Kaspersky Symphony XDR: Open Single Management Platform

Развертывание на нескольких узлах: подготовка устройства администратора и целевых устройств

Подготовка к развертыванию на нескольких узлах включает настройку устройства администратора и целевых устройств. После подготовки устройств и указания конфигурационного файла вы сможете развернуть Open Single Management Platform на целевых устройствах с использованием KDT.

Подготовка устройства администратора

Предварительно вам нужно подготовить устройство, которое будет выполнять роль устройства администратора, с которого будет запускаться KDT. Это устройство может быть включено или не включено в кластер Kubernetes, созданный с помощью KDT во время развертывания. Если устройство администратора не включено в кластер, оно будет использоваться только для развертывания и управления кластером Kubernetes и Open Single Management Platform. Если устройство администратора включено в кластер, оно также будет действовать как целевое устройство, которое используется для работы компонентов Open Single Management Platform.

Чтобы подготовить устройство администратора:

1. Убедитесь, что оборудование и программное обеспечение на устройстве администратора соответствуют требованиям для KDT.
2. Выделите не менее 10 ГБ свободного места в директории временных файлов (/tmp) для KDT. Если у вас недостаточно свободного места в этой директории, выполните следующую команду, чтобы указать путь к другой директории:

   export TMPDIR=<new_directory>/tmp

3. Установите пакет для Docker версии 23 или выше, а затем выполните действия после установки, чтобы настроить устройство администрирования для правильной работы с Docker.

   Не устанавливайте неофициальные версии пакета Docker из хранилищ операционных систем.

4. Для устройства администратора, которое будет включено в кластер, выполните дополнительные подготовительные шаги.

   Просмотреть информацию

   1. Поскольку устройство будет действовать как устройство администратора и целевое устройство, убедитесь, что оно соответствует требованиям для развертывания на одном узле (так как демонстрационное развертывание и развертывание на одном узле имеют схожую схему развертывания).
   2. Убедитесь, что на устройстве администратора поддерживается технология cgroup v2.

      Технология cgroup v2 поддерживается для версии ядра Linux 2.6.24 и выше.

   3. Установите пакет uidmap на устройстве администратора.

      Убедитесь, что файлы /etc/subgid и /etc/subuid содержат учетную запись пользователя, под которой будет запущен KDT. Для этого вы можете выполнить следующую команду:

      getsubids USER

      Если эта команда не возвращает результат, вам нужно вручную добавить учетную запись пользователя в файлы /etc/subgid и /etc/subuid в следующем формате:

      <username>:<min_subid>:<range_length>

      где

      • <username> – имя пользователя учетной записи, под которым будет запущен KDT.
      • <min_subid> – минимальное значение subuid.
      • <range_length> – количество subuid, выделенных для пользователя <username>.

Подготовка целевых устройств

Целевые устройства – это физические или виртуальные машины, которые используются для развертывания Open Single Management Platform и которые включены в кластер Kubernetes. Компоненты Open Single Management Platform работают на этих устройствах.

Одно из целевых устройств может быть использовано в качестве устройства администратора. В этом случае вам необходимо подготовить это устройство в качестве устройства администратора, как описано в предыдущей процедуре, а затем выполнить подготовку для целевого устройства.

Минимальная конфигурация кластера для развертывания на нескольких узлах включает четыре узла:

• Один первичный узел.

  Первичный узел предназначен для управления кластером, хранения метаданных и распределения рабочей нагрузки.

• Три рабочих узла.

  Рабочие узлы предназначены для выполнения рабочей нагрузки компонентов Open Single Management Platform.

  Для оптимального распределения нагрузки между узлами рекомендуется использовать узлы с примерно одинаковой производительностью.

  Вы можете установить СУБД внутри кластера Kubernetes при выполнении демонстрационного развертывания Open Single Management Platform. В этом случае выделите дополнительный рабочий узел для установки СУБД. KDT установит СУБД во время развертывания Open Single Management Platform.

  Для развертывания на нескольких узлах, рекомендуется установить СУБД на отдельный сервер вне кластера. После развертывания Open Single Management Platform замена СУБД, которая установлена внутри кластера, на СУБД, установленную на отдельном сервере, недоступна. Вам необходимо удалить все компоненты Open Single Management Platform и снова установить Open Single Management Platform. В этом случае данные будут потеряны.

Чтобы подготовить целевые устройства:

1. Убедитесь, что оборудование и программное обеспечение на целевых устройствах соответствуют требованиям для развертывания на нескольких узлах и целевые устройства расположены в одном широковещательном домене.

   Для правильной работы Open Single Management Platform версия ядра Linux должна быть 5.15.0.107 или выше на целевых устройствах с операционной системой семейства Ubuntu.

   Docker не должен быть установлен на целевых устройствах, кроме целевого устройства, которое будет использоваться в качестве устройства администратора. KDT установит все необходимое программное обеспечение и зависимости во время развертывания.

2. На каждом целевом устройстве установите пакет sudo, если этот пакет еще не установлен. Для операционных систем семейства Debian установите пакет UFW на целевые устройства.
3. На каждом целевом устройстве настройте файл /etc/environment. Если инфраструктура вашей организации использует прокси-сервер для доступа в интернет, подключите целевые устройства к интернету.
4. На первичном узле с конфигурацией UFW разрешите IP-переадресацию. В файле /etc/default/ufw установите для параметра DEFAULT_FORWARD_POLICY значение ACCEPT.
5. Предоставьте доступ к хранилищу пакетов. Это хранилище содержит следующие пакеты, необходимые для работы Open Single Management Platform:
   • nfs-common
   • tar
   • iscsi-package
   • wireguard
   • wireguard-tools

   KDT попытается установить эти пакеты во время развертывания из хранилища пакетов. Также эти пакеты можно установить вручную.

