前回GrafanaZabbixを連携する方法をブログしましたが、

[Zabbix3][Grafana][CentOS7]ZabbixのグラフをGrafanaに連携してみた!

http://adachin.com:3000でポート指定してログインしていたと思います。
これだとhttpsじゃないしセキュアでもありません。
何にせよ外からアクセスする場合はダイジェスト認識もかましたいところです。
今回はNginxではなくH2Oで実装してみました。


■Environment before/after

・Zabbix
https://adachin.com/zabbix

・Grafana
http://adachin.com:3000

・Zabbix
https://adachin.com/zabbix

・Grafana
https://adachin.com/grafana


■Running Grafana behind a reverse proxy

http://docs.grafana.org/installation/behind_proxy/

Nginxの場合は以下のように書けばOK。

■H2O “proxy.reverse.url”

https://h2o.examp1e.net/configure/proxy_directives.html#proxy.reverse.url

H2O美しい。。


■grafana.ini

GrafanaはBasic認証がデフォルトで有効になっているため無効にします。
(H2Oでダイジェスト認識したいため)


■/etc/h2o/conf.d/adachin.com.conf

h2oの設定ファイルはincludeしているのでhostsのバーチャルのみ記載しています。
80portは全て443にリダイレクトし、/zabbix、/grafanaにアクセスした場合は
ダイジェスト認証するように設定しています。
grafanaは3000 portで動いているのでリバースプロキシして
アクセス可能にしています。問題なければh2oとgrafana-serverを再起動しましょう。
※includeの設定がわからん人は以下を参考に。

[H2O]設定ファイルをincludeする方法が間違っていた件


■確認

OK!!!!!!!!!!!!

あとはセキュリティーグループなりiptablesなどの3000 portを無効にすれば完全体。


■まとめ

H2O素晴らしい。。
この際Zabbix使ってるユーザはH2O+Grafana-Zabbixにすれば快適?
今後の運営ですが、Zabbix側はホスト追加をansibleで自動化し、
グラフはGrafanaで見ていくようにします〜

参考
https://luispc.com/memo/2017/01/19/8854


adachin

1989年生まれのFindy/SRE。ホスティングから大規模なアドテクなどのインフラエンジニアとして携わる。現在はサービスの信頼性向上、DevOps、可用性、レイテンシ、パフォーマンス、モニタリング、オブザーバビリティ、緊急対応、AWSでのインフラ構築、Docker開発環境の提供、IaC、新技術の検証、リファクタリング、セキュリティ強化、分析基盤の運用などを担当している。個人事業主では数社サーバー保守とベンチャー企業のSREインフラコンサルティングやMENTA/TechBullで未経験者にインフラのコーチング/コミュニティマネージャーとして立ち上げと運営をしている。また、過去「脆弱性スキャナVuls」のOSS活動もしており、自称エバンジェリスト/技術広報/テクニカルサポート/コントリビュータでもある。

0件のコメント

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください