ingress-nginx/examples/auth/basic/
此外,请不要忘记在客户端中包括Python处理函数,以按照此处指出的方式设置auth标头:
https://github.com/prometheus/client_python#handlers-for-authentication