Sicurezza
Prima di installare o aggiornare l'operatore di monitoraggio NetApp Kubernetes
Suggerisci modifiche
PDF
Leggere queste informazioni prima di installare o aggiornare "Operatore di monitoring Kubernetes".
| Componente | Requisito |
|---|---|
Versione di Kubernetes |
Kubernetes v1,20 e versioni successive. |
Distribuzioni Kubernetes |
Servizio Kubernetes elastico AWS (EKS) |
OS Linux |
Cloud Insights non supporta i nodi in esecuzione con l'architettura Arm64. |
Etichette |
Cloud Insights supporta il monitoraggio dei nodi Kubernetes che eseguono Linux, specificando un selettore di nodi Kubernetes che cerca le seguenti etichette Kubernetes su queste piattaforme: |
Comandi |
I comandi curl e kubectl devono essere disponibili.; per ottenere i migliori risultati, aggiungere questi comandi al PERCORSO. |
Connettività |
Kubectl cli è configurato per comunicare con il cluster K8s di destinazione e per disporre di connettività Internet al vostro ambiente Cloud Insights. |
Altro |
Se si utilizza OpenShift 4,6 o versione successiva, è necessario seguire la "Istruzioni per OpenShift" oltre ad assicurare che questi prerequisiti siano soddisfatti. |
Token API |
Se si sta ridistribuendo l'operatore (ad esempio se lo si sta aggiornando o sostituendo), non è necessario creare un nuovo token API; è possibile riutilizzare il token precedente. |
Cose importanti da notare prima di iniziare
Se si utilizza un proxy, hanno un repository personalizzato, o stanno utilizzando OpenShift, leggere attentamente le seguenti sezioni.
Leggi anche di Permessi.
Configurazione del supporto proxy
Per installare NetApp Kubernetes Monitoring Operator, è possibile utilizzare un proxy nel proprio ambiente in due punti. Questi possono essere sistemi proxy identici o separati:
-
Proxy necessario durante l'esecuzione del frammento di codice di installazione (utilizzando "curl") per connettere il sistema in cui viene eseguito il frammento all'ambiente Cloud Insights
-
Proxy necessario dal cluster Kubernetes di destinazione per comunicare con l'ambiente Cloud Insights
Se si utilizza un proxy per uno o entrambi questi, per installare il monitor operativo Kubernetes di NetApp è necessario prima assicurarsi che il proxy sia configurato per consentire una buona comunicazione con l'ambiente Cloud Insights. Ad esempio, dai server/VM da cui si desidera installare l'operatore, è necessario poter accedere a Cloud Insights e scaricare i file binari da Cloud Insights.
Per il proxy utilizzato per installare NetApp Kubernetes Operating Monitor, prima di installare l'operatore, impostare le variabili di ambiente http_proxy/https_proxy. Per alcuni ambienti proxy, potrebbe essere necessario impostare la variabile no_proxy environment.
Per impostare le variabili, eseguire le seguenti operazioni sul sistema prima dell'installazione di NetApp Kubernetes Monitoring Operator:
-
Impostare le variabili di ambiente https_proxy e/o http_proxy per l'utente corrente:
-
Se il proxy da configurare non dispone dell'autenticazione (nome utente/password), eseguire il seguente comando:
export https_proxy=<proxy_server>:<proxy_port> .. Se il proxy da configurare dispone dell'autenticazione (nome utente/password), eseguire questo comando:
export http_proxy=<proxy_username>:<proxy_password>@<proxy_server>:<proxy_port>
-
Per il proxy utilizzato per la comunicazione del cluster Kubernetes con l'ambiente Cloud Insights, installare l'operatore di monitoraggio Kubernetes dopo aver letto tutte le istruzioni.
Configurare la sezione proxy di AgentConfiguration in operator-config.yaml prima di implementare NetApp Kubernetes Monitoring Operator.
agent:
...
proxy:
server: <server for proxy>
port: <port for proxy>
username: <username for proxy>
password: <password for proxy>
# In the noproxy section, enter a comma-separated list of
# IP addresses and/or resolvable hostnames that should bypass
# the proxy
noproxy: <comma separated list>
isTelegrafProxyEnabled: true
isFluentbitProxyEnabled: <true or false> # true if Events Log enabled
isCollectorsProxyEnabled: <true or false> # true if Network Performance and Map enabled
isAuProxyEnabled: <true or false> # true if AU enabled
...
