И уже зарелизили

О, надо чекнуть

О, надо чекнуть

Работает, тестовый стэнд собирал

Работает, тестовый стэнд собирал

Спс за фид

Такая простая базовая вещь и так сложно ?

Спс за фид

В https://t.me/elasticsearch_ru с вопросами стукнись, там люди поопытней с ним

Такая простая базовая вещь и так сложно ?

Легко - nginx, хорошо - ябись)

Девопсы, вопрос. В logstash кидаю логи из другой сети, хочется какую-то авторизацию, это вообще позможно ? По tcp

Авторизация по SSL ключам? Не? XPack не нужен

Авторизация по SSL ключам? Не? XPack не нужен

Удобен, если честно

Авторизация по SSL ключам? Не? XPack не нужен

это как?

Авторизация по SSL ключам? Не? XPack не нужен

если оно может в ссл и тебе нужен свой сервер...тогда уже лучше канальное шифрование

если оно может в ссл и тебе нужен свой сервер...тогда уже лучше канальное шифрование

вообще не понимаю про что вы

если оно может в ссл и тебе нужен свой сервер...тогда уже лучше канальное шифрование

Тут - vpn

вообще не понимаю про что вы

он про SSL\TLS аутентификацию говорит. у сервера есть часть ключа, ты посылаешь ей другую часть при активации соединения. если звезды складываются дается доступ

это как?

Как логи собираете? Обрисуйте полную картину

он про SSL\TLS аутентификацию говорит. у сервера есть часть ключа, ты посылаешь ей другую часть при активации соединения. если звезды складываются дается доступ

Да, именно так

Девопсы, вопрос. В logstash кидаю логи из другой сети, хочется какую-то авторизацию, это вообще позможно ? По tcp

consul connect

вообще не понимаю про что вы

https://medium.com/@sevcsik/authentication-using-https-client-certificates-3c9d270e8326 Тут неплохо расписано, но пример на ноде

consul connect

чёт это не очень просто

чёт это не очень просто

Service mesh всегда не просто

Зато избавляет от кучи телодвижений в будущем

Как логи собираете? Обрисуйте полную картину

input { tcp { port => 4560 codec => json_lines } } всё =)

ну или сервер запрашивает верификционный центр на проверку...в данном случае тебе или сбоку или как-то нужна точка, которая будет рулить ssl внутри сети...по аналогии можно поднять шифрованные каналы между узлами, по которым будут только "свои" ходить. обрыв связи приведет к невозможности собирать логи

Ну и консул вообще няшка. Много плюшек подарит осилившему

Ну и консул вообще няшка. Много плюшек подарит осилившему

++

Ну и консул вообще няшка. Много плюшек подарит осилившему

мне нужна авторизация и всё

Тэмплэйтить тэмплэйты ☺️

у меня есть консул там, где надо больше

мне нужна авторизация и всё

Vault?

Vault?

да причём тут он, вопрос вообще другой

да причём тут он, вопрос вообще другой

Так тебе авторизацию или канал?

Определись уже

да причём тут он, вопрос вообще другой

Воткни nginx, не мучайся

Или авторизацию с каналом?

да причём тут он, вопрос вообще другой

А ты подумой! Ща тебе коллежки не только авторизацию подгонят. Дувупс, аллилуя!

Так тебе авторизацию или канал?

у меня logstash c tcp input { tcp { port => 4560 codec => json_lines } } шлю логи из другой сети, хочу простой способ, чтобы китайцы не делали тоже самое

Или авторизацию с каналом?

ему шифровать канал не нужно) все проще)

у меня logstash c tcp input { tcp { port => 4560 codec => json_lines } } шлю логи из другой сети, хочу простой способ, чтобы китайцы не делали тоже самое

consul connect или любой другой service mesh провайдер

А ты подумой! Ща тебе коллежки не только авторизацию подгонят. Дувупс, аллилуя!

