kaffa/obsidian
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

infra/crowdsec-safeline: remove APISIX → CrowdSec (:8085) legacy section

Browse Source 
Verified removed across all 3 sites:
- K3s APISIX: no http-logger plugin in global_rules/routes/services/plugin_configs
- CrowdSec: no apisix-logs HTTP acquisition file, :8085 not listening
- Osaka APISIX: http-logger exists but targets VictoriaLogs (vector.inouter.com), not legacy

Runtime verification via cs_parser_hits metrics: only source is
https://vl.inouter.com/ (victorialogs type).

Split detailed findings to history/2026-04-15-apisix-http-logger-removal.md.
This commit is contained in:
syn
2026-04-15 16:31:18 +09:00
parent bb39d5dd54
commit ad230522be
2 changed files with 107 additions and 13 deletions
Download Patch File Download Diff File Expand all files Collapse all files

17
infra/crowdsec-safeline.md
View File

@@ -50,16 +50,6 @@ Traefik DaemonSet (stdout JSON accessLog)
| 오사카 Vector | Docker `timberio/vector:0.45.0-debian`, `/etc/vector/vector.yaml`, `docker_logs` source → `parse_apisix``vlogs` ES sink. `location: osaka` 필드 추가 |
| 파서 | `custom/apisix-json-logs` (로컬) |
### APISIX → CrowdSec (http-logger, 레거시 — 병행 중)
서울 APISIX가 CrowdSec HTTP acquisition으로 직접 push하는 기존 경로. VictoriaLogs 경로와 이중 수신 중이며 추후 제거 예정.
| 항목 | 값 |
|------|-----|
| 설정 | K3s APISIX GatewayProxy `global_rules/http-logger` (`uri: http://10.253.100.240:8085/apisix-logs`) |
| CrowdSec 포트 | 8085 |
| 인증 | `Authorization: apisix-crowdsec-log-2024` |
### APISIX → log-collector → CrowdSec (sandbox-tokyo)
```
@@ -172,7 +162,7 @@ ddos-detect AI 분석기 폐기 후 deterministic 패턴 매칭으로 대체.
- 현재 모두 `remediation: true` (즉시 ban). dry-run으로 시작 안 함 — false positive 발생 시 임계값 또는 ban duration 조정.
과거 인시던트 및 변경 이력은 `history/` 참조. 예: `history/2026-04-10-edge-cleanup.md` (cf-audit-cleanup-2 3-incident chain, Turnstile sitekey 교체, 미들웨어 64811 `/__captcha/verify` 버그 수정 등).
과거 인시던트 및 변경 이력은 `history/` 참조. 예: `history/2026-04-10-edge-cleanup.md` (cf-audit-cleanup-2 3-incident chain, Turnstile sitekey 교체, 미들웨어 64811 `/__captcha/verify` 버그 수정 등), [[../history/2026-04-15-apisix-http-logger-removal|2026-04-15 APISIX http-logger 레거시 제거]].
### 발견 사항: K3s APISIX 글로벌 limit-req
@@ -285,8 +275,9 @@ Kappa 계정용 `cs-cf-worker-bouncer`와 별도 컨테이너로 분리 운영.
- tengine 미사용, APISIX 직접 연동
### 3차: CrowdSec 로그 분석
- Traefik 로그: Vector DaemonSet → `:8086``crowdsecurity/traefik-logs`
- APISIX 로그: http-logger → `:8085``custom/apisix-json-logs`
- Traefik / APISIX 로그: Vector → VictoriaLogs(`vl.inouter.com`)CrowdSec `victorialogs` acquisition (tail 모드)
- SafeLine 차단: PG NOTIFY → safeline-listener → CrowdSec HTTP acquisition(`:8088`)
- sandbox-tokyo APISIX: http-logger → log-collector(`:8087`) → CrowdSec
- HTTP 시나리오 매칭 → decision → bouncer 피드백
## iron-kr-waf BunnyCDN Pull Zone (구 waf-kr)