Red Hat Summit9.4. Configurer des connexions sécurisées pour Grafana
Vous pouvez établir des connexions sécurisées entre les composants Grafana et Performance Co-Pilot (PCP). L'établissement de connexions sécurisées entre ces composants permet d'empêcher les parties non autorisées d'accéder aux données collectées et surveillées ou de les modifier.
Conditions préalables
- PCP est installé. Pour plus d'informations, voir Installation et activation de PCP.
-
Le site
grafana-serverest configuré. Pour plus d'informations, voir Configuration d'un serveur grafana. La clé privée du client est stockée dans le fichier
/etc/grafana/grafana.key. Si vous utilisez un chemin différent, modifiez-le dans les étapes correspondantes de la procédure.Pour plus de détails sur la création d'une clé privée et d'une demande de signature de certificat (CSR), ainsi que sur la manière de demander un certificat à une autorité de certification (AC), consultez la documentation de votre AC.
-
Le certificat client TLS est stocké dans le fichier
/etc/grafana/grafana.crt. Si vous utilisez un chemin différent, modifiez le chemin dans les étapes correspondantes de la procédure.
Procédure
En tant qu'utilisateur root, ouvrez le fichier
/etc/grafana/grana.iniet ajustez les options suivantes dans la section[server]pour refléter ce qui suit :protocol = https cert_key = /etc/grafana/grafana.key cert_file = /etc/grafana/grafana.crt
protocol = https cert_key = /etc/grafana/grafana.key cert_file = /etc/grafana/grafana.crtCopy to Clipboard Copied! Toggle word wrap Toggle overflow Assurez-vous que grafana peut accéder aux certificats :
su grafana -s /bin/bash -c \ 'ls -1 /etc/grafana/grafana.crt /etc/grafana/grafana.key'
# su grafana -s /bin/bash -c \ 'ls -1 /etc/grafana/grafana.crt /etc/grafana/grafana.key' /etc/grafana/grafana.crt /etc/grafana/grafana.keyCopy to Clipboard Copied! Toggle word wrap Toggle overflow Redémarrez et activez le service Grafana pour appliquer les modifications de configuration :
systemctl restart grafana-server systemctl enable grafana-server
# systemctl restart grafana-server # systemctl enable grafana-serverCopy to Clipboard Copied! Toggle word wrap Toggle overflow
Vérification
-
Sur le système client, ouvrez un navigateur et accédez à la machine
grafana-serversur le port 3000, en utilisant le lien https://192.0.2.0:3000. Remplacez 192.0.2.0 par l'IP de votre machine. Confirmer l'icône
l'icône de verrouillage s'affiche à côté de la barre d'adresse.
NoteSi le protocole est défini sur
httpet qu'une connexion HTTPS est tentée, vous recevrez une erreurERR_SSL_PROTOCOL_ERROR. Si le protocole est défini surhttpset qu'une connexion HTTP est tentée, le serveur Grafana répond par un message "Client sent an HTTP request to an HTTPS server".
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}