9.4. 为 Grafana 配置安全连接

您可以在 Grafana 和 Performance Co-Pilot (PCP)组件之间建立安全连接。在这些组件之间建立安全连接有助于防止未授权方访问或修改正在收集和监控的数据。

先决条件

  • 已安装 PCP。如需更多信息,请参阅安装并启用 PCP
  • grafana-server 被配置。如需更多信息,请参阅设置 grafana-server

  • 私有客户端密钥存储在 /etc/grafana/grafana.key 文件中。如果您使用其他路径,请修改流程相应步骤中的路径。

    有关创建私钥和证书签名请求(CSR)的详细信息,以及如何从证书颁发机构(CA)请求证书,请参阅您的 CA 文档。

  • TLS 客户端证书存储在 /etc/grafana/grafana.crt 文件中。如果您使用其他路径,请修改流程相应步骤中的路径。

步骤

  1. 作为 root 用户,打开 /etc/grafana/grana.ini 文件,并调整 [server] 部分中的以下选项,以反映以下内容: 

    protocol = https
cert_key = /etc/grafana/grafana.key
cert_file = /etc/grafana/grafana.crt

  2. 确保 grafana 可以访问证书: 

    # su grafana -s /bin/bash -c \
  'ls -1 /etc/grafana/grafana.crt /etc/grafana/grafana.key'
/etc/grafana/grafana.crt
/etc/grafana/grafana.key

  3. 重启并启用 Grafana 服务,以应用配置更改: 

    # systemctl restart grafana-server
# systemctl enable grafana-server

验证

  1. 在客户端系统上,打开浏览器并使用 https://192.0.2.0:3000 链接访问 grafana-server 机器的端口 3000。将 192.0.2.0 替换为您的机器 IP。

  2. 确认 lock icon 锁图标显示在地址栏旁边。

    注意

    如果协议设置为 http,并且尝试 HTTPS 连接,则您将收到 ERR_SSL_PROTOCOL_ERROR 错误。如果协议设置为 https,并且尝试 HTTP 连接,则 Grafana 服务器会使用 "Client send a HTTP request to a HTTPS server" 信息响应。