Airflow Apache-使用RBAC的身份验证问题
我有点问题 气流1.10.10 Python3.7 OSredhat enterprise 环境GCP w/计算实例 Nginx计算实例 我们使用(多个)气流并通过NGINX反向代理(全部在谷歌云平台上) 我们有一个主域(example.com),它根据路径重新定向到多个位置。 我们根据变量将位置设置为动态的。我们叫它VarA和VarB。这将指向运行气流的各个实例。 每个Web服务器部署的每个实例的Postgres DB都不同Airflow Apache-使用RBAC的身份验证问题,airflow,airflow-scheduler,airflow-operator,apache-airflow-xcom,Airflow,Airflow Scheduler,Airflow Operator,Apache Airflow Xcom,我有点问题 气流1.10.10 Python3.7 OSredhat enterprise 环境GCP w/计算实例 Nginx计算实例 我们使用(多个)气流并通过NGINX反向代理(全部在谷歌云平台上) 我们有一个主域(example.com),它根据路径重新定向到多个位置。 我们根据变量将位置设置为动态的。我们叫它VarA和VarB。这将指向运行气流的各个实例。 每个Web服务器部署的每个实例的Postgres DB都不同 Snippet of Nginx Conf ... server_
Snippet of Nginx Conf
...
server_name example.com
location ~/airflow-<varA>-<varB>/.*
proxy_pass http://varA.example-instance.our-org.com/airflow-varB
Nginx Conf的片段
...
server_name example.com
位置~/气流--/*
代理通行证http://varA.example-instance.our-org.com/airflow-varB
我在此配置的位置块的其余部分:
我们已启用airflow.cfg中的当前设置:
rbac = True
fernet_key = <the same for every image we build>
sercret_key = temporary_key (default)
base_url = <machine_dns_name:8080>
rbac=True
fernet_键=
sercret_key=临时_key(默认)
基本url=
当CI构建和部署气流时,我们可以正确导航到每个气流实例。问题是:
一旦我们通过导航到URL对1个实例进行身份验证
例如
`
我们可以浏览到生成的所有其他airflow实例,而无需验证(每个实例上的用户名和密码都不同)
当我们构建图像时,我们使用创建用户
在数据库上创建第一个用户
我已尝试添加
- 安全cookie选项
- SameSite饼干
- 启用\u代理\u修复程序
secret\u key
更改为我们手动设置的内容,而不是源代码设置的os.uradom(16)
,这允许我们以不同的方式登录每个实例
然而
当我们在URL中加载另一个实例,并单击“刷新”或“登录到另一个实例”时,它将第一个登录的实例注销
更新:
我知道它链接到ab\u USER
表中RBAC用户的USER\u ID(因为我们创建的用户始终是USER 1)
我之所以知道这一点,是因为如果我在PG数据库中更改了用户ID,则更改ab_user_角色
,以在ab_user
表中反映新的用户ID,并将用户ID设置为随机整数,它会起作用,&我可以登录一个实例,如果我在URL中加载另一个实例,则会要求我登录
Airflow没有发送任何cookies来关联用户ID,那么它是如何工作的呢?问题是枪角还是烧瓶
我不想在创建用户ID时更改用户ID,因为它没有那么安全。
任何帮助都是非常感谢的