APM 代理授权

Elastic Stack

注意

supported deployment methods

本节中的大多数选项都受所有 APM Server 部署方法支持。

代理授权 APM Server 配置选项。

APM Server 二进制文件

示例配置文件

		apm-server:
  host: "localhost:8200"
  rum:
    enabled: true

output:
  elasticsearch:
    hosts: ElasticsearchAddress:9200

max_procs: 4

	

Fleet 管理

直接在 Kibana 中配置和自定义 Fleet 管理的 APM 设置

在 Kibana 中，在主菜单中找到 Fleet，或使用全局搜索字段。
在 代理策略 选项卡下，选择要配置的策略。
找到 Elastic APM 集成，然后选择操作 > 编辑集成。
在 代理授权 下查找这些设置。

API 密钥认证选项

这些设置适用于 APM Server 和 APM 代理之间的 API 密钥通信。

注意

这些设置与用于 Elasticsearch 输出和监控的 API 密钥设置不同。

用于代理认证的 API 密钥

通过将 enabled 设置为 true 来启用 API 密钥授权。默认情况下，enabled 设置为 false，并且 API 密钥支持被禁用。(bool)


APM Server 二进制文件	`auth.api_key.enabled`
Fleet 管理	`用于代理认证的 API 密钥`

提示

未使用 Elastic APM 代理？启用后，第三方 APM 代理必须包含以下格式的有效 API 密钥：Authorization: ApiKey <token>。密钥必须是 API 密钥 id:name 的 base64 编码表示形式。

API 密钥限制

每个唯一的 API 密钥都会触发对 Elasticsearch 的一个请求。此设置限制了每分钟允许的唯一 API 密钥的数量。此设置的最小值应为您的受监控服务中配置的 API 密钥数量。默认 limit 为 100。(int)


APM Server 二进制文件	`auth.api_key.limit`
Fleet 管理	`密钥数量`

密钥令牌

用于发送 APM 数据的授权令牌。也必须在每个 APM 代理中设置相同的令牌。此令牌不用于 RUM 端点。(text)


APM Server 二进制文件	`auth.api_key.token`
Fleet 管理	`密钥令牌`

`auth.api_key.elasticsearch.*` 配置选项

注意

supported deployment methods

以下选项仅受 APM Server 二进制文件支持。

所有 auth.api_key.elasticsearch.* 配置都是可选的。如果未设置任何配置，则将重用 apm-server.output 部分中的配置设置。

`elasticsearch.hosts`

API 密钥是从 Elasticsearch 中获取的。此配置需要指向能够服务 API 密钥请求的安全 Elasticsearch 集群。

`elasticsearch.protocol`

Elasticsearch 可访问的协议的名称。选项为：http 或 https。默认值为 http。如果未配置任何内容，则将重用 output 部分中的配置设置。

`elasticsearch.path`

一个可选的 HTTP 路径前缀，它会添加到 HTTP API 调用中。如果未配置任何内容，则将重用 output 部分中的配置设置。

`elasticsearch.proxy_url`

连接到 Elasticsearch 服务器时要使用的代理的 URL。该值可以是完整的 URL 或“host[:port]”，在这种情况下，假定为“http”方案。如果未配置任何内容，则将重用 output 部分中的配置设置。

`elasticsearch.timeout`

Elasticsearch 请求的 HTTP 请求超时时间（以秒为单位）。如果未配置任何内容，则将重用 output 部分中的配置设置。

`auth.api_key.elasticsearch.ssl.*` 配置选项

默认情况下，SSL 已关闭。如果要启用 https，请将 elasticsearch.protocol 设置为 https。

`elasticsearch.ssl.enabled`

启用自定义 SSL 设置。设置为 false 可忽略安全通信的自定义 SSL 设置。

`elasticsearch.ssl.verification_mode`

配置 SSL 验证模式。如果配置了 none，则将接受所有服务器主机和证书。在此模式下，基于 SSL 的连接容易受到中间人攻击。 仅用于测试。默认为 full。

`elasticsearch.ssl.supported_protocols`

支持/有效的 TLS 版本的列表。默认情况下，启用从 1.0 到 1.2 的所有 TLS 版本。

`elasticsearch.ssl.certificate_authorities`

用于 HTTPS 服务器验证的根证书列表。

`elasticsearch.ssl.certificate`

用于 SSL 客户端身份验证的证书的路径。

`elasticsearch.ssl.key`

用于客户端身份验证的客户端证书密钥。如果指定了证书，则此选项是必需的。

`elasticsearch.ssl.key_passphrase`

用于解密存储在已配置的密钥文件中的加密密钥的可选密码。

`elasticsearch.ssl.cipher_suites`

要使用的密码套件的列表。第一个条目具有最高优先级。如果省略此选项，则使用 Go 加密库的默认套件（推荐）。

`elasticsearch.ssl.curve_types`

用于 ECDHE（椭圆曲线迪菲-赫尔曼临时密钥交换）的曲线类型列表。

`elasticsearch.ssl.renegotiation`

配置支持哪些类型的重新协商。有效选项包括 never、once 和 freely。默认为 never。

never - 禁用重新协商。
once - 允许远程服务器每个连接请求一次重新协商。
freely - 允许远程服务器重复请求重新协商。