Alertmanager 支持基本身份验证和 TLS。注意:这只是试验性的,将来可能会改变。
目前 TLS 支持 HTTP 流量和 Gossip 流量。
要指定加载哪个网络配置文件,请使用 --web.config.file 标志。
该文件以 YAML 格式编写,定义方案如下。括号表示参数为可选参数。对于非列表参数,其值将设置为指定的默认值。
每次 http 请求(如配置中的任何更改)都会读取该文件,并立即获取证书。
通用占位符的定义如下:
<boolean>:布尔值,取值为 true 或 false
<filename>:当前工作目录中的有效路径
<secret>:一个正则表达式字符串,例如密码
<string>:正则字符串
tls_server_config: # 证书和密钥文件,供服务器用于向客户端进行身份验证。 cert_file: <filename> key_file: <filename> # 用于客户端身份验证的服务器策略。映射到 ClientAuth 策略。 # 有关 clientAuth 选项的更多详情: # https://golang.org/pkg/crypto/tls/#ClientAuthType # # 注意:如果要启用客户端身份验证,则需要使用 RequireAndVerifyClientCert,其他值不安全。 [ client_auth_type: <string> | default = "NoClientCert" ] # 用于向服务器进行客户端证书身份验证的 CA 证书。 [ client_ca_file: <filename> ] # 可接受的最小 TLS 版本。 [ min_version: <string> | default = "TLS12" ] # 可接受的最大TLS版本。 [ max_version: <string> | default = "TLS13" ] # TLS 1.2 及以下版本支持的密码套件列表。 # 如果为空,则使用 Go 默认密码套件。可用的密码套件在 在 go 文档中: # https://golang.org/pkg/crypto/tls/#pkg-constants # # 请注意,仅支持以下函数返回的密码: # https://pkg.go.dev/crypto/tls#CipherSuites [ cipher_suites: [ - <string> ] ] # prefer_server_cipher_suites 控制服务器是选择客户端最偏好的密码套件, # 还是选择服务器最偏好的密码套件。如果为 "true",则使用以 cipher_suites # 中元素顺序表示的服务器首选项。 [ prefer_server_cipher_suites: <bool> | default = true ] # 将在 ECDHE 握手过程中使用的椭圆曲线,按优先顺序排列。 # 可用的椭圆曲线记录在 go 文档中: # https://golang.org/pkg/crypto/tls/#CurveID [ curve_preferences: [ - <string> ] ] http_server_config: # 启用 HTTP/2支持。请注意,HTTP/2只支持 TLS。 # 这是不能随意改变的。 [ http2: <boolean> | default = true ] # 可添加到 HTTP 响应的标头列表。 [ headers: # 为 HTTP 响应设置 Content-Security-Policy 标头。 # 如果空白,则取消设置。 [ Content-Security-Policy: <string> ] # 为 HTTP 响应设置 X-Frame-Options 标头。 # 如果为空,则取消设置。接受的值是 deny 和 sameorigin。 # https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options [ X-Frame-Options: <string> ] # 为 HTTP 响应设置 X-Content-Type-Options 头信息。 # 如果为空,则取消设置。接受值为 nosniff。 # https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Content-Type-Options [ X-Content-Type-Options: <string> ] # 为所有响应设置 X-XSS-Protection 头信息。 # 如果为空,则取消设置。 # https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-XSS-Protection [ X-XSS-Protection: <string> ] # 为 HTTP 响应设置 Strict-Transport-Security 头信息。 # 如果为空,则取消设置。 # 请务必谨慎使用,因为该标头可能会强制浏览器通过 HTTPS 加载 Prometheus # 以及同一域和子域上托管的其他应用程序。 # https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security [ Strict-Transport-Security: <string> ] ] # 通过基本身份验证完全访问 web 服务器的用户名和散列密码。 # 如果为空,则不需要基本身份验证。密码使用 bcrypt 算法散列。 basic_auth_users: [ <string>: <secret> ... ]
要指定是否使用 TLS 进行 gossip 交互,请使用 --cluster.tls-config 标志。
gossip 的服务器端和客户端均可配置。
tls_server_config: #服务器用于验证客户端身份的证书和密钥文件。 cert_file: <filename> key_file: <filename> # 用于客户端身份验证的服务器策略。映射到 ClientAuth 策略。 # 有关 clientAuth 选项的更多详情: # https://golang.org/pkg/crypto/tls/#ClientAuthType [ client_auth_type: <string> | default = "NoClientCert" ] # CA 证书,用于客户端对服务器进行证书验证。 [ client_ca_file: <filename> ] # 可接受的最低TLS版本。 [ min_version: <string> | default = "TLS12" ] # 可接受的最大TLS版本。 [ max_version: <string> | default = "TLS13" ] # TLS 1.2 及以下版本支持的密码套件列表。 # 如果为空,则使用 Go 默认的密码套件。可用的密码套件记录在 go 文档中: # https://golang.org/pkg/crypto/tls/#pkg-constants [ cipher_suites: [ - <string> ] ] # prefer_server_cipher_suites 控制服务器是选择客户端最偏好的密码套件, # 还是选择服务器最偏好的密码套件。 # 如果为 "true",则使用以 cipher_suites 中元素顺序表示的服务器首选项。 [ prefer_server_cipher_suites: <bool> | default = true ] # 将在 ECDHE 握手过程中使用的椭圆曲线,按优先顺序排列。可用的椭圆曲线记录在 go 文档中: # https://golang.org/pkg/crypto/tls/#CurveID [ curve_preferences: [ - <string> ] ] tls_client_config: # 用于验证服务器证书的 CA 证书的路径。 [ ca_file: <filepath> ] # 用于客户端认证服务器的证书和密钥文件。 [ cert_file: <filepath> ] [ key_file: <filepath> ] # 服务器名称扩展名,用于指示服务器名称。 # http://tools.ietf.org/html/rfc4366#section-3.1 [ server_name: <string> ] # 禁用服务器证书的验证。 [ insecure_skip_verify: <boolean> | default = false]
川公网安备51010802032098
