Не рабоатает условие host_regexp по фильтрации по хосту источника.

Подскажите какие могут быть решения, как можно отдебажить ?


В clickhouse operator указана директива, в clickhouse тоже. Подключаюсь из разных подов (т.е. с разных src host ) с разными именами, везде достутп clickhouse открыт, различные варианты regexp пробовал (даже умышленно ставил неправильный host_regexp), ощущение, что эта настройка игнорируется.
Если указать в
chConfigNetworksHostRegexpTemplate
заведомо не верный паттерн, то clickhouse после переустановки не стартанет.

Развернуто с помощью clickhouse operator 0.14
clickhouse-operator:
cat /etc/clickhouse-operator/config.yaml | grep chConfigNetworksHostRegexpTemplate
chConfigNetworksHostRegexpTemplate: "(.*clickhouse.*)"


Clickhouse cluster:
<users>
<demo>
<networks>
<host_regexp>.*xyz.*</host_regexp>
<ip>0.0.0.0/0</ip>
<ip>::/0</ip>
</networks>
<password_sha256_hex>ebf22d8bfa40cc5ae972270a06934fe1056ea7227859ad7d39c6fe9c497db70f</password_sha256_hex>
<profile>default</profile>
<quota>default</quota>
</demo>
<default>
<networks>
<host_regexp>(.*clickhouse.*)</host_regexp>
<ip>0.0.0.0/0</ip>
<ip>::/0</ip>
</networks>
<profile>default</profile>
<quota>default</quota>
</default>
</users>

@BloodJazMan Можете помочь с этим ?

тут закрывающий кавычки не хватает как минимум запустите какой нибудь kubectl sniff на 53й порт в поде clickhouse и посмотрите PTR запросы которые делает сервер в попытке отрезолвить ваши клиентские подключения... дальше смотрите совпадает он с host_regexp или нет

## Не рабоатает условие host_regexp по фильтрации по хосту источника. ## Подключился, ни одного PTR запроса не наблюдаю, только A

Какие могут быть причины? - В логах про dns (loglevel=trace) ничего нет - PTR запросов нет - Ззапись host_regexp имеется в конфигах....

внутри clickhouse pod grep -r host_regexp /etc/clickhouse-server/config.d/ что показывает?

ничего, пусто

а если более глобально, то вот grep -r host_regexp /etc/clickhouse-server/ chop-generated-users.xml: <host_regexp>noname</host_regexp> chop-generated-users.xml: <host_regexp></host_regexp>

Есть ещё идеи, что можно проверить для того ,чтобы включить работу regexp_host ?

Можно посмотреть preprocessed конфиг файлы, что там кликхаус сделал. /var/lib/clickhouse Можно сделать через кликхаус клиент : Set send_logs_level='trace' SYSTEM RELOAD CONFIG И смотреть на ошибки при реалоаде

> Есть ещё идеи, что можно проверить для того ,чтобы включить работу regexp_host ? Ошибок не вижу SYSTEM RELOAD CONFIG [chi-clickhouse-default-0-0-0] 2021.07.18 18:30:37.566914 [ 90 ] {4fe3e276-2fdc-4bba-8d68-edbb47cb4ec9} <Debug> executeQuery: (from 127.0.0.1:56190) SYSTEM RELOAD CONFIG [chi-clickhouse-default-0-0-0] 2021.07.18 18:30:37.567256 [ 90 ] {4fe3e276-2fdc-4bba-8d68-edbb47cb4ec9} <Trace> ContextAccess (default): Access granted: SYSTEM RELOAD CONFIG ON *.* [chi-clickhouse-default-0-0-0] 2021.07.18 18:30:37.571728 [ 90 ] {4fe3e276-2fdc-4bba-8d68-edbb47cb4ec9} <Debug> ConfigReloader: Loading config '/etc/clickhouse-server/config.xml' [chi-clickhouse-default-0-0-0] 2021.07.18 18:30:37.580815 [ 90 ] {4fe3e276-2fdc-4bba-8d68-edbb47cb4ec9} <Debug> ConfigReloader: Loading config '/etc/clickhouse-server/users.xml' [chi-clickhouse-default-0-0-0] 2021.07.18 18:30:37.583646 [ 90 ] {4fe3e276-2fdc-4bba-8d68-edbb47cb4ec9} <Debug> MemoryTracker: Peak memory usage (for query): 7.08 MiB. Ok. 0 rows in set. Elapsed: 0.019 sec.

А пример конфига юзерп можно

<yandex> <users> <adclick> <networks> <host_regexp>noname</host_regexp> <ip>127.0.0.1</ip> <ip>0.0.0.0/0</ip> </networks> <password_sha256_hex>ebf22d8bfa40cc5ae972270a06934fe1056ea7227859ad7d39c6fe9c497db70f</password_sha256_hex> <profile>default</profile> <quota>default</quota> </adclick> <default> <networks> <host_regexp></host_regexp> <ip>127.0.0.1</ip> <ip>0.0.0.0/0</ip> </networks> <profile>default</profile> <quota>default</quota> </default> </users> </yandex>

Хм, а что будет если убрать 0.0.0.0/0

https://t.me/clickhouse_ru/226926 ПО истории ответов можно посмотреть, что уже проделано. для дебага ...

ограничение по ip работатает... Что именно нужно проверить, когда я уберу 0.0.0.0/0 ?

Смутное подозрение что оно Пермисивно открывает все айпи

Вы были правы !!! Всю прошлую неделю мучался с этим вопросом ! Эти моменты описаны в доке ?