DEV Community
·
在Kubernetes上使用GCP IAP、Gateway API和Terraform安全部署Grafana
💡
原文英文,约800词,阅读约需3分钟。
📝
内容提要
本文介绍了如何在Kubernetes上安全部署Grafana,使用GCP IAP、Gateway API和Terraform,降低CVE风险,实现细粒度访问控制,防止DDoS攻击。尽管Grafana API使用复杂,但可通过内部网络或临时端口转发解决。配置OAuth同意屏幕和Grafana后,使用Helm部署,并通过Gateway实现灵活路由,最后确保通过GCP IAP登录Grafana。
🎯
关键要点
- 本文介绍如何在Kubernetes上安全部署Grafana,使用GCP IAP、Gateway API和Terraform。
- 该设置有助于降低CVE风险,实现细粒度访问控制,防止DDoS攻击。
- 所有流量通过GCP IAP路由,降低Grafana CVE风险。
- IAP支持上下文感知访问,允许限制访问到受信设备、位置、网络和组。
- Grafana API使用变得复杂,需通过IAP进行请求。
- 可以通过内部网络连接工具或使用临时Kubernetes端口转发解决API复杂性。
- 配置OAuth同意屏幕是手动完成的,每个GCP项目只需一次。
- 使用Helm部署Grafana,并配置相关的数据库和用户设置。
- Grafana Helm图表目前对Gateway路由支持有限,需要部署额外的Gateway Helm图表。
- GCP BackendPolicy添加IAP支持,OAuth客户端在Terraform中创建并传递给Gateway Helm图表。
- 需要将适当的主体附加到动态创建的Backend Service以授予访问权限。
- 在浏览器中打开Grafana,使用GCP IAP登录,如果访问不立即生效,需等待权限传播。
- 可以临时禁用Gateway路由以进行管理员登录,完成后恢复Gateway路由以安全使用Grafana。
➡️
