设置认证和授权
在使用 Kapacitor HTTP API 时启用和要求基于用户的身份验证。Kapacitor 可以本地存储用户角色和权限,也可以使用 InfluxDB Enterprise 授权来验证请求。
如果您已经在使用 InfluxDB Enterprise 用户授权和身份验证服务来管理用户,我们建议也将 Kapacitor 配置为使用相同的服务。
设置内部 Kapacitor 授权
使用存储在 Kapacitor 中并由其管理的基于用户的授权来验证 Kapacitor HTTP API 的请求。
设置 InfluxDB Enterprise 授权
使用存储在 InfluxDB Enterprise 中并由其管理的基于用户的授权来验证 Kapacitor HTTP API 的请求。
Kapacitor 身份验证配置选项
kapacitor.conf 中提供了以下与身份验证相关的配置选项,也可以通过环境变量设置。
- [http]
- auth-enabled: 启用并强制对 Kapacitor HTTP API 进行基本身份验证。
- [auth]
- enabled: 启用 Kapacitor 身份验证服务。
- cache-expiration: 消费者服务可以将其凭证文档保留在其缓存中的时间。
- bcrypt-cost: 使用 bcrypt 算法对密码进行哈希处理时使用的迭代次数。值越高,哈希值对暴力破解尝试的抵抗力越强,但分辨率时间会略有增加。
- * meta-addr: 用于访问用户和权限存储的 InfluxDB Enterprise meta 节点的地址。
- * meta-use-tls: 在与 InfluxDB Enterprise meta 节点通信时使用 TLS。
- * meta-ca: InfluxDB Enterprise meta 节点的证书颁发机构文件的路径。
- * meta-cert: PEM 编码证书文件的路径。
- * meta-key: PEM 编码证书私钥的路径。
- * meta-insecure-skip-verify: 在通过 TLS 连接时跳过证书链和主机验证。在使用自签名 TLS 证书时设置为
true。
kapacitor.conf 中的示例身份验证设置
[http]
# ...
auth-enabled = true
# ...
[auth]
# Enable authentication for Kapacitor.
enabled = false
# User permissions cache expiration time.
cache-expiration = "10m"
# Cost to compute bcrypt password hashes.
# bcrypt rounds = 2^cost
bcrypt-cost = 10
# Address of an InfluxDB Enterprise meta server.
# If empty, InfluxDB Enterprise meta nodes are not used as a user store.
# host:port
meta-addr = "172.17.0.2:8091"
meta-use-tls = false
# Absolute path to PEM encoded Certificate Authority (CA) file.
# A CA can be provided without a key/certificate pair.
meta-ca = "/etc/kapacitor/ca.pem"
# Absolute paths to PEM encoded private key and server certificate files.
meta-cert = "/etc/kapacitor/cert.pem"
meta-key = "/etc/kapacitor/key.pem"
meta-insecure-skip-verify = false此页面是否有帮助?
感谢您的反馈!
支持和反馈
感谢您成为我们社区的一员!我们欢迎并鼓励您对 Kapacitor 和本文档提供反馈和错误报告。要获取支持,请使用以下资源: