Установка АктивногоШлюза на Linux
Требования к установке
Аппаратные требования
Вам нужна машина, предназначенная для АктивногоШлюза, которая имеет:
- 4 ГБ свободного места на диске для установки АктивногоШлюза и расширений, настройки и журналов для автоматического обновления.
- 4 ГБ для кэшированных установщиков АктивногоШлюза и ЕдиногоАгента и образов контейнеров — если их нужно будет хранить.
- Место для файлов дампа — если их нужно будет сохранить. Эта функция отключена по умолчанию, но ее можно включить в конфигурации АктивногоШлюза. Максимальный размер дискового пространства настраивается — по умолчанию 100 ГБ.
- Место для загрузки расширений — в зависимости от используемых расширений.
- 2 ГБ оперативной памяти (рекомендуется 4 ГБ).
- 1 двухъядерный процессор.
Для больших сред вам может понадобиться машина с дополнительным процессором и памятью.
Требования к пространству по каталогам
| Каталог верхнего уровня | Требования к дисковому пространству |
|---|---|
| Исполняемые файлы АктивногоШлюза и автообновления, библиотеки и сопутствующие файлы
стандартный каталог: относительно параметра установки: |
300 МБ |
| Конфигурация АктивногоШлюза и связанные каталоги
Для АктивногоШлюза Окружения он также содержит конфигурацию Extensions 1.0 и Extensions 2.0. стандартный каталог: относительно параметра установки: |
2 МБ |
Только для АктивногоШлюза Окружения: Исполняемые файлы Extensions 1.0 и Extensions 2.0, библиотеки и связанные файлы по умолчанию: /opt/AstromKey/remotepluginmodule
относительно параметра установки: |
350 МБ |
| Журналы АктивныхШлюзов и автообновления
стандартный каталог: параметр установки: |
700 MB |
| Каталог пакетов АктивногоШлюза для загрузки установщика автоматического обновления
стандартный каталог: параметр установки: |
500 MB |
| Временные файлы АктивногоШлюза
default: путь относительно параметра установки: |
4 ГБ (включая 3 ГБ для кэшированных установщиков ЕдиногоАгента и образов контейнеров) |
| Файлы дампа, загруженные в АктивныйШлюз ЕдинымАгентом
|
Функциональность отключена по умолчанию, не настраивается во время установки.
При активации может принимать настраиваемый максимальный размер: по умолчанию 100 ГБ. |
| Только для АктивногоШлюза Окружения: журналы расширений 1.0 и 2.0 АктивногоШлюза, кэш, рабочая область во время выполнения
стандартный каталог: путь относительно параметра установки: |
2 ГБ |
| Только для АктивногоШлюза Окружения: Каталог загрузки расширений
стандартный каталог: путь относительно параметра установки: |
В зависимости от загруженных расширений |
Поддерживаемые операционные системы
| Дистрибутив Linux | Версии | Архитектуры ЦП |
|---|---|---|
| Amazon Linux 2 | Поддерживаются все версии | x86-64 |
| Amazon Linux AMI | 2018.3 | x86-64 |
| CentOS | 7.9 | x86-64 |
| Oracle Linux | 7.9, 8.4 | x86-64 |
| Red Hat Enterprise Linux | 7.9, 8.4, 8.6, 9.0 | x86-64 |
| SUSE Enterprise Linux | 15.1, 15.2, 15.3 | x86-64 |
| Ubuntu | 14.04, 16.04, 18.04, 20.04, 22.04 | x86-64 |
| RedOS | 7.2, 7.3 | x86-64 |
| Астра Линукс* | 1.7 LTS | x86-64 |
*не поддерживается автообновление. Обновление Активного шлюза осуществляется в ручном режиме
Системные требования
- АктивныйШлюз поддерживает только операционные системы, работающие на архитектуре x86-64 (64-битные Intel/AMD).
- Убедитесь, что у вас правильная конфигурация сетевого порта.