...
Utilizzando un repository di docker personalizzato o privato
Per impostazione predefinita, l'operatore di monitoraggio di NetApp Kubernetes estrarrà le immagini container dal repository Cloud Insights. Se si utilizza un cluster Kubernetes come destinazione per il monitoraggio e tale cluster è configurato in modo da estrarre solo immagini container da un repository Docker personalizzato o privato o da un registro container, è necessario configurare l'accesso ai container richiesti dall'operatore di monitoraggio NetApp Kubernetes.
Eseguire il frammento Image Pull dalla sezione di installazione di NetApp Monitoring Operator. Questo comando effettua l'accesso al repository Cloud Insights, inserisce tutte le dipendenze dell'immagine per l'operatore e si disconnette dal repository Cloud Insights. Quando richiesto, inserire la password temporanea del repository fornita. Questo comando scarica tutte le immagini utilizzate dall'operatore, incluse le funzioni opzionali. Vedere di seguito per quali funzioni vengono utilizzate queste immagini.
Funzionalità principale dell'operatore e monitoraggio Kubernetes
-
monitoraggio netapp
-
kube-rbac-proxy
-
kube-state-metrics
-
telefono
-
distroless-root-user
Registro eventi
-
fluente
-
kubernetes-event-exportent
Mappa e performance di rete
-
ci-net-osservatore
Trasferire l'immagine del gestore nel repository del supporto privato/locale/aziendale in base alle policy aziendali. Assicurarsi che i tag delle immagini e i percorsi delle directory per queste immagini nel repository siano coerenti con quelli nel repository Cloud Insights.
Modificare l'implementazione dell'operatore di monitoraggio in operator-deployment.yaml e modificare tutti i riferimenti alle immagini per utilizzare il repository Docker privato.
image: <docker repo of the enterprise/corp docker repo>/kube-rbac-proxy:<kube-rbac-proxy version> image: <docker repo of the enterprise/corp docker repo>/netapp-monitoring:<version>
Modificare la configurazione dell'agente in operator-config.yaml in modo che rifletta la nuova posizione del responsabile del docker. Crea un nuovo imagePullSecret per il tuo repository privato; per ulteriori dettagli, consulta https://kubernetes.io/docs/tasks/configure-pod-container/pull-image-private-registry/
agent: ... # An optional docker registry where you want docker images to be pulled from as compared to CI's docker registry # Please see documentation for link:task_config_telegraf_agent_k8s.html#using-a-custom-or-private-docker-repository[using a custom or private docker repository]. dockerRepo: your.docker.repo/long/path/to/test # Optional: A docker image pull secret that maybe needed for your private docker registry dockerImagePullSecret: docker-secret-name
Istruzioni per OpenShift
Se si utilizza OpenShift 4.6 o versione successiva, è necessario modificare la configurazione dell'agente in operator-config.yaml per attivare l'impostazione runPrivileged:
# Set runPrivileged to true SELinux is enabled on your kubernetes nodes runPrivileged: true
OpenShift potrebbe implementare un ulteriore livello di sicurezza che potrebbe bloccare l'accesso ad alcuni componenti di Kubernetes.
Permessi
Se il cluster che si sta monitorando contiene risorse personalizzate che non hanno un ClusterRole che "aggregati da visualizzare", Sarà necessario concedere manualmente all'operatore l'accesso a queste risorse per monitorarle con i registri eventi.
-
Modificare operator-additional-permissions.yaml prima dell'installazione o dopo l'installazione modificare la risorsa ClusterRole/<namespace>-additional-permissions
-
Creare una nuova regola per gli apartGroup e le risorse desiderati con i verbi ["Get", "Watch", "list"]. Vedere https://kubernetes.io/docs/reference/access-authn-authz/rbac/
-
Applicare le modifiche al cluster