是否应该使用反向代理和https+保护内部docker服务；啊？_Docker_Security_Devops_Grafana_Prometheus

是否应该使用反向代理和https+保护内部docker服务；啊？

docker security grafana prometheus

是否应该使用反向代理和https+保护内部docker服务；啊？,docker,security,devops,grafana,prometheus,Docker,Security,Devops,Grafana,Prometheus,给定服务：api，prometheus（度量监控），grafana（度量检查界面） api可以从外部访问（公开端口），并且它使用https和OAuth（两者都用于公开度量）监控服务使用docker compose一起部署，包括： prometheus不公开任何端口，并配置为能够访问api服务以获取度量。没有任何身份验证或加密（默认docker网络加密除外）对其进行明确保护 grafana公开了一个面向web的端口，可从devops团队访问，因此配置为使用ssl和基本身份验证。它使用docker

给定服务：

api

，

prometheus

（度量监控），

grafana

（度量检查界面）

api

可以从外部访问（公开端口），并且它使用https和OAuth（两者都用于公开度量）

监控服务使用docker compose一起部署，包括：

prometheus

不公开任何端口，并配置为能够访问api服务以获取度量。没有任何身份验证或加密（默认docker网络加密除外）对其进行明确保护

grafana

公开了一个面向web的端口，可从devops团队访问，因此配置为使用ssl和基本身份验证。它使用docker内部网络查询普罗米修斯，无需任何身份验证

我想知道这种设置在普罗米修斯服务的安全性方面是否存在重大缺陷？它一点也不安全，但无法从外部进入。这样可以吗？还是我们应该在它前面放一个反向代理来添加ssl和（基本）身份验证，让grafana使用代理进行通信，而不是docker网络

我认为，当有一个PRO/CON参数列表和潜在的其他相关方面的列表中没有提到的问题或强论证，宁愿选择内部DOCKER通信或使用反向代理。