Jaeger 安装安全 — Jaeger 文档 - Jaeger 中文

Jaeger 安装安全

版本 1.62 最新

本页面介绍了 Jaeger 中现有的安全机制，按 Jaeger 组件之间的成对连接进行组织。我们希望社区帮助实施其他安全措施（参见 issue-1718 ）。

SDK 到代理

jaeger-agent 已弃用。OpenTelemetry 数据可以从 OpenTelemetry SDK（配备 OTLP 导出器）直接发送到 jaeger-collector。或者，使用 OpenTelemetry Collector 作为本地代理。

涉及 jaeger-agent 的部署适用于可信环境，在这些环境中，代理作为容器网络命名空间内的 sidecar 运行，或作为主机代理运行。因此，目前不支持客户端和代理之间的流量加密。

❌ 通过 UDP 发送跟踪数据 - 没有 TLS/身份验证。
❌ 通过 HTTP 获取采样配置 - 没有 TLS/身份验证。

SDK 到收集器

OpenTelemetry SDK 可以配置为通过 gRPC 或 HTTP 与 jaeger-collector 直接通信，并可选启用 TLS。

✅ HTTP - 支持使用 mTLS（客户端证书身份验证）的 TLS。
✅ gRPC - 支持使用 mTLS（客户端证书身份验证）的 TLS。
- 涵盖跨度导出和采样配置查询。

代理到收集器

jaeger-agent 已弃用。

✅ gRPC - 支持使用客户端证书身份验证的 TLS。

收集器/摄取器/查询服务到存储

✅ Cassandra - 支持使用 mTLS（客户端证书身份验证）的 TLS。
✅ Elasticsearch - 支持使用 mTLS（客户端证书身份验证）的 TLS；承载令牌传播。
✅ Kafka - 支持各种身份验证机制的 TLS（mTLS、Kerberos、纯文本）。

浏览器到 UI

❌ HTTP - 没有 TLS；承载令牌身份验证（传递到存储）。
- 博客文章：使用 OAuth sidecar 代理保护 Jaeger UI 。
- 博客文章：使用 OpenShift 上的 Apache httpd 反向代理为 Jaeger 提供安全架构。

使用者到查询服务

✅ HTTP - 支持使用 mTLS（客户端证书身份验证）的 TLS。
✅ gRPC - 支持使用 mTLS（客户端证书身份验证）的 TLS。