安全性
安裝或升級 NetApp Kubernetes 監控操作員之前
建議變更
PDF
安裝或升級 NetApp Kubernetes 監控操作員之前、請先閱讀此資訊
先決條件:
-
如果您使用自訂或私有泊塢視窗儲存庫、請遵循使用自訂或私有泊塢視窗儲存庫一節中的指示進行
-
Kubernetes版本1.20或更新版本支援NetApp Kubernetes監控操作員安裝。
-
當支援使用支援功能來監控後端儲存設備、而Kubernetes則搭配Docker Container執行時間使用時、即可顯示適用於NFS和iSCSI的Pod對PV對儲存設備對應和度量;其他執行時間則只顯示NFS Cloud Insights Cloud Insights 。
-
自2022年8月起、NetApp Kubernetes監控營運者將支援Pod安全政策(PSP)。如果您的環境使用 PSP 、則必須升級至最新的 NetApp Kubernetes Monitoring Operator 。
-
如果您是在 OpenShift 4.6 或更新版本上執行、則除了確保符合這些先決條件之外、還必須遵循下列 OpenShift 指示。
-
僅在 Linux 節點上安裝監控 Cloud Insights 支援監控執行 Linux 的 Kubernetes 節點、方法是指定 Kubernetes 節點選取器、以便在這些平台上尋找下列 Kubernetes 標籤:
平台 |
標籤 |
Kubernetes v1.20及更新版本 |
Kubernetes.IO/OS = Linux |
Rancher + Catchs.IO做為協調/ Kubernetes平台 |
Catin.IO/OS = Linux |
-
在執行Arm64架構的節點上、不支援NetApp Kubernetes監控操作員及其相依性(遠端連線、Kube-state度量、fluentbit等)。
-
下列命令必須可用: curl 、 kubectl 。選用的安裝步驟需要泊塢視窗命令。若要獲得最佳結果、請將這些命令新增至路徑。請注意、 Kubectl 至少需要設定為能夠存取下列 Kubernetes 物件:代理程式、叢集角色、叢集角色繫結、自訂資源定義、部署、 命名空間、角色、角色繫結、機密、服務帳戶、 和服務。請參閱此處以取得具有這些叢集角色最低權限的範例 .yaml 檔案。
-
您將用於 NetApp Kubernetes Monitoring Operator 安裝的主機必須設定為 kubectl 、才能與目標 K8s 叢集通訊、並可與 Cloud Insights 環境進行網際網路連線。
-
如果您在安裝期間或在操作要監控的 K8s 叢集時位於 Proxy 後方、請依照「設定 Proxy 支援」一節中的指示進行。
-
NetApp Kubernetes監控操作員會安裝自己的Kube-態 指標、以避免與任何其他執行個體發生衝突。為了準確地進行稽核和資料報告、強烈建議您使用網路時間傳輸協定( NTP )或簡易網路時間傳輸協定( SNTP )、同步代理機器上的時間。
-
如果您要重新部署操作員(亦即您正在更新或取代它)、則不需要建立 new API 權杖、您可以重新使用先前的權杖。
-
另請注意、如果您最近安裝了 NetApp Kubernetes Monitoring Operator 、並且使用可更新的 API 存取權杖、過期的權杖將會自動由新的 / 重新整理的 API 存取權杖取代。
-
網路監控:
-
需要 Linux 核心版本 4.18.0 及更新版本
-
不支援光子作業系統。
-
設定操作員
在較新版本的運算子中、最常修改的設定可在 AgentConfiguration 自訂資源中進行設定。您可以編輯 operer-config.yaml 檔案、在部署運算子之前編輯此資源。此檔案包含一些設定的註解範例。請參閱清單 "可用的設定" 適用於最新版的運算子。
您也可以使用下列命令在部署運算子之後編輯此資源:
kubectl -n netapp-monitoring edit AgentConfiguration 若要判斷您部署的營運者版本是否支援 AgentConfiguration 、請執行下列命令:
kubectl get crd agentconfigurations.monitoring.netapp.com 如果您看到「錯誤來自伺服器( NotFound )」訊息、則必須先升級您的營運商、才能使用 AgentConfiguration 。
開始之前要注意的重要事項
另請參閱 權限。
如果您是從先前的安裝升級、請閱讀 升級 資訊:
設定Proxy支援
您可以在兩個地方使用Proxy來安裝NetApp Kubernetes監控操作員。這些可能是相同或獨立的Proxy系統:
-
在執行安裝程式碼片段時(使用「Curl」)需要Proxy、以便將執行程式碼片段的系統連接Cloud Insights 至您的作業系統環境
-
目標Kubernetes叢集需要Proxy才能與Cloud Insights 您的支援環境進行通訊
如果您使用上述任一或兩者的 Proxy 、若要安裝 NetApp Kubernetes 作業系統監視器、您必須先確定您的 Proxy 已設定為允許與 Cloud Insights 環境進行良好的通訊。例如、從您想要安裝操作員的伺服器 / 虛擬機器、您必須能夠存取 Cloud Insights 、並能從 Cloud Insights 下載二進位檔。
對於用來安裝NetApp Kubernetes作業監視器的Proxy、請先設定_http代理伺服器/https代理伺服器環境變數、然後再安裝「運算子」。在某些Proxy環境中、您可能也需要設定_no_proxyEnvironments _變數。
若要設定變數、請在系統*安裝NetApp Kubernetes監控操作員之前*執行下列步驟:
-
為目前使用者設定_https_proxy_和/或_https_proxy_環境變數:
-
如果正在設定的Proxy沒有驗證(使用者名稱/密碼)、請執行下列命令:
export https_proxy=<proxy_server>:<proxy_port> .. 如果正在設定的Proxy具有驗證(使用者名稱/密碼)、請執行下列命令:
export http_proxy=<proxy_username>:<proxy_password>@<proxy_server>:<proxy_port>
-
若要讓Kubernetes叢集用於與Cloud Insights 您的環境進行通訊的Proxy、請在閱讀所有這些指示之後、安裝NetApp Kubernetes監控操作員。
在部署 NetApp Kubernetes Monitoring Operator 之前、請先在 operator-config.yaml 中設定 AgentConfiguration 的 Proxy 區段。
agent:
...
