设置身份验证和授权
在使用 Kapacitor HTTP API 时启用并要求基于用户的身份验证。Kapacitor 可以本地存储用户角色和权限,或者使用 InfluxDB Enterprise 授权来验证请求。
如果您已经在使用 InfluxDB Enterprise 用户授权和身份验证服务来管理用户,我们建议 Kapacitor 也使用相同的服务。
设置内部 Kapacitor 授权
使用存储和管理在 Kapacitor 中的基于用户的授权来验证对 Kapacitor HTTP API 的请求。
设置 InfluxDB Enterprise 授权
使用存储和管理在 InfluxDB Enterprise 中的基于用户的授权来验证对 Kapacitor HTTP API 的请求。
Kapacitor 身份验证配置选项
以下与身份验证相关的配置选项在 kapacitor.conf 中可用,也可以使用环境变量设置
- [http]
- auth-enabled: 在 Kapacitor HTTP API 上启用并强制执行基本身份验证。
- [auth]
- enabled: 启用 Kapacitor 身份验证服务。
- cache-expiration: 消费者服务可以将凭据文档在其缓存中保留多长时间。
- bcrypt-cost: 使用 bcrypt 算法哈希密码时使用的迭代次数。较高的值会生成更能抵抗暴力破解尝试的哈希值,但会导致稍长的解析时间。
- * meta-addr: 用于访问用户和权限存储的 InfluxDB Enterprise 元节点的地址。
- * meta-use-tls: 与 InfluxDB Enterprise 元节点通信时使用 TLS。
- * meta-ca: InfluxDB Enterprise 元节点的证书颁发机构文件路径。
- * meta-cert: PEM 编码的证书文件路径。
- * meta-key: PEM 编码的证书私钥路径。
- * meta-insecure-skip-verify: 通过 TLS 连接时跳过链和主机验证。当使用自签名 TLS 证书时,设置为
true。
kapacitor.conf 中的身份验证设置示例
[http]
# ...
auth-enabled = true
# ...
[auth]
# Enable authentication for Kapacitor.
enabled = false
# User permissions cache expiration time.
cache-expiration = "10m"
# Cost to compute bcrypt password hashes.
# bcrypt rounds = 2^cost
bcrypt-cost = 10
# Address of an InfluxDB Enterprise meta server.
# If empty, InfluxDB Enterprise meta nodes are not used as a user store.
# host:port
meta-addr = "172.17.0.2:8091"
meta-use-tls = false
# Absolute path to PEM encoded Certificate Authority (CA) file.
# A CA can be provided without a key/certificate pair.
meta-ca = "/etc/kapacitor/ca.pem"
# Absolute paths to PEM encoded private key and server certificate files.
meta-cert = "/etc/kapacitor/cert.pem"
meta-key = "/etc/kapacitor/key.pem"
meta-insecure-skip-verify = false
此页面是否对您有帮助?
感谢您的反馈!