Closed dali99 closed 10 months ago
felixalbrigtsen
commented
1 year ago Forslag til sikkerhet mellom noder og aggregator?
Jeg foreslår:
Noen exportere har litt dårlig støtte for passordbeskyttelse og noen ganger også TLS. Vi kan eventuelt faktisk konfigurere et internt VPN med feks WireGuard(headscale?)
dali99
commented
1 year ago headscale er fett, men point to point wireguard er faktisk ikke så ille å manage i nixos eller networkd på debian. Så uansett så tror jeg vi går for noe form for wg.
Med headscale får vi tailscale ACLs som er helt utrolig fleksible for å begrense tilganger, og med magic dns får vi et autha human name for å skrive i config filer og sånne ting (annet enn hijackable DNS). Det viritualiserer også nettet vårt som gjør oss mindre avhengig av det fysiske nettverksopsettet vårt, som er positivt i disse dager. Og lar oss om vi vil låse ned det meste av ekstern tilgang uten å gjøre det veldig mye vanskeligere for oss selv.
dali99
commented
1 year ago headscale er ikke like nice som tailscale ootb da så et PVV-wide bra headscale opsett krever en del setup, med egne namespaces per bruker og sånt
felixalbrigtsen
commented
11 months ago Dette oppsettet har kjørt på ildkule i lang tid, og virker stabilt. Vi har ikke så mange alerts konfigurert, men systemene er i orden så vidt jeg kan se.
I forbindelse med å sikre metrics-endepunkter så bare ildkule har tilgang: Vi har stengt ned connections i systemd-tjenesten, og det ser ut til å virke fint.
TODO: Gjør det samme i saltoppsettet så vi får noe lignende på andre maskiner, så kan issuet lukkes.
h7x4
commented
10 months ago Lukker issuet, dette er blitt noe annet enn det det originalt var.
Dette inkluderer grafana/prometheus, men også eventuelt promtail og prometheus og slikt
Det var snakk om å sette det opp på en nixos maskin da @felixalbrigtsen allerede har noe nix config satt opp for det
SSL Certs / VPN løsning også up for discussion her