ЕдиныйАгент Привилегии для мониторинга контейнеров

Материал из Документация Ключ-АСТРОМ

Ключ-АСТРОМ поддерживает мониторинг полного стека для контейнерных платформ, от приложения до уровня инфраструктуры. Для этого требуются повышенные привилегии для получения метрик на уровне контейнера и выполнения глубокого мониторинга узлов, включая внедрение ЕдиногоАгента в процессы.

Однако, если вы не хотите предоставлять повышенные привилегии ЕдиномуАгенту или у вас нет доступа к уровню инфраструктуры, вы можете использовать мониторинг только приложений.

Для Kubernetes мониторинг только приложений на основе Ключ-АСТРОМ Operator по-прежнему предоставляет хороший объем данных, таких как понимание на уровне узла (базовые метрики и оповещения) на основе данных, полученных ActiveGate из Kubernetes API, или метрик Prometheus.

Инъекция полного стека

Контейнер ЕдиныйАгент и базовый хост совместно используют выбранные пространства имен Linux, чтобы ЕдиныйАгент мог получить доступ к данным, необходимым для мониторинга полного стека:

  • Общее сетевое пространство имен позволяет процессам, работающим внутри контейнера, напрямую обращаться к сетевым интерфейсам хоста.
  • Общее пространство имен PID позволяет процессам, работающим внутри контейнера, видеть и работать со всеми процессами из таблицы хост-процессов.
  • Доступ к корневой файловой системе смонтированного хоста осуществляется всеми модулями ЕдиногоАгента, что обеспечивает доступ к файлам журналов, дисковым метрикам и другим возможностям полного стека мониторинга.

Во время мониторинга объем необходимых разрешений для каждого процесса ограничивается определенными системными возможностями Linux.

Вы можете добиться внедрения полного стека, используя следующие режимы развертывания:

  • Оператор Ключ-АСТРОМ в Kubernetes/OpenShift
    • Облачный режим полного стека
    • Классический режим полного стека
  • Docker вне контейнерной платформы
    • ЕдиныйАгент как контейнер Docker

ЕдиныйАгент на хосте Docker

Кроме того, вы также можете развернуть ЕдиныйАгент на хосте Docker в Linux. В этом сценарии ЕдиныйАгент запускается не в контейнере, а непосредственно на узле, поэтому изоляция пространства имен Linux отсутствует. Дополнительные сведения см. в разделе ЕдиныйАгент для Linux.

Инъекция только для приложения

ЕдиныйАгент, развернутый в режиме только для приложений, не работает как привилегированный контейнер.

Для получения дополнительной информации см:

Настройте мониторинг только приложений в Kubernetes/OpenShift

Разверните ЕдиныйАгент в IBM Cloud Foundry для мониторинга только приложений

Настройте ЕдиныйАгент в контейнерах для мониторинга только приложений