Skip to main content
[skowronski.tech] tech blog
  1. Posts/
  2. blog.dsinf.net/

Grafana bez logowania wystawiona na świat, ale z filtrowaniem IP

·381 words·2 mins
blog.dsinf.net grafana proxy sysadmin
Daniel Skowroński
Author
Daniel Skowroński

Podczas tworzenia strony z metrykami w Grafanie którą chciałem wyświetlać w kilku miejscach w mojej sieci (m.in. na “stronie admina” która oprócz linków do wewnętrznych systemów ma też kilka wykresów) dotarłem do problemu niezbyt popularnego ale mimo wszystko występującego. Grafana sama z siebie posiada tryb auth.anonymous, który tworzy możliwość podglądu danych bez zalogowania, ale wystawienie takowego na świat ma 2 problemy - ujawniamy dane i umożliwiamy zajechanie serwera przez złych ludzi w Internecie - od prymitywnego ładowania maksymalnie długich zakresów na dashboardach po wykonywanie własnych kwerend na naszych datasource’ach - a więc nawet Postgresie.

Żeby tego uniknąć chciałoby się do auth.anonymous dodać jakiś filtr adresów IP. Ale Grafana nie ma takiej możliwości. Skorzystamy zatem z zaawansowanych funkcji reverse proxy w Caddym. Cały setup wykorzystuje poza tym ZeroTiera (którego jakiś czas temu opisywałem) do dostarczenia prywatnej sieci dostępowej. Całość wygląda tak:

  • Grafana stoi na lokalnym porcie, niedostępnym z internetu
  • Caddy robi standardowe reverse proxy (transparent) na domenę dostępną z internetu - powiedzmy grafana.example.org
  • Poza tym mamy drugą instancję domeny z reverse proxy która dodaje nagłówki do obsługi proxy level auth na innej domenie - np. grafana.intranet.example.com; ta domena powinna być rozwiązywalna do adresu prywatnego!
  • Grafana ma użytkownika z rolą viewer który jest “autoryzowany” i “logowany” przez reverse proxy dla prywatnej sieci, w przykładzie poniżej jest to readonly

Caddyfile potrzebuje zatem takiej sekcji:

grafana.intranet.example.com:80 {
  proxy / http://localhost:3333 {
    transparent
    header_upstream X-GrafanaUser readonly
  }
  ipfilter / {
    rule allow
    ip 192.168.88.1/24
  }
}
  • Niestety certyfikatu z Let’s Encrypt nie uzyskamy - domena musi być routowalna z całego internetu
  • Port 3333 to port na którym słucha serwer Grafany
  • 192.168.88.1/24 to nasz prywatny subnet
  • X-GrafanaUser to header autoryzacyjny, który musi matchować z grafana.ini; w najprostszej wersji może tam być zahardkodowany nasz użytkownik z rolą viewer

Natomiast w pliku **grafana.ini **potrzeba takiej modyfikacji sekcji:

grafana.intranet.example.com:80 {
  proxy / http://localhost:3333 {
    transparent
    header_upstream X-GrafanaUser readonly
  }
  ipfilter / {
    rule allow
    ip 192.168.88.1/24
  }
}

Gdzie header_name musi matchować z header_upstream z Caddyfile, a whitelist pozwalać tylko na adres IP serwera Caddy który łączy się z Grafaną (a więc loopback).

Przy założeniu że nasza sieć prywatna jest naprawdę prywatna, jej użytkownicy naprawdę zaufani (możemy to być na przykład tylko my jako jej właściciele) oraz że Grafana nie zawiera naprawdę poufnych danych setup można uznać za względnie bezpieczny.