本頁記錄了 Jaeger 中現有的安全性機制，並依 Jaeger 組件之間的成對連線組織。我們要求社群協助實施額外的安全措施（請參閱 issue-1718 ）。

SDK 至代理程式

涉及 jaeger-agent 的部署適用於受信任的環境，其中代理程式作為容器網路命名空間中的 sidecar 或作為主機代理程式執行。因此，目前不支援客戶端和代理程式之間的流量加密。

• ❌ 透過 UDP 傳送追蹤資料 - 無 TLS/驗證。
• ❌ 透過 HTTP 擷取取樣設定 - 無 TLS/驗證。

SDK 至收集器

可以設定 OpenTelemetry SDK，以透過 gRPC 或 HTTP 與 jaeger-collector 直接通訊，並可選擇啟用 TLS。

• ✅ HTTP - 支援具有 mTLS（用戶端憑證驗證）的 TLS。
• ✅ gRPC - 支援具有 mTLS（用戶端憑證驗證）的 TLS。
  • 涵蓋跨度匯出和取樣設定查詢。

代理程式至收集器

• ✅ gRPC - 支援具有用戶端憑證驗證的 TLS。

收集器/接收器/查詢服務至儲存

• ✅ Cassandra - 支援具有 mTLS（用戶端憑證驗證）的 TLS。
• ✅ Elasticsearch - 支援具有 mTLS（用戶端憑證驗證）的 TLS；承載權杖傳播。
• ✅ Kafka - 支援具有各種驗證機制的 TLS（mTLS、Kerberos、純文字）。

瀏覽器至 UI

• ❌ HTTP - 無 TLS；承載權杖驗證（傳遞至儲存）。
  • 部落格文章：使用 OAuth sidecar Proxy 保護 Jaeger UI 。
  • 部落格文章：在 OpenShift 上使用 Apache httpd 反向 Proxy 的 Jaeger 安全架構 。

消費者至查詢服務

• ✅ HTTP - 支援具有 mTLS（用戶端憑證驗證）的 TLS。
• ✅ gRPC - 支援具有 mTLS（用戶端憑證驗證）的 TLS。