Seguridad
Antes de instalar o actualizar el operador de supervisión de Kubernetes de NetApp
Sugerir cambios
PDF
Lea esta información antes de instalar o actualizar el "Operador de supervisión de Kubernetes".
| Componente | Requisito |
|---|---|
La versión de Kubernetes |
Kubernetes v1,20 y versiones posteriores. |
Distribuciones de Kubernetes |
Elastic Kubernetes Service (EKS) de AWS |
Sistema operativo Linux |
Cloud Insights no es compatible con nodos que ejecuten con una arquitectura Arm64. |
Etiquetas |
Cloud Insights admite la supervisión de nodos Kubernetes que ejecutan Linux, especificando un selector de nodos de Kubernetes que busca las siguientes etiquetas de Kubernetes en estas plataformas: |
Comandos |
Los comandos cURL y kubectl deben estar disponibles.; Para obtener mejores resultados, agregue estos comandos a la RUTA. |
Conectividad |
la interfaz de línea de comandos de kubectl está configurada para comunicarse con el clúster K8s de destino y tiene conectividad a Internet con el entorno Cloud Insights. |
Otros |
Si ejecuta OpenShift 4,6 o superior, debe seguir el "Instrucciones de OpenShift" además de garantizar que se cumplan estos requisitos previos. |
Token de API |
Si va a volver a desplegar el Operador (es decir, lo está actualizando o reemplazando), no es necesario crear un nuevo token de API; puede volver a utilizar el token anterior. |
Cosas importantes que debe tener en cuenta antes de comenzar
Si usted está corriendo con un proxy, tenga un repositorio personalizado, o están utilizando OpenShift, lea detenidamente las siguientes secciones.
Lea también sobre Permisos.
Configurar el soporte del proxy
Hay dos lugares en los que puede utilizar un proxy en su entorno para instalar el operador de supervisión de Kubernetes de NetApp. Pueden ser los mismos sistemas proxy o independientes:
-
Proxy necesario durante la ejecución del fragmento de código de instalación (utilizando "curl") para conectar el sistema donde se ejecuta el fragmento de código a su entorno Cloud Insights
-
El proxy que necesita el clúster de Kubernetes de destino para comunicarse con su entorno de Cloud Insights
Si usa un proxy para una o ambas, para instalar el monitor operativo de Kubernetes de NetApp, primero debe asegurarse de que el proxy esté configurado para permitir una buena comunicación con su entorno de Cloud Insights. Por ejemplo, desde los servidores/VM desde los que desea instalar el Operador, debe poder acceder a Cloud Insights y poder descargar archivos binarios de Cloud Insights.
En el caso del proxy utilizado para instalar el monitor operativo de Kubernetes de NetApp, antes de instalar el operador, establezca las variables de entorno http_proxy/https_proxy. En algunos entornos proxy, también es posible que tenga que establecer la variable no_proxy Environment.
Para ajustar las variables, lleve a cabo los siguientes pasos en su sistema antes de instalar el operador de monitorización Kubernetes de NetApp:
-
Establezca las variables de entorno https_proxy y/o http_proxy para el usuario actual:
-
Si el proxy que se está estableciendo no tiene autenticación (nombre de usuario/contraseña), ejecute el siguiente comando:
export https_proxy=<proxy_server>:<proxy_port> .. Si el proxy que se está estableciendo tiene autenticación (nombre de usuario/contraseña), ejecute este comando:
export http_proxy=<proxy_username>:<proxy_password>@<proxy_server>:<proxy_port>
-
En el caso de que el proxy utilizado para el clúster de Kubernetes se comunique con el entorno de Cloud Insights, instale el operador de supervisión de Kubernetes de NetApp después de leer todas estas instrucciones.
Configure la sección proxy de AgentConfiguration en operator-config.yaml antes de implementar el operador de supervisión de Kubernetes de NetApp.
agent:
...
proxy:
server: <server for proxy>
port: <port for proxy>
username: <username for proxy>
password: <password for proxy>
# In the noproxy section, enter a comma-separated list of
# IP addresses and/or resolvable hostnames that should bypass
# the proxy
noproxy: <comma separated list>
isTelegrafProxyEnabled: true
isFluentbitProxyEnabled: <true or false> # true if Events Log enabled
isCollectorsProxyEnabled: <true or false> # true if Network Performance and Map enabled
isAuProxyEnabled: <true or false> # true if AU enabled
...
