菜单
开源
配置 TLS 通信
可以将 Tempo 配置为使用传输层安全性(TLS)在组件之间进行通信。
注意
此处列出的密码套件和 TLS 版本仅用于示例目的。我们不建议在生产环境中使用特定的密码套件或 TLS 版本。
服务器配置
此示例 TLS 服务器配置显示了支持的选项。
server:
tls_cipher_suites: TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
tls_min_version: VersionTLS12
grpc_tls_config:
cert_file: /tls/tls.crt
key_file: /tls/tls.key
client_auth_type: VerifyClientCertIfGiven
client_ca_file: /tls/ca.crt
http_tls_config:
cert_file: /tls/tls.crt
key_file: /tls/tls.key
client_auth_type: VerifyClientCertIfGiven
client_ca_file: /tls/ca.crtclient_auth_type 的有效值在标准 crypt/tls 包的 ClientAuthType 部分 此处 有文档说明。
客户端配置
Tempo 的几个组件需要配置它们用于与其他组件通信的 gRPC 客户端。例如,当 querier 联系 query-frontend 请求工作时,如果服务器提供 TLS 端点,则使用的客户端必须启用 TLS。
Tempo 配置为每个客户端配置使用标准的配置节(stanza)。以下是配置示例。
可选配置元素 tls_min_version、tls_cipher_suites 和 tls_insecure_skip_verify 可以省略。选项 tls_server_name 根据环境可能需要也可能不需要。
grpc_client_config:
tls_enabled: true
tls_cert_path: /tls/tls.crt
tls_key_path: /tls/tls.key
tls_ca_path: /tls/ca.crt
tls_server_name: tempo.trace.svc.cluster.local
tls_insecure_skip_verify: false
tls_cipher_suites: TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
tls_min_version: VersionTLS12配置块需要设置在以下配置位置。
ingester_client.grpc_client_configmetrics_generator_client.grpc_client_configquerier.query-frontend.grpc_client_config
此外,还必须配置 memberlist,但客户端配置直接嵌套在 memberlist 下,如下所示。可用的配置选项与上述相同。
memberlist:
tls_enabled: true
tls_cert_path: /tls/tls.crt
tls_key_path: /tls/tls.key
tls_ca_path: /tls/ca.crt
tls_server_name: tempo.trace.svc.cluster.local
tls_insecure_skip_verify: false接收器 TLS
可以添加额外的接收器配置,以支持发送到 Tempo 的追踪的 TLS 通信。接收器配置从 Open Telemetry collector 拉取,其上游文档位于此处。OTEL 组件的其他 TLS 配置可在此处找到。
一个示例 tls 块可能如下所示
tls:
ca_file: /tls/ca.crt
cert_file: /tls/tls.crt
key_file: /tls/tls.key
min_version: "1.2"上述结构可以设置在以下接收器配置中
distributor.receivers.otlp.protocols.grpc.tlsdistributor.receivers.otlp.protocols.http.tlsdistributor.receivers.zipkin.tlsdistributor.receivers.jaeger.protocols.grpc.tlsdistributor.receivers.jaeger.protocols.thrift_http.tls
使用 Helm 配置 TLS
要使用 Helm Chart 配置 TLS,您必须在 Kubernetes Secret 中存储 TLS 密钥对和 CA 证书。以下示例将名为 tempo-distributed-tls 的 Secret 挂载到 Pod 的 /tls 路径下,并修改 Tempo 的配置以使用这些文件。在此示例中,Tempo 组件共享一个 TLS 证书。请注意,tls_server_name 配置必须与证书匹配。
compactor:
extraVolumeMounts:
- mountPath: /tls
name: tempo-distributed-tls
extraVolumes:
- name: tempo-distributed-tls
secret:
secretName: tempo-distributed-tls
distributor:
extraVolumeMounts:
- mountPath: /tls
name: tempo-distributed-tls
extraVolumes:
- name: tempo-distributed-tls
secret:
secretName: tempo-distributed-tls
ingester:
extraVolumeMounts:
- mountPath: /tls
name: tempo-distributed-tls
extraVolumes:
- name: tempo-distributed-tls
secret:
secretName: tempo-distributed-tls
memcached:
extraArgs:
- -Z
- -o
- ssl_chain_cert=/tls/tls.crt,ssl_key=/tls/tls.key
extraVolumeMounts:
- mountPath: /tls
name: tempo-distributed-tls
extraVolumes:
- name: tempo-distributed-tls
secret:
secretName: tempo-distributed-tls
metricsGenerator:
extraVolumeMounts:
- mountPath: /tls
name: tempo-distributed-tls
extraVolumes:
- name: tempo-distributed-tls
secret:
secretName: tempo-distributed-tls
querier:
extraVolumeMounts:
- mountPath: /tls
name: tempo-distributed-tls
extraVolumes:
- name: tempo-distributed-tls
secret:
secretName: tempo-distributed-tls
queryFrontend:
extraVolumeMounts:
- mountPath: /tls
name: tempo-distributed-tls
extraVolumes:
- name: tempo-distributed-tls
secret:
secretName: tempo-distributed-tls
tempo:
readinessProbe:
httpGet:
scheme: HTTPS
structuredConfig:
memberlist:
tls_ca_path: /tls/ca.crt
tls_cert_path: /tls/tls.crt
tls_enabled: true
tls_key_path: /tls/tls.key
tls_server_name: tempo-distributed.trace.svc.cluster.local
distributor:
receivers:
otlp:
protocols:
grpc:
tls:
ca_file: /tls/ca.crt
cert_file: /tls/tls.crt
key_file: /tls/tls.key
ingester_client:
grpc_client_config:
tls_ca_path: /tls/ca.crt
tls_cert_path: /tls/tls.crt
tls_enabled: true
tls_key_path: /tls/tls.key
tls_server_name: tempo-distributed.trace.svc.cluster.local
cache:
caches:
- memcached:
consistent_hash: true
host: tempo-distributed-memcached
service: memcached-client
timeout: 500ms
tls_ca_path: /tls/ca.crt
tls_cert_path: /tls/tls.crt
tls_enabled: true
tls_key_path: /tls/tls.key
tls_server_name: tempo-distributed.trace.svc.cluster.local
roles:
- parquet-footer
- bloom
- frontend-search
metrics_generator_client:
grpc_client_config:
tls_ca_path: /tls/ca.crt
tls_cert_path: /tls/tls.crt
tls_enabled: true
tls_key_path: /tls/tls.key
tls_server_name: tempo-distributed.trace.svc.cluster.local
querier:
frontend_worker:
grpc_client_config:
tls_ca_path: /tls/ca.crt
tls_cert_path: /tls/tls.crt
tls_enabled: true
tls_key_path: /tls/tls.key
tls_server_name: tempo-distributed.trace.svc.cluster.local
server:
grpc_tls_config:
cert_file: /tls/tls.crt
client_auth_type: VerifyClientCertIfGiven
client_ca_file: /tls/ca.crt
key_file: /tls/tls.key
http_tls_config:
cert_file: /tls/tls.crt
client_auth_type: VerifyClientCertIfGiven
client_ca_file: /tls/ca.crt
key_file: /tls/tls.key
traces:
otlp:
grpc:
enabled: true请参阅 Alloy 中 prometheus.scrape 的文档,以配置抓取(scrape)上的 TLS。如下所示的 relabel 配置将为您动态完成此配置。
{
source_labels: ['__meta_kubernetes_pod_annotation_prometheus_io_scheme'],
action: 'replace',
target_label: '__scheme__',
regex: '(https?)',
replacement: '$1',
},
