Подготовка устройства администратора и целевых устройств

Выберите устройство администратора, которое используется для развертывания и управления кластером Kubernetes и Kaspersky SMP. Целевые устройства входят в кластер Kubernetes и выполняют рабочую нагрузку компонентов Kaspersky SMP. Kaspersky SMP развернут на целевых устройствах с помощью KDT. KDT работает на устройстве администратора и подключается к целевым устройствам с помощью SSH.

Перед установкой Kaspersky SMP рекомендуется выполнить следующую команду на устройстве администратора и на целевом устройстве:
apt update

Подготовка устройства администратора

Чтобы подготовить устройство администратора:

  1. Подготовьте устройство, которое будет выполнять роль устройства администратора, с которого будет запускаться KDT.

    Устройство администратора не будет включено в кластер Kubernetes, созданный KDT при развертывании.

    Убедитесь, что оборудование и программное обеспечение на устройстве администратора соответствуют требованиям для KDT.

    На устройстве администратора выделите не менее 10 ГБ свободного места в папке временных файлов (/tmp) для KDT. Если у вас недостаточно свободного места в этой папке, выполните следующую команду, чтобы указать путь к другой директории:

    export TMPDIR=<new_directory>/tmp

  2. Установите пакет для Docker версии 20 или выше, а затем выполните действия после установки, чтобы настроить устройство администрирования для правильной работы с Docker.

Подготовка целевых устройств

Чтобы подготовить целевые устройства:

  1. Подготовьте физические или виртуальные машины, на которых будет развернут Kaspersky SMP.

    Минимальная конфигурация кластера для распределенного развертывания включает четыре узла:

    • Один первичный узел

      Первичный узел предназначен для управления кластером, хранения метаданных и распределения рабочей нагрузки.

    • Три рабочих узла

      Рабочие узлы предназначены для выполнения рабочей нагрузки компонентов Kaspersky SMP.

      Для оптимального распределения вычислительных ресурсов рекомендуется использовать узлы с одинаковыми ресурсами.

      Вы можете установить СУБД внутри кластера Kubernetes при выполнении демонстрационного развертывания Kaspersky SMP. В этом случае выделите дополнительный рабочий узел для установки СУБД. KDT установит СУБД во время развертывания Kaspersky SMP.

      Рекомендуется установить СУБД на отдельный сервер вне кластера.
      После развертывания Kaspersky SMP замена СУБД, которая установлена внутри кластера, на СУБД, установленную на отдельном сервере, недоступна. Вам необходимо удалить все компоненты Kaspersky SMP и снова установить Kaspersky SMP. В этом случае данные будут потеряны.

    Минимальная конфигурация кластера для развертывания с одним узлом включает одно целевое устройство, которое действует как первичный и рабочий узлы. На этом целевом устройстве установлен кластер Kubernetes и компоненты Kaspersky SMP.

    Убедитесь, что аппаратное и программное обеспечение на целевых устройствах соответствуют требованиям для выбранного параметра развертывания (распределенное развертывание или развертывание на одном узле) и целевые устройства расположены в одном широковещательном домене.

    Для правильной работы Kaspersky SMP версия ядра Linux должна быть 5.15.0.107 или более поздней на целевых устройствах с операционными системами семейства Ubuntu.

    Не устанавливайте Docker на выбранные целевые устройства. KDT установит все необходимое программное обеспечение и зависимости во время развертывания.

  2. На каждом целевом устройстве установите пакет sudo, если этот пакет еще не установлен. Для операционных систем семейства Debian установите пакет UFW на целевые устройства.
  3. На каждом целевом устройстве настройте файл /etc/environment, если инфраструктура вашей организации использует прокси-сервер для доступа в интернет, а также если вам необходимо подключить целевые устройства к интернету.
  4. На первичном узле с конфигурацией UFW разрешите IP-переадресацию. В файле /etc/default/ufw установите для параметра DEFAULT_FORWARD_POLICY значение ACCEPT.
  5. Предоставьте доступ к хранилищу пакетов, в котором находятся пакеты, необходимые для работы Kaspersky SMP:
    • nfs-common
    • tar
    • iscsi-package
    • wireguard
    • wireguard-tools

    KDT попытается установить эти пакеты во время развертывания из хранилища пакетов. Также эти пакеты можно установить вручную.

  6. Убедитесь, что пакет curl установлен на первичном узле (или на первичном/рабочем узле, если вы выполняете развертывание на одном узле).
  7. Убедитесь, что пакет libnfs12 установлен на рабочих узлах (или на первичном/рабочем узле, если вы выполняете развертывание на одном узле).

    Пакеты curl и libnfs12 не устанавливаются во время развертывания из хранилища пакетов с помощью KDT. Вам нужно установить эти пакеты вручную, если они еще не установлены.

  8. Зарезервируйте статические IP-адреса для целевых устройств для шлюза кластера Kubernetes и СУБД (если СУБД установлена внутри кластера).

    Кластерный шлюз Kubernetes предназначен для подключения компонентов Kaspersky SMP, установленных внутри кластера Kubernetes.

  9. На своем DNS-сервере зарегистрируйте имена доменов для подключения к службам Kaspersky SMP.

    По умолчанию службы Kaspersky SMP доступны по следующим адресам:

    • console.<smp_domain> – доступ к функционалу Консоли Kaspersky SMP.
    • admsrv.<smp_domain> – доступ к функционалу Сервера администрирования.
    • kuma.<smp_domain> – доступ к функционалу KUMA.
    • api.<smp_domain> – доступ к функциональности Kaspersky SMP API.
    • psql.<smp_domain> – взаимодействие с СУБД (PostgreSQL).

      Зарегистрируйте имя домена psql.<smp_domain>, если вы установили СУБД внутри кластера Kubernetes на узле СУБД и вам нужно подключиться к СУБД.

    Перечисленные имена доменов должны соответствовать IP-адресу шлюза кластера Kubernetes. Если вы устанавливаете СУБД внутри кластера, IP-адрес шлюза является IP-диапазоном. Первый IP-адрес диапазона – это адрес служб Kaspersky SMP (без учета IP-адреса СУБД). Второй IP-адрес диапазона – IP-адрес СУБД.

  10. На целевых устройствах создайте учетные записи пользователей, которые будут использоваться для развертывания Kaspersky SMP.

    Эти учетные записи используются для SSH-соединения и должны иметь возможность повышать привилегии (sudo) без ввода пароля. Для этого добавьте созданные учетные записи пользователей в файл /etc/sudoers.

  11. Настройте SSH-подключение между устройством администратора и целевыми устройствами:
    1. На устройстве администратора сгенерируйте SSH-ключи с помощью утилиты ssh-keygen.
    2. После создания пары SSH-ключей скопируйте открытый ключ на каждое целевое устройство (например, в каталог /home/<имя_пользователя>/.ssh).
  12. Для корректной работы компонентов Kaspersky SMP обеспечьте сетевой доступ между целевыми устройствами и при необходимости откройте требуемые порты на сетевом экране устройства администратора и целевых устройств.
  13. Настройте синхронизацию времени по протоколу Network Time Protocol (NTP) на устройстве администратора и целевых устройствах.
  14. При необходимости подготовьте пользовательские сертификаты для работы с публичными службами Kaspersky SMP.

    Вы можете использовать один промежуточный сертификат, выданный на основе корневого сертификата организации или конечных сертификатов для каждой службы. Подготовленные пользовательские сертификаты будут использоваться вместо самоподписанных сертификатов.

В начало