...
Uso de un repositorio de Docker personalizado o privado
De forma predeterminada, el operador de supervisión de Kubernetes de NetApp extraerá imágenes de contenedor del repositorio de Cloud Insights. Si tiene un clúster de Kubernetes utilizado como destino para la supervisión, y ese clúster se configura para extraer solo imágenes de contenedor desde un repositorio de Docker privado o personalizado, debe configurar el acceso a los contenedores que necesita el operador de supervisión de Kubernetes de NetApp.
Ejecute «Image pull Snippet» desde el icono de instalación del operador de supervisión de NetApp. Este comando iniciará sesión en el repositorio de Cloud Insights, extraerá todas las dependencias de imágenes del operador y cerrará la sesión en el repositorio de Cloud Insights. Cuando se le solicite, introduzca la contraseña temporal del repositorio proporcionada. Este comando descarga todas las imágenes utilizadas por el operador, incluidas las funciones opcionales. Consulte a continuación las funciones para las que se utilizan estas imágenes.
Funcionalidad del operador principal y supervisión de Kubernetes
-
supervisión de netapp
-
proxy-rbac-kube
-
métricas-estado-kube
-
telegraf
-
usuario raíz sin interrupciones
Registro de eventos
-
bits fluidos
-
exportador de eventos de kubernetes
Rendimiento de red y mapa
-
ci-net-observador
Introduzca la imagen del operador docker en el repositorio de su proveedor de servicios de empresa/local/privado de acuerdo con las políticas de su empresa. Asegúrese de que las etiquetas de imagen y las rutas de acceso de directorio a estas imágenes del repositorio sean coherentes con las del repositorio de Cloud Insights.
Edite el despliegue de operador de supervisión en operator-deployment.yaml y modifique todas las referencias de imagen para utilizar su repositorio Docker privado.
image: <docker repo of the enterprise/corp docker repo>/kube-rbac-proxy:<kube-rbac-proxy version> image: <docker repo of the enterprise/corp docker repo>/netapp-monitoring:<version>
Edite AgentConfiguration en operator-config.yaml para reflejar la nueva ubicación de repositorio de Docker. Cree una nueva imagePullSecret para su repositorio privado, para más detalles consulte https://kubernetes.io/docs/tasks/configure-pod-container/pull-image-private-registry/
agent: ... # An optional docker registry where you want docker images to be pulled from as compared to CI's docker registry # Please see documentation for link:task_config_telegraf_agent_k8s.html#using-a-custom-or-private-docker-repository[using a custom or private docker repository]. dockerRepo: your.docker.repo/long/path/to/test # Optional: A docker image pull secret that maybe needed for your private docker registry dockerImagePullSecret: docker-secret-name
Instrucciones de OpenShift
Si se ejecuta en OpenShift 4,6 o superior, debe editar la configuración de AgentConfiguration en operator-config.yaml para activar la configuración runPrivileged:
# Set runPrivileged to true SELinux is enabled on your kubernetes nodes runPrivileged: true
OpenShift puede implementar un nivel de seguridad añadido que puede bloquear el acceso a algunos componentes de Kubernetes.
Permisos
Si el clúster que se va a supervisar contiene recursos personalizados que no tienen un ClusterRole que "agregados para ver", Tendrá que conceder manualmente el acceso del operador a estos recursos para supervisarlos con registros de eventos.
-
Edite operator-additional-permissions.yaml antes de instalar, o después de instalar, edite el recurso ClusterRole/<namespace>-additional-permissions
-
Cree una nueva regla para los apiGroups y recursos deseados con los verbos [“get”, “watch”, “list”]. Consulte https://kubernetes.io/docs/reference/access-authn-authz/rbac/
-
Aplique los cambios al clúster