Jaeger 合规配置
介绍
合规配置是 Jaeger 安全性的重要组成部分,它确保追踪系统符合组织或行业的安全标准(如 GDPR、HIPAA)。对于初学者来说,理解如何配置 Jaeger 以满足基本安全需求是保护敏感追踪数据的第一步。
核心合规配置项
1. 身份验证(Authentication)
Jaeger 默认不启用身份验证,但在生产环境中必须配置。以下是基于 OpenTelemetry Collector 的示例:
yaml
# otel-collector-config.yaml
receivers:
otlp:
protocols:
grpc:
auth:
authenticator: bearer_token
extensions:
bearer_token:
token: "your_secure_token_here"
输入:客户端需在请求头中添加 Authorization: Bearer your_secure_token_here
输出:未提供有效 token 的请求将被拒绝(HTTP 401)
提示
对于更复杂的场景,可以集成 OAuth2 或 OpenID Connect (OIDC) 方案
2. 授权(Authorization)
使用 Jaeger 的 --admin.http.host-port 参数限制管理接口访问:
bash
jaeger-all-in-one --admin.http.host-port=127.0.0.1:14269
3. 数据脱敏
在 Collector 处理器中添加属性过滤:
yaml
processors:
attributes/redaction:
actions:
- key: "credit_card"
action: delete
实际案例:医疗健康应用
假设我们需要符合 HIPAA 标准的配置:
对应配置:
yaml
processors:
attributes/hipaa:
actions:
- key: "patient_id"
action: hash # 哈希处理而非直接存储
- key: "diagnosis"
action: delete
总结
合规配置的关键点:
- 必须启用身份验证
- 按最小权限原则配置授权
- 实施数据脱敏策略
- 定期审计配置有效性
延伸学习
- 练习:在本地 Jaeger 实例中配置基本认证
- 进阶阅读: