Flytte metrics til noe mer production grade #52
Labels
No Label
dns
exploration
gitea
mail
new stuff
services
software
art
backup
big
blocked
bug
crash report
disputed
documentation
duplicate
enhancement
good first issue
logging
nixos
question
salt
security
servers n' hardware
wontfix
No Milestone
No project
No Assignees
1 Participants
Notifications
Due Date
No due date set.
Dependencies
No dependencies set.
Reference: Drift/issues#52
Loading…
Reference in New Issue
No description provided.
Delete Branch "%!s(<nil>)"
Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?
Dette inkluderer grafana/prometheus, men også eventuelt promtail og prometheus og slikt
Det var snakk om å sette det opp på en nixos maskin da @felixalbrigtsen allerede har noe nix config satt opp for det
SSL Certs / VPN løsning også up for discussion her
Forslag til sikkerhet mellom noder og aggregator?
Jeg foreslår:
Noen exportere har litt dårlig støtte for passordbeskyttelse og noen ganger også TLS. Vi kan eventuelt faktisk konfigurere et internt VPN med feks WireGuard(headscale?)
headscale er fett, men point to point wireguard er faktisk ikke så ille å manage i nixos eller networkd på debian. Så uansett så tror jeg vi går for noe form for wg.
Med headscale får vi tailscale ACLs som er helt utrolig fleksible for å begrense tilganger, og med magic dns får vi et autha human name for å skrive i config filer og sånne ting (annet enn hijackable DNS). Det viritualiserer også nettet vårt som gjør oss mindre avhengig av det fysiske nettverksopsettet vårt, som er positivt i disse dager. Og lar oss om vi vil låse ned det meste av ekstern tilgang uten å gjøre det veldig mye vanskeligere for oss selv.
headscale er ikke like nice som tailscale ootb da så et PVV-wide bra headscale opsett krever en del setup, med egne namespaces per bruker og sånt
Dette oppsettet har kjørt på ildkule i lang tid, og virker stabilt. Vi har ikke så mange alerts konfigurert, men systemene er i orden så vidt jeg kan se.
I forbindelse med å sikre metrics-endepunkter så bare ildkule har tilgang:
Vi har stengt ned connections i systemd-tjenesten, og det ser ut til å virke fint.
TODO: Gjør det samme i saltoppsettet så vi får noe lignende på andre maskiner, så kan issuet lukkes.
Lukker issuet, dette er blitt noe annet enn det det originalt var.