Sentry Relay 通過提供作為應用程序和 sentry.io 之間中間層的獨立服務來提供企業(yè)級數(shù)據(jù)安全性。

Relay 專門設計用于：

• 在將個人身份信息 (PII) 發(fā)送給 Sentry 之前，在中心位置對其進行清理
• 在低帶寬或連接受限的地區(qū)提高事件響應時間
• 充當將所有 HTTP 通信限制為自定義域名的組織的不透明代理

托管模式(managed mode) 下的 Relay 僅適用于商業(yè)和企業(yè)計劃。https://sentry.io/pricing/

Relay 用例

Relay 旨在支持對個人身份信息 (PII) 的數(shù)據(jù)清理、響應時間和企業(yè)域管理具有特定企業(yè)安全要求的組織。

PII 數(shù)據(jù)清理

Sentry 已經(jīng)在兩個地方清除了 PII：

• 在發(fā)送事件之前在 SDK 中
• 抵達 Sentry 的基礎設施后

Relay 添加了第三個選項，可以在將數(shù)據(jù)發(fā)送到 Sentry 之前在一個中心位置清理數(shù)據(jù)。

要選擇正確的數(shù)據(jù)清理位置，請考慮：

• 如果您更喜歡在一個中心位置配置數(shù)據(jù)清理，您可以讓 Sentry 處理數(shù)據(jù)清理。到達后，Sentry 立即應用服務器端清理并保證永遠不會存儲個人信息。
  • https://docs.sentry.io/product/data-management-settings/scrubbing/server-side-scrubbing/
• 如果您無法將 PII 發(fā)送到您的基礎設施之外，但您仍希望在一個集中的位置配置數(shù)據(jù)清理，請配置您的 SDK 以將事件發(fā)送到 Relay。Relay 使用 Sentry 中配置的隱私設置，并在將數(shù)據(jù)轉(zhuǎn)發(fā)到 Sentry 之前清理 PII。
• 如果您必須執(zhí)行嚴格的數(shù)據(jù)隱私要求，您可以將 SDK 配置為使用 before-send hooks 清除 PII，從而防止在設備上收集數(shù)據(jù)。這可能需要您在應用程序中復制相同的邏輯，并可能影響性能。
  • https://docs.sentry.io/platforms/javascript/guides/nextjs/configuration/options/#hooks

響應時間

Relay 對請求的響應非?？臁Ｔ谀幕A設施附近安裝 Relay 將進一步縮短發(fā)送事件時的響應時間。這種安裝方法可以特別減少偏遠地區(qū)的往返時間。

企業(yè)域管理

默認情況下，SDK 需要使用指向 sentry.io 的數(shù)據(jù)源名稱 (DSN) 進行配置。如果您需要將所有 HTTP 通信限制為自定義域名，Relay 可以充當不透明代理，將事件可靠地轉(zhuǎn)發(fā)到 Sentry。

入門

開始使用 Relay 就像使用默認設置一樣簡單。您還可以配置 Relay 以滿足您組織的需求。查看配置選項頁面以獲取有關(guān)操作場景的詳細討論。

• https://docs.sentry.io/product/relay/
• https://docs.sentry.io/product/relay/options/

Relay server 稱為 relay。從 GitHub Releases 下載二進制文件。DockerHub 上提供了一個 Docker 鏡像。

• https://github.com/getsentry/relay/releases
• https://hub.docker.com/r/getsentry/relay/

初始化配置

要創(chuàng)建初始配置，請使用 Relay 的 relay config init 命令， 該命令將配置文件放在當前工作目錄下的 .relay 文件夾中。

在 Docker 中，使用 Docker 提供的標準機制提供配置目錄，通過掛載 Docker volumes 或構(gòu)建新容器并復制文件。

• https://docs.docker.com/storage/volumes/

# 調(diào)整配置目錄的權(quán)限 
docker run --rm -it                \ 
  -v $(pwd)/config/:/work/.relay/  \ 
  --entrypoint bash                \ 
  getsentry/relay                  \ 
  -c 'chown -R relay:relay /work/.relay' 
 
# 生成配置 
docker run --rm -it                \ 
  -v $(pwd)/config/:/work/.relay/  \ 
  getsentry/relay                  \ 
  config init 

選擇默認配置以創(chuàng)建最小配置文件。您可以通過選擇 "create custom config" 并自定義這些參數(shù)來選擇覆蓋默認設置：

• mode 設置，用于配置 Relay 運行的主要模式。有關(guān)可用 Relay 模式的更多信息，請參閱 Relay 模式。

目前，只有 proxy 和 static 模式可供所有組織使用。managed 模式下的 Relay 僅適用于商業(yè)和企業(yè)計劃。https://docs.sentry.io/product/relay/modes/

