使用 keycloak 验证 Opentelemetry 导出器与接收器的连接

问题描述 投票:0回答:1

是的,这个问题与How to secure OpenTelemetry endpoint with Keycloak同名。

但是这个问题的要点与那个不同。

目前,OpenTelemetry已到达0.90.1,keycloak现已发布至23.0.1。

如何使用这些工具建立安全连接以在任何节点之间发送/放置跟踪数据。

让我们设置部署:

  • 内置Opentelemetry Sdk的应用程序,可以生成跟踪数据并将应用程序发送出去。我们将其命名为InsideAppExporter。
  • Opentelemetry 收集器的工作方式类似于代理,我们将其命名为 Collector。
  • Opentelemetry 收集器的工作方式就像另一个代理,让我们将其命名为代理。
  • keycloak 服务器部署在任何人身上,在我看来,我会将其部署在 Agent 节点上。
  • 我已经在没有安全链接的情况下运行了这个流程,但它不符合规则。

我想要的只是与 tls 连接,并且传入请求经过身份验证。

您能提供一个有意义的示例流程吗?

也许一些有用的链接:

  1. 前一篇如何使用 Keycloak 保护 OpenTelemetry 端点

  2. 保护您的 OpenTelemetry Collector ,它已经过时了。

  3. 身份验证器 - OAuth2 客户端凭证:客户端 [Collector] 内的配置导出器

  4. 身份验证器 - OIDC:在服务器[代理]内配置接收器

  5. cfssl cloudflare:生成 ssl 密钥

oauth-2.0 keycloak openid-connect tls1.2 open-telemetry-collector
1个回答
0
投票

OAuth 是一个授权框架,基于为访问令牌发布的范围和声明来保护(业务)数据。

而您的场景只需要身份验证解决方案。所以我想说 OAuth 有点矫枉过正,基础设施安全性应该足够了。

例如,如果在 Kubernetes 中运行,我将使用服务网格提供的内置双向 TLS 安全性。这通常由 sidecar 实现,并且对组件本身透明。

在其他环境中,我的目标是模仿该模型。例如,OpenTelemetry 客户端可能通过附加客户端证书的转发代理路由请求。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.