6. Для первичного узла убедитесь, что установлен пакет curl.
7. Для рабочих узлов убедитесь, что установлен пакет libnfs версии 12 и выше.

   Пакеты curl и libnfs не устанавливаются во время развертывания из хранилища пакетов с помощью KDT. Вам нужно установить эти пакеты вручную, если они еще не установлены.

8. Зарезервируйте статические IP-адреса для целевых устройств для шлюза кластера Kubernetes и для устройства с СУБД (если СУБД установлена внутри кластера).

   Шлюз Kubernetes предназначен для подключения компонентов Open Single Management Platform, установленных внутри кластера Kubernetes. IP-адрес шлюза соединения указан в конфигурационном файле.

   Для стандартного использования решения, когда вы устанавливаете СУБД на отдельный сервер, IP-адрес шлюза соединения – это IP-адрес в нотации CIDR, которая содержит маску подсети /32 (например, 192.168.0.0/32).

   Для демонстрационных целей, когда вы устанавливаете СУБД внутри кластера Kubernetes, IP-адрес шлюза является IP-диапазоном (например, 192.168.0.1–192.168.0.2).

   Убедитесь, что целевые устройства, шлюз соединения кластера Kubernetes и устройство с СУБД находятся в одном широковещательном домене.

9. На своем DNS-сервере зарегистрируйте FQDN служб для подключения к службам Open Single Management Platform.

   По умолчанию службы Open Single Management Platform доступны по следующим адресам:

   • <console_host>.<smp_domain> – доступ к интерфейсу Консоли OSMP.
   • <admsrv_host>.<smp_domain> – взаимодействие с Сервером администрирования.
   • <kuma_host>.<smp_domain> – доступ к интерфейсу Консоли KUMA.
   • <api_host>.<smp_domain> – доступ к API Open Single Management Platform.
   • <psql_host>.<smp_domain> – взаимодействие с СУБД (PostgreSQL).

     Где <console_host>, <admsrv_host>, <kuma_host>, <api_host> и <psql_host> являются именами устройств сервисов, <smp_domain> является доменным именем сервиса. Эти параметры являются частями сервисов FQDN, которые вы можете указать в конфигурационном файле. Если вы не указываете пользовательские значения имен служб устройств, используются значения по умолчанию: console_host – "console", admsrv_host – "admsrv", kuma_host – "kuma", api_host – "api", psql_host – "psql".

     Зарегистрируйте FQDN службы <psql_host>.<smp_domain>, если вы установили СУБД внутри кластера Kubernetes на узле СУБД и вам нужно подключиться к СУБД.

   В зависимости от того, где вы хотите установить СУБД, перечисленные FQDN служб должны быть преобразованы в IP-адрес кластера Kubernetes следующим образом:

   • СУБД на отдельном сервере (стандартное использование).

     В этом случае IP-адрес шлюза соединения – это адрес служб Open Single Management Platform (без учета IP-адреса СУБД). Например, если указан IP-адрес шлюза соединения 192.168.0.0/32, FQDN службы должны быть разрешаться следующим образом:

     • <console_host>.<smp_domain> – 192.168.0.0/32
     • <admsrv_host>.<smp_domain> – 192.168.0.0/32
     • <kuma_host>.<smp_domain> – 192.168.0.0/32
     • <api_host>.<smp_domain> – 192.168.0.0/32
   • СУБД внутри кластера Kubernetes (демонстрационное развертывание).

     В этом случае IP-адрес шлюза соединения представляет собой IP-диапазон. Первый IP-адрес диапазона – это адрес служб Open Single Management Platform (без учета IP-адреса СУБД). Второй IP-адрес диапазона – IP-адрес СУБД. Например, если указан IP-диапазон шлюза соединения 192.168.0.1–192.168.0.2, FQDN служб должны быть разрешены следующим образом:

     • <console_host>.<smp_domain> – 192.168.0.1
     • <admsrv_host>.<smp_domain> – 192.168.0.1
     • <kuma_host>.<smp_domain> – 192.168.0.1
     • <api_host>.<smp_domain> – 192.168.0.1
     • <psql_host>.<smp_domain> – 192.168.0.2
10. На целевых устройствах создайте учетные записи, которые будут использоваться для развертывания Open Single Management Platform.

    Эти учетные записи используются для SSH-соединения и должны иметь возможность повышать привилегии (sudo) без ввода пароля. Для этого добавьте созданные учетные записи пользователей в файл /etc/sudoers.

11. Настройте SSH-соединение между устройством администратора и целевыми устройствами:
    1. На устройстве администратора сгенерируйте SSH-ключи с помощью утилиты ssh-keygen без парольной фразы.
    2. Скопируйте открытый ключ на каждое целевое устройство (например, в директории /home/<имя_пользователя>/.ssh) с помощью утилиты ssh-copy-id.

       Если вы используете целевое устройство в качестве устройства администратора, вам нужно скопировать на него открытый ключ.

12. Для корректной работы компонентов Open Single Management Platform обеспечьте сетевой доступ между целевыми устройствами и при необходимости откройте требуемые порты на сетевом экране устройства администратора и целевых устройств.
13. Настройте синхронизацию времени по протоколу Network Time Protocol (NTP) на устройстве администратора и целевых устройствах.
14. При необходимости подготовьте пользовательские сертификаты для работы с публичными службами Open Single Management Platform.

    Вы можете использовать один промежуточный сертификат, выданный на основе корневого сертификата организации, или конечные сертификаты для каждой службы. Подготовленные пользовательские сертификаты будут использоваться вместо самоподписанных сертификатов.