设置身份验证和授权
在使用 Kapacitor HTTP API 时,启用并要求基于用户的身份验证。Kapacitor 可以本地存储用户角色和权限,也可以使用 InfluxDB Enterprise 授权来验证请求。
如果您已经在使用 InfluxDB Enterprise 用户授权和身份验证服务来管理用户,我们建议 Kapacitor 也使用相同的服务。
设置内部 Kapacitor 授权
使用Kapacitor中存储和管理的用户授权来验证对 Kapacitor HTTP API 的请求。
设置 InfluxDB Enterprise 授权
使用 InfluxDB Enterprise 中存储和管理的用户授权来验证对 Kapacitor HTTP API 的请求。
Kapacitor 身份验证配置选项
以下与身份验证相关的配置选项在 kapacitor.conf
中可用,也可以使用环境变量设置
- [http]
- auth-enabled: 启用并强制 Kapacitor HTTP API 上的基本身份验证。
- [auth]
- enabled: 启用 Kapacitor 身份验证服务。
- cache-expiration: 消费者服务可以在其缓存中保留凭据文档的时间。
- bcrypt-cost: 使用 bcrypt 算法哈希密码时使用的迭代次数。较高的值生成的哈希值更能抵抗暴力破解尝试,但会导致解析时间略微延长。
- * meta-addr: InfluxDB Enterprise 元节点的地址,用于连接以访问用户和权限存储。
- * meta-use-tls: 与 InfluxDB Enterprise 元节点通信时使用 TLS。
- * meta-ca: InfluxDB Enterprise 元节点的证书颁发机构文件的路径。
- * meta-cert: PEM 编码的证书文件的路径。
- * meta-key: PEM 编码的证书私钥的路径。
- * meta-insecure-skip-verify: 通过 TLS 连接时跳过链和主机验证。当使用自签名 TLS 证书时设置为
true
。
kapacitor.conf 中的身份验证设置示例
[http]
# ...
auth-enabled = true
# ...
[auth]
# Enable authentication for Kapacitor.
enabled = false
# User permissions cache expiration time.
cache-expiration = "10m"
# Cost to compute bcrypt password hashes.
# bcrypt rounds = 2^cost
bcrypt-cost = 10
# Address of an InfluxDB Enterprise meta server.
# If empty, InfluxDB Enterprise meta nodes are not used as a user store.
# host:port
meta-addr = "172.17.0.2:8091"
meta-use-tls = false
# Absolute path to PEM encoded Certificate Authority (CA) file.
# A CA can be provided without a key/certificate pair.
meta-ca = "/etc/kapacitor/ca.pem"
# Absolute paths to PEM encoded private key and server certificate files.
meta-cert = "/etc/kapacitor/cert.pem"
meta-key = "/etc/kapacitor/key.pem"
meta-insecure-skip-verify = false
此页对您有帮助吗?
感谢您的反馈!
支持和反馈
感谢您成为我们社区的一份子!我们欢迎并鼓励您提供关于 Kapacitor 和本文档的反馈和错误报告。要获得支持,请使用以下资源