ага, щя завузу консул, вольт, кибернетус и amazon, чтобы аторизоваться правильно

Это если ты фаерволы ковырять не хочешь

consul connect или любой другой service mesh провайдер

это сложно, nginx проще

ему шифровать канал не нужно) все проще)

да

ага, щя завузу консул, вольт, кибернетус и amazon, чтобы аторизоваться правильно

Завези openvpn, 5 минут и анальная боль пройдёт

Завези openvpn, 5 минут и анальная боль пройдёт

спасибо кэп, это не подходит, слишком сложно для такой простой задачи

? @friendly_zika извини, я не хотел) теперь не отстанут с шифрованием)

у меня есть конективность, мне нужна ТОЛЬКО авторизация

с nginx подходит вариант

Я так понимаю правильный способ такой, просто думал есть что-то проще и не из нулевых, типо iptables https://www.elastic.co/guide/en/logstash/current/ls-security.html

Это правильно, и дорого. Nginx - доширак в этом месте

Это правильно, и дорого. Nginx - доширак в этом месте

я и просил дошика

мне надо быстро на разок и не умереть

А нет, можно. traefik

Оно легче, чем nginx и авторизация вполне себе есть

Оно легче, чем nginx и авторизация вполне себе есть

Чем легче, если не секрет?

Чем легче, если не секрет?

Тем, что там один бинарь

И конфиг можно в kv хранить

Тем, что там один бинарь

apt-get/yum -y install nginx && vim /etc/nginx/conf.d/default.conf И чем оно легче?)

apt-get/yum -y install nginx && vim /etc/nginx/conf.d/default.conf И чем оно легче?)

wget https://github.blablabla.com/traefik && vim /etc/traefik.yaml

wget https://github.blablabla.com/traefik && vim /etc/traefik.yaml

Не было у меня его, не знаю, как сравнивать

apt-get/yum -y install nginx && vim /etc/nginx/conf.d/default.conf И чем оно легче?)

Ну и просто сравни количество срани, которой он потащит за собой vs one binary file

а у nginx много зависимостей?

Ну и просто сравни количество срани, которой он потащит за собой vs one binary file

Проверенной

а у nginx много зависимостей?

Штук 5 прямых

Дожили, новое поколение девапсов-хипстеров считают nginx "слажнее" (там же не один файлик!)

не подскажите что это может быть? invalid choice

Проверенной

Не, ну если хочешь проверенной срани - ставь istio/envoy

Дожили, новое поколение девапсов-хипстеров считают nginx "слажнее" (там же не один файлик!)

Сколько строк конфига для basic auth надо в нжинкс?

Плюс корневой конфиг

хмм, две?

хмм, две?

Сомневаюсь, что нжинкс стартанёт с двумя строками в конфиге

В traefik на такое надо 6 строк

так ты определись - для чего именно строки. для старта или basic auth

Всего 6 строк

В nginx- две

Для auth_basic

так ты определись - для чего именно строки. для старта или basic auth

Ну без корневого конфига оно не стартанёт

там еще 10 строк дефотных. и что? разговор похож на сравнение языков по синтаксису

Вот весь конфиг

там еще 10 строк дефотных. и что? разговор похож на сравнение языков по синтаксису

Да не, я к тому, что надо изучать и использовать соврменные разработки

в файлик через pam auth положить можно?

Нжинкс - комбайн

прокси/балансе/статика/кэш такой себе комбайн

Вообще не понимаю почему все в штыки воспринимают современные средства

Оно удобно, оно преследует цель микросервисной архитектуры

Большинство новых наработок изкоробки умеют в service discovery

я и не говорил, что надо сидеть на "старом" первоначально мысль была про то, что сравнение не корректное

Вполне себе корректное

короче devops как всегда сделали что угодно, но не помогли мне решить мою проблему)

Зачем разворачивать вебсервер, когда можно запустить один бинарь, который будет исключительно авторизацией заниматься?

в файлик через pam auth положить можно?

По поводу pam честно не знаю

короче devops как всегда сделали что угодно, но не помогли мне решить мою проблему)

не согласен. тебе предложили - нгинкс - ссл - впн - траефик - нативный вариант

не согласен. тебе предложили - нгинкс - ссл - впн - траефик - нативный вариант

последний я так и не понял) ссл и впн не решают мою проблему нормально, траефик вообще хз зачем в эту же кастюлю, а nginx я и сам знаю, как и iptables

Если про нативный ещё раз объясните, будет хорошо

последний я так и не понял) ссл и впн не решают мою проблему нормально, траефик вообще хз зачем в эту же кастюлю, а nginx я и сам знаю, как и iptables

траефик как аналогичный вариант нгинска, но попроще или по новое... ссл-впн решает задачу секюрного коннктна между хостов и сервером)

Вообще если упороться, можно слать по scp с одноразовыми паролями ssh, генерируемыми vault по сети, шифрованной и построенной consul'ом. Но это если упороться