Доступ к интерфейсу Grafana

MITIGATOR в своей поставке включает Grafana, которую можно использовать для создания кастомизированных дашбордов. Обратитесь к документации Grafana, как именно это делать.

Для получения доступа к веб-интерфейсу Grafana необходимо поднять сервис, который отключен по-умолчанию. Временно это можно сделать следующей командой:

docker-compose up -d --scale grafana=1 grafana

Чтобы включить grafana на постоянной основе, необходимо в docker-compose.yml изменить scale c 0 на 1.

services:
  ...
  grafana:
    ...
    scale: 1
    ...

После настройки необходимо поднять контейнер Grafana:

docker-compose up -d grafana

Теперь можно зайти на web-интерфейс по проброшенному порту: http://mitigator.local:3000 (mitigator.local — адрес сервера здесь и далее). По-умолчанию логин и пароль: admin:admin. Grafana попросит сменить пароль при первом входе.

При использовании кластера следует явно указать для Grafana адрес Graphite внутри VPN:

Все изменения, сделанные через интерфейс Grafana, в том числе дашборды, сохраняются в ее внутренней базе, которая хранится в каталоге /var/lib/docker/volumes/mitigator_grafana/_data.

Внимание

С такими настройками Grafana доступна по всем IP сервера, то есть, если IP публичный — всему интернету. Варианты обезопасить Grafana даны ниже.

Вариант 1: SSH port forwarding

Если пользователи Grafana могут подключаться к серверу по SSH, можно разрешить только локальные подключения к Grafana и пробрасывать порт.

Привязка к адресу (после этого нужно снова пересоздать контейнер):

version: "2.2"
services:
  gateway:
    ports:
    - "127.0.0.1:3000:3000"

Проброс порта по SSH:

ssh -L 3000:127.0.0.1:3000 mitigator.local

Адрес для доступа к интерфейсу Grafana: http://localhost:3000

Вариант 2: локальная сеть

Если используется IP внутренней доверенной сети, можно привязать к нему порт так же, как в варианте 1. Адрес для доступа к интерфейсу Grafana будет http://mitigator.local:3000.

Вариант 3: межсетевой экран

Настроить любые нужные ограничения средствами межсетевого экрана на самом сервере или на периметре сети. Обратитесь к документации дистрибутива и/или МСЭ за инструкциями.