Cloudflare 介绍
Cloudflare 是一家提供内容分发网络(CDN)和网络安全服务的公司,通过一系列工具和技术帮助用户优化网站性能、增强安全性和提高可用性。它通过全球数据中心网络加速网站加载时间,防护 DDoS 攻击,以及提供 SSL 加密、域名解析和流量分析等功能,使得在线资源更加高效和可靠。无论是个人网站还是企业级应用,Cloudflare 都能为不同规模的项目提供灵活的解决方案。
本文将介绍如何使用 Cloudflare 作为 GreptimeDB 的反向代理,从而提高服务的安全性并提供更加强大的访问审计和分析服务。
Cloudflare 配置
托管域名
首先确保服务端的域名已经按照文档中描述的步骤[1]正确托管到 Cloudflare 并且将域名的代理状态[2]设置为 Proxied (或者称为 Orange Clouded),如下图所示。在本文中我们举例使用的是 grpc.some-domain.com,它的 DNS 记录是一条 A 记录,指向我们 GreptimeDB 数据库所在的机器的 IP。
打开 gRPC 代理开关
默认情况下 Cloudflare 并未启用 gRPC 服务的代理功能,需要用户在域名的 Network 页面手动启用 gRPC 代理[3],具体位置见下图:
配置 SSL 证书
进入域名控制台侧边栏的 SSL/TLS 页面,确认加密模式[4]为 Full[5],即客户端到 Cloudflare、Cloudflare 到源服务器的连接均使用 TLS 加密。
然后进入侧边栏 SSL/TLS 下的 Origin Server (源服务器)配置页面,点击 Create Certificate 创建证书:
然后使用默认配置创建证书:
点击 Create 后即可看到 Cloudflare 生成的证书和私钥,请妥善保存。
注:具体步骤请参考 Cloudflare Docs - Cloudflare origin CA[6]。
安装服务端证书并修改 GreptimeDB 配置文件
在 GreptimeDB 服务器上,将上述步骤生成的证书和私钥保存到安全的目录中,如 /etc/ssl/certs/greptimedb.crt
和 /etc/ssl/private/greptimedb.key
。
然后修改 GreptimeDB 的配置文件,在 [grpc]
部分中,需要修改如下字段:
[grpc]
bind_addr = "0.0.0.0:443"
[grpc.tls]
mode = "require"
cert_path = "/etc/ssl/certs/greptimedb.crt"
key_path = "/etc/ssl/private/greptimedb.key"
注:
由于 Cloudflare 仅支持对 443 端口的 TLS 流量代理,因此我们需要把 gRPC 的端口设置为 443; Grpc 的 TLS 模式设置为 required
,cert_path
和key_path
分别为证书和私钥地址。
使用安全的 TLS 连接写入数据
在配置好 Cloudflare 代理和服务端的证书后,客户端只需要指定使用 TLS 即可通过安全连接向 GreptimeDB 写入数据。本节中以 GreptimeDB 的 Java Ingester SDK[7]为例,在创建 GreptimeDB 客户端配置 GreptimeOptions
时,需要指定使用 TLS (见示例代码的第 18 行):
public class LowLevelApiWriteQuickStart {
privatestaticfinal Logger LOG = LoggerFactory.getLogger(LowLevelApiWriteQuickStart.class);
public static void main(String[] args) throws ExecutionException, InterruptedException {
GreptimeOptions opts = GreptimeOptions.newBuilder("grpc.huanglei.rocks:443", "public") // Optional, the default value is fine.