• upstream 設置配置 Relay 將事件轉(zhuǎn)發(fā)到的服務器(默認為主要的 sentry.io URL)。
• port 和 host 設置配置 Relay 將偵聽的 TCP 端口。這是 SDK 發(fā)送事件的地址。
• tls 設置配置 TLS 支持(HTTPS 支持)，當需要保護 SDK 和 Relay 之間的通信時使用。

設置記錄在 .relay/config.yml 中。請注意，所有配置值都是可選的，并且默認為以下設置：

relay: 
  mode: managed 
  upstream: "https://sentry.io/" 
  host: 0.0.0.0 
  port: 3000 
  tls_port: ~ 
  tls_identity_path: ~ 
  tls_identity_password: ~ 

配置在配置選項中有完整記錄。

• https://docs.sentry.io/product/relay/options/

創(chuàng)建憑證

不適用于 proxy 或 static 模式。

除了 config.yml，init 命令還創(chuàng)建了一個憑證文件 credentials.json，它位于同一個 .relay 目錄中。此文件包含 Relay 用于與上游服務器進行身份驗證的公鑰和私鑰。

因此，必須保護此文件不被未經(jīng)授權(quán)的實體修改或查看。

典型的憑據(jù)文件類似于此示例：

{ 
  "secret_key": "5gkTAfwOrJ0lMy9aOAOmHKO1k6gd8ApYkAInmg5VfWk", 
  "public_key": "nDJI79SbEYH9-8NEJAI7ezrgYfoIPW3Bnkg00k1z0fA", 
  "id": "cde0d72e-0c4e-4550-a934-c1867d8a177c" 
} 

在 managed 模式下運行時，使用 public_key 向上游服務器注冊您的 Relay。

使用 Sentry 注冊 Relay

不適用于 proxy 或 static 模式。

為了在 managed 模式下運行，Relay 從 Sentry 中的組織和項目設置中提取 PII 剝離、過濾和速率限制的配置。由于這些設置可能包含敏感信息，因此它們的訪問受到 Sentry 的限制并需要授權(quán)。

向 Sentry 注冊 Relay：

通過檢查 credentials.json 文件或運行以下命令來復制公鑰的內(nèi)容：

docker run --rm -it                \ 
  -v $(pwd)/config/:/work/.relay/  \ 
  getsentry/relay                  \ 
  credentials show 

單擊 Sentry 主導航中的 Settings，然后選擇 Relays。

點擊 New Relay Key 添加密鑰并保存：

此過程向 Sentry 注冊 Relay，以便準備發(fā)送消息。請參閱配置選項以了解有關(guān) Relay 配置選項的更多信息。

運行 Relay

在 Sentry 注冊 Relay 后，它就可以運行了：

docker run --rm -it                \ 
  -v $(pwd)/config/:/work/.relay/  \ 
  -p 3000:3000                     \ 
  getsentry/relay                  \ 
  run 

在默認配置下，Relay 發(fā)出類似于以下內(nèi)容的日志輸出：

INFO  relay::setup > launching relay from config folder .relay 
INFO  relay::setup >   relay mode: managed 
INFO  relay::setup >   relay id: cde0d72e-0c4e-4550-a934-c1867d8a177c 
INFO  relay::setup >   public key: nDJI79SbEYH9-8NEJAI7ezrgYfoIPW3Bnkg00k1z0fA 
... 
INFO  relay_server::actors::upstream > relay successfully registered with upstream 

INFO relay_server::actors::upstream > relay successfully registered with upstream

有關(guān)如何配置 Relay 的日志記錄的更多信息，請參閱 Logging 頁面。

如果您移動了 config 文件夾(例如，出于安全原因)，請使用 --config 選項指定位置：

docker run --rm -it                \ 
  -v $(pwd)/config/:/etc/relay/    \ 
  -p 3000:3000                     \ 
  getsentry/relay                  \ 
  run --config /etc/relay/ 

發(fā)送測試事件

一旦 Relay 運行并通過 Sentry 進行身份驗證，將測試事件發(fā)送到您組織中的項目之一。

通過在 Settings > Projects > {YOUR_PROJECT_NAME} > Client Keys (DSN) 導航到您的項目設置來獲取您的項目的 DSN，然后選擇一個現(xiàn)有的 DSN，它看起來類似于：

https://12345abcdef10111213141516171819@o1.ingest.sentry.io/2345

接下來，替換部分 DSN 以匹配 Relay 可訪問的地址。例如，如果 Relay 偵聽 http://localhost:3000，請將 DSN 的 protocol 和 host 更改為：

http://12345abcdef10111213141516171819@localhost:3000/2345

在您的 SDK 配置中使用新的 DSN。要對此進行測試，您可以使用 sentry-cli(安裝說明)發(fā)送消息：

• https://docs.sentry.io/product/cli/installation/

export SENTRY_DSN='http://12345abcdef10111213141516171819@127.0.0.1:3000/2345' 
sentry-cli send-event -m 'A test event' 

 

幾秒鐘后，該事件應出現(xiàn)在您項目的問題流(issues stream)中。