前言
Grafana是一个跨平台的开源的度量分析和可视化工具,可以通过将采集的数据查询然后可视化的展示,并及时通知。在实际的运维统一平台中,经常需要将grafana的图表集成进来。之所以不选择自己利用echart自己实现,主要有以下两个原因:
- grafana太强大了,在曲线比较密集的时候,依旧可以保持高性能和良好的自适应。支持众多的数据源。
- 节省时间。没必要重复造轮子。
一般来说,我们的grafana是开启了登录验证的,尤其是对于一个企业而言,大多集成了ldap或是公司的统一身份体系。而集成的方法大多是通过iframe。这种解决方案,会遇到登录验证的问题。用户浏览grafana仪表板页面的时候需要强制它们进行双重验证(一次用于我的网站,一次用于grafana)。这种体验非常不好,我们希望可以只登录一次。那大家可能首先想到了sso。对于很多开源项目来说,支持sso,可能需要定制开发,不仅仅是grafana。
目前支持的是两种方案:
- 一个选项是enable anonymous access in grafana。这种可以说安全性太差了。
- 另外一个使用代理。
今天我们主要利用的是代理的思路去解决。
如何利用代理解决
我们的总体需求是集成端不需要额外做过多的工作,让代理完成basic auth。
grafana默认开启了basic auth的认证,可以通过修改grafana.ini 配置文件实现:
#################################### Basic Auth ##########################
; [auth.basic]
; ;enabled = true
;
当然认证的用户必须是真实存在的,也就是需要提前在grafana中创建。这样的好处是:我们可以给该用户设置具体的权限,比如只具备浏览权限,而且可以限定只能访问某个文件夹下的图表。
此外一般来说,类似grafana这种公司级别的产品,不会开启外网访问。
同时,也可以在代理实现一些白名单的功能,比如办公网的网段,就更加安全了。
总体相对来说,利用代理解决iframe 集成grafana强制登录两次的问题,
在安全上和操作性上,比较合适。
envoy的具体设置
我们知道http 的basic auth 其实是相对简单的一种认证方式。Authorization请求首部中,包含了用户填写的用户名、密码。
GET /protected_docs HTTP/1.1
Authorization: Basic Y2h5aW5ncDoxMjM0NTY=其中 Y2h5aW5ncDoxMjM0NTY= 是 base64(用户名:密码)。
envoy 并没有提供类似的filter。但是envoy支持了lua编写filter。所以这个问题就变得很简单了,编写basic auth filter。此时想到openresty。那么利用openresty也可以实现。
直接上envoy.yaml:
static_resources:
listeners:
- address:
socket_address:
address: 0.0.0.0
port_value: 80
filter_chains:
- filters:
- name: envoy.http_connection_manager
config:
codec_type: auto
stat_prefix: ingress_http
access_log:
- name: envoy.file_access_log
config:
path: "/dev/stdout"
format: "[ACCESS_LOG][%START_TIME%] \"%REQ(:METHOD)% %REQ(X-ENVOY-ORIGINAL-PATH?:PATH)% %PROTOCOL%\" %RESPONSE_CODE% %RESPONSE_FLAGS% %BYTES_RECEIVED% %BYTES_SENT% %DURATION% %RESP(X-ENVOY-UPSTREAM-SERVICE-TIME)% \"%REQ(X-FORWARDED-FOR)%\" \"%REQ(USER-AGENT)%\" \"%REQ(X-REQUEST-ID)%\" \"%REQ(:AUTHORITY)%\" \"%UPSTREAM_HOST%\" \"%DOWNSTREAM_REMOTE_ADDRESS_WITHOUT_PORT%\"\n"
route_config:
name: local_route
virtual_hosts:
- name: gateway
domains:
- "*"
routes:
- match:
prefix: "/"
route:
cluster: grafana
retry_policy:
retry_on: "5xx"
num_retries: 2
http_filters:
- name: envoy.lua
config:
inline_code: |
function envoy_on_request(request_handle)
request_handle:headers():add("Authorization", "Basic Z2FvaGo6bG92ZioxMzE0")
end
- name: envoy.router
config: {}
clusters:
- name: grafana
connect_timeout: 0.5s
type: strict_dns
lb_policy: round_robin
hosts:
- socket_address:
address: grafana.xxx.com
port_value: 80
admin:
access_log_path: "/dev/null"
address:
socket_address:
address: 0.0.0.0
port_value: 90大家注意看envoy.lua处配置。
大致上利用 envoy_on_request方法,对请求添加 Authorization 头。
详细请参考envoy官方docs。
这里简单说下,其实envoy的lua 插件,可以对request和response做拦截处理。如下:
-- Called on the request path.
function envoy_on_request(request_handle)
-- Wait for the entire request body and add a request header with the body size.
request_handle:headers():add("request_body_size", request_handle:body():length())
end
-- Called on the response path.
function envoy_on_response(response_handle)
-- Wait for the entire response body and a response header with the the body size.
response_handle:headers():add("response_body_size", response_handle:body():length())
-- Remove a response header named 'foo'
response_handle:headers():remove("foo")
end那么实现其他的扩展功能,也很容易了。
感想
其实envoy很快将支持通过Web Assembly 来扩展,wasm性能更高,可以利用rust,c,go等语言编写逻辑,然后编译成机器码执行。届时envoy必将大放光彩。