.asyncPool(new SerializingExecutor("async_pool"))
.rpcOptions(RpcOptions.newDefault())
.writeMaxRetries(1)
.maxInFlightWritePoints(10 * 65536)
.writeLimitedPolicy(LimitedPolicy.defaultWriteLimitedPolicy())
.defaultStreamMaxWritePointsPerSecond(10 * 65536)
.useZeroCopyWriteInBulkWrite(true)
.routeTableRefreshPeriodSeconds(-1)
.checkHealthTimeoutMs(1000)
.router(null)
.authInfo(AuthInfo.noAuthorization())
// 指定使用 TLS 验证服务端身份,此处使用默认配置,也就是读取系统的 CA 证书
.tlsOptions(new TlsOptions())
.build();
final GreptimeDB greptimeDB = GreptimeDB.create(opts);
TableSchema cpuMetricSchema = TableSchema.newBuilder("cpu_metric")
.addTag("host", DataType.String)
.addTimestamp("ts", DataType.TimestampMillisecond)
.addField("cpu_user", DataType.Float64)
.addField("cpu_sys", DataType.Float64)
.build();
TableSchema memMetricSchema = TableSchema.newBuilder("mem_metric")
.addTag("host", DataType.String)
.addTimestamp("ts", DataType.TimestampMillisecond)
.addField("mem_usage", DataType.Float64)
.build();
Table cpuMetric = Table.from(cpuMetricSchema);
Table memMetric = Table.from(memMetricSchema);
for (int i = 0; i < 10; i++) {
String host = "127.0.0." + i;
long ts = System.currentTimeMillis();
double cpuUser = i + 0.1;
double cpuSys = i + 0.12;
cpuMetric.addRow(host, ts, cpuUser, cpuSys);
}
for (int i = 0; i < 10; i++) {
String host = "127.0.0." + i;
long ts = System.currentTimeMillis();
double memUsage = i + 0.2;
memMetric.addRow(host, ts, memUsage);
}
cpuMetric.complete();
memMetric.complete();
CompletableFuture<Result<WriteOk, Err>> future = greptimeDB.write(cpuMetric, memMetric);
Result<WriteOk, Err> result = future.get();
Result<Integer, String> simpleResult =
result.map(WriteOk::getSuccess).mapErr(err -> err.getError().getMessage());
if (simpleResult.isOk()) {
LOG.info("Write success: {}", simpleResult.getOk());
} else {
LOG.error("Failed to write: {}", simpleResult.getErr());
}
List<Table> delete_objs = Arrays.asList(cpuMetric.subRange(0, 5), memMetric.subRange(0, 5));
// We can also delete data from the table using the `WriteOp.Delete`.
Result<WriteOk, Err> deletes =
greptimeDB.write(delete_objs, WriteOp.Delete).get();
if (deletes.isOk()) {
LOG.info("Delete result: {}", result.getOk());
} else {
LOG.error("Failed to delete: {}", result.getErr());
}
greptimeDB.shutdownGracefully();
}
}
结语
本文介绍了如何使用 Cloudflare 作为 GreptimeDB gRPC 服务的反向代理,并且利用端到端的 TLS 加密功能保护数据安全并且利用 Cloudflare 代理网络隐藏后端服务的真实地址从而进一步提高安全性和可审计性。值得注意的是,Cloudflare 默认提供单个域名的托管和代理服务,并且只能免费生成单个 Let's Encrypt 的证书。如果您需要托管多个域名或者使用自定义的 SSL 证书,请升级到 Cloudflare 的 Business Plan[8]或升级 Advanced Certificate Manager[9]。
Reference
[1] https://developers.cloudflare.com/fundamentals/manage-domains/
[2] https://developers.cloudflare.com/dns/proxy-status/
[3] https://developers.cloudflare.com/network/grpc-connections/
[4] https://developers.cloudflare.com/ssl/origin-configuration/ssl-modes/
[5] https://developers.cloudflare.com/ssl/origin-configuration/ssl-modes/full/
[6] https://developers.cloudflare.com/ssl/origin-configuration/origin-ca/
[7] https://github.com/GreptimeTeam/greptimedb-ingester-java
[8] https://www.cloudflare.com/zh-cn/plans/business/
[9] https://developers.cloudflare.com/ssl/edge-certificates/advanced-certificate-manager/
关于 Greptime
Greptime 格睿科技专注于打造新一代可观测数据库,服务开发者与企业用户,覆盖从从边缘设备到云端企业级部署的多样化需求。
GreptimeDB 开源版:开源、云原生,统一处理指标、日志和追踪数据,适合中小规模 IoT,个人项目与可观测性场景; GreptimeDB 企业版:面向关键业务,提供更高性能、高安全性、高可用性和智能化运维服务; GreptimeCloud 云服务:全托管云服务,零运维体验“企业级”可观测数据库,弹性扩展,按需付费。
欢迎加入开源社区参与贡献与交流!推荐从带有 good first issue
标签的任务入手,一起共建可观测未来。
⭐ Star us on GitHub:https://github.com/GreptimeTeam/greptimedb
📚 官网:https://greptime.cn/
📖 文档:https://docs.greptime.cn/
🌍 Twitter:https://twitter.com/Greptime
💬 Slack:https://greptime.com/slack
💼 LinkedIn:https://www.linkedin.com/company/greptime/
往期精彩文章:
点击「阅读原文」,立即体验 GreptimeDB!