proxy:
server: <server for proxy>
port: <port for proxy>
username: <username for proxy>
password: <password for proxy>
# In the noproxy section, enter a comma-separated list of
# IP addresses and/or resolvable hostnames that should bypass
# the proxy
noproxy: <comma separated list>
isTelegrafProxyEnabled: true
isFluentbitProxyEnabled: <true or false> # true if Events Log enabled
isCollectorsProxyEnabled: <true or false> # true if Network Performance and Map enabled
isAuProxyEnabled: <true or false> # true if AU enabled
...
...
使用自訂或私有泊塢視窗儲存庫
根據預設、 NetApp Kubernetes Monitoring Operator 會從 Cloud Insights 儲存庫中提取容器影像。如果您使用 Kubernetes 叢集做為監控目標、且該叢集設定為僅從自訂或私有 Docker 儲存庫或容器登錄中提取容器映像、則必須設定對 NetApp Kubernetes Monitoring Operator 所需容器的存取權。
從 NetApp Monitoring Operator 安裝方塊執行「影像提取片段」。此命令會登入 Cloud Insights 儲存庫、擷取操作員的所有映像相依性、然後登出 Cloud Insights 儲存庫。出現提示時、請輸入提供的儲存庫暫存密碼。此命令會下載操作員所使用的所有影像、包括選用功能。請參閱下方、瞭解這些影像的用途。
核心營運者功能與 Kubernetes 監控
-
NetApp 監控
-
Kube-RBAC 代理程式
-
Kube-state 指標
-
Telegraf
-
無 distrouse-root 使用者
事件記錄
-
Fluent 位元
-
Kubernetes-event-Exporter
網路效能與地圖
-
CI-net-觀察者
根據您的企業原則、將「operator」泊塢視窗影像推送到您的「私有/本機/企業」泊塢視窗儲存庫。確保儲存庫中這些映像的映像標記和目錄路徑與 Cloud Insights 儲存庫中的映像標記和目錄路徑一致。
在 operer-deployment.yaml 中編輯監控營運者部署、並修改所有映像參照以使用您的私有 Docker 儲存庫。
image: <docker repo of the enterprise/corp docker repo>/kube-rbac-proxy:<kube-rbac-proxy version> image: <docker repo of the enterprise/corp docker repo>/netapp-monitoring:<version>
在 operer-config.yaml 中編輯 AgentConfiguration 、以反映新的泊塢視窗 repo 位置。為您的私有儲存庫建立新的 imagePullSecret 、如需詳細資料、請參閱 https://kubernetes.io/docs/tasks/configure-pod-container/pull-image-private-registry/
agent: ... # An optional docker registry where you want docker images to be pulled from as compared to CI's docker registry # Please see documentation link here: https://docs.netapp.com/us-en/cloudinsights/task_config_telegraf_agent_k8s.html#using-a-custom-or-private-docker-repository dockerRepo: your.docker.repo/long/path/to/test # Optional: A docker image pull secret that maybe needed for your private docker registry dockerImagePullSecret: docker-secret-name
OpenShift指示
如果您是在 OpenShift 4.6 或更新版本上執行、則必須在 operer-config.yaml 中編輯 AgentConfiguration 、才能啟用 runPrivileged 設定:
# Set runPrivileged to true SELinux is enabled on your kubernetes nodes runPrivileged: true
OpenShift可能會實作額外的安全層級、以封鎖對某些Kubernetes元件的存取。
權限
如果您所監控的叢集包含的自訂資源沒有 ClusterRole "要檢視的集合體",您需要手動授予操作員對這些資源的存取權,以便使用事件日誌來監控這些資源。
-
在安裝之前或安裝之後、請先編輯 operer-adder-permissions.yaml 、然後編輯資源 <namespace> 附加權限 _
-
使用動詞 ["Get" 、 "watch " 、 "list" 建立所需的組和資源的新規則。請參閱 https://kubernetes.io/docs/reference/access-authn-authz/rbac/
-
將變更套用至叢集
公差和污染
NetApp-CI-telegraf-DS 、 NetApp-CI-Fluent-bit-DS 和 NetApp-CI-net-觀察者 -L4-DS 示範必須在叢集中的每個節點上排程一個 Pod 、以便正確收集所有節點上的資料。已將操作員配置爲允許某些已知的 * 污點 * 。如果在節點上配置了任何自定義污點,從而阻止 Pod 在每個節點上運行,則可以爲這些污點創建一個 *公差 * "在 AgentConfiguration 中"。如果您已將自訂污點套用至叢集中的所有節點、您也必須在操作員部署中新增必要的容錯功能、以便排程及執行操作員 Pod 。
深入瞭解 Kubernetes "污染與容許"。