Bonjour à tous,    
 
Je cherche depuis plusieurs jours une solution pour sécuriser (au sens chiffrer/crypter) les échanges entre CADvisor (client permettant de récupérer les logs de containers) et Prometheus (base de données à indexation rapide qui récupère les données des clients Cadvisor). Ma config infra est classique : Plusieurs clients CAdvisor qui se connectent à 1 seul serveur prometheus.
 
Mon problème est que je ne trouve aucun moyen "simple" de sécuriser les communications entre mes clients CAdvisor et le serveur Prometheus.
Savez-vous si il existe une configuration à activer sur les clients/serveurs ? Existe-il un outil tiers à installer ?  
Une solution à base TLS/SSL serait super    
J'aimerais si possible ne pas être obligé de monter un VPN....
 
 
Merci pour votre aide    

bah https ?

Bonjour Je@nb et merci pour votre réponse.
 
Oui, je pensais à faire du "https", mais je ne vois nul part ou activer cette fonctionnalité dans la configuration de CADvisor et Prometheus. Avez-vous une idée ? Il faut obligatoirement un outil tiers (ex: nginx) ?
 
Merci pour votre aide

Je connais aucun des 2 produits mais https://prometheus.io/docs/promethe [...] iguration/ indique bien le support de HTTPS

OK, merci pour le lien Je vais tester ca.
Bizarre que cette info ne soit pas plus mise en valeur sur leur site.
 
En tous cas, merci  

Salut,
 
en fait, ton serveur prometheus va aller récupérer les infos sur ton conteneur docker cadvisor, sur le port exposé depuis ton conteneur (normalement 8080 par défaut je crois).
 
Il faudrait alors mettre en reverse-proxy devant ton conteneur (traefik par ex), qui lui fera le filtrage (qui / quelle IP peut accéder aux stats cadvisor).
 
En espérant t'avoir aidé

Bonjour Rémi,
 
Merci pour ton aide. Le problème est que j'arrive déjà à gérer les filtrages par IP (grâce aux groupes de sécurité du provider de cloud ^^). Mon principal souci est que je n'arrive pas à chiffrer via TLS les communications entre mon serveur Prometheus et le client CAdvisor.
 
Visiblement le serveur prometheus ne supporte que le TLS pour les connexions en direction du serveur (server-side) mais pas pour les connexions en direction des clients (client-side)... Or, comme tu l'a fait remarquer, c'est le serveur Prometheus qui requête le client CAdvisor.... Du coup quand je mets un revers-proxy (dans mon cas, Caddy) coté Prometheus je peux utiliser TLS pour me connecter à mon serveur Prometheus, mais si j'utilise un revers-proxy coté client alors mon serveur prometheus m'indique qu'il ne parvient plus à se connecter au client car le client est en HTTPS et que le serveur attend du HTTP... (ERREUR : http: server gave HTTP response to HTTPS client)
 
Connais-tu une solution à ce type de problème ?
 

Marche pas de mettre https dans les fichiers de conf https://github.com/google/cadvisor/ [...] tor/config ?

non  

Salut,
 
dans la config prometheus, dans la partie de ton job_name, tu peux essayer :
 
scheme: https
 
T'as un exemple ici avec kubernetes : https://github.com/prometheus/prome [...] rnetes.yml
 
Faudra surement rajouter la partie "tls_config".
 
Rémi

Bonsoir et merci    
Ça fonctionne nikel