- Ваша операционная система должна обрабатывать не менее 500 000 открытых файлов для пользователя
dtuserag. Чтобы просмотреть системный лимит, выполните следующую команду:[user@host]# cat /proc/sys/fs/file-max. Кроме того, возможно, вы проверили слишком много открытых файлов в Linux. - В вашей операционной системе должно быть не менее 20 000 процессов, доступных пользователю
dtuserag. Чтобы просмотреть ограничение системы, выполните следующую команду:[user@host]# cat /proc/sys/kernel/pid_max. - Программа установки АктивногоШлюза не поддерживает ACL (список управления доступом). Правила ACL могут запретить доступ к каталогам и файлам, созданным установщиком, из-за чего АктивныйШлюз не запустится. Если вы используете ACL, правила, относящиеся к каталогам установки, определенным в следующих параметрах, должны быть отключены:
INSTALL=↵CONFIG=↵LOG=↵TEMP=↵PACKAGES_DIR=
Размеры AWS
В таблице представлены требования к размеру экземпляра машины в зависимости от количества агентов ЕдиныхАгентов, взаимодействующих с АктивнымШлюзом. На каждом хосте ЕдиныйАгент выполняет семь задач мониторинга:
- Мониторинг инфраструктуры
- Мониторинг логов
- Полный стек мониторинга 3 экземпляров Apache Tomcat
- Полный стек мониторинга 2 экземпляров HTTP-сервера Apache
| Размер машины | Количество хостов |
|---|---|
| c4.large | 450 |
| c4.xlarge | 900 |
| c4.2xlarge | 1200 |
Экземпляры машин С4:
| Машина | vCPU | Память (ГБ) | Хранилище | Выделенная пропускная способность EBS (Мбит/с) | Производительность сети |
|---|---|---|---|---|---|
| c4.large | 2 | 3.75 | EBS-Only | 500 | Умеренная |
| c4.xlarge | 4 | 7.5 | EBS-Only | 750 | Высокая |
| c4.2xlarge | 8 | 15 | EBS-Only | 1,000 | Высокая |
Установка АктивногоШлюза
Разрешите подключения через брандмауэр
Убедитесь, что настройки вашего брандмауэра разрешают связь с Ключом-Астром.
В зависимости от политики вашего брандмауэра вам может потребоваться явно разрешить определенные исходящие соединения.
АктивныйШлюз обычно прослушивает (принимает входящие соединения) порт 9999 и взаимодействует с Ключом-Астром (устанавливает исходящие соединения) через порт 443.
Установка
- Войдите в Ключ-Астром, выберите Развернуть Ключ-Астром в меню навигации и выберите Установить АктивныйШлюз.
- На странице Установка АктивногоШлюза Окружения выберите Linux.
- Выберите цель АктивногоШлюза.
- Предоставьте PaaS-токен. Он необходим для загрузки установщика АктивногоШлюза из вашей среды. Если у вас нет токена PaaS, вы можете создать его прямо в пользовательском интерфейсе. Токен автоматически добавляется к командам загрузки и установки, которые вы будете использовать позже.
- Скачайте установщик по скопированной
wget-команде или по ссылке. - Проверьте подпись. Дождитесь завершения загрузки. Затем проверьте подпись, скопировав команду из второго текстового поля Проверить подпись и вставив ее в окно терминала.
- Скопируйте команду установки АктивногоШлюза с указанной целью в терминал.
Конфигурация установки
Вы можете добавить дополнительные параметры в команду установки, чтобы настроить установку. Например, чтобы установить АктивныйШлюз в другой каталог, используйте параметр INSTALL=<путь>:
[root@host]# /bin/bash AstromKey-ActiveGate-Linux-x86-1.0.0.sh INSTALL=/hosted_app/AstromKey
Прозвон АктивногоШлюза
После подключения АктивногоШлюза установка завершается, и ЕдиныйАгент перенастраивается для отправки данных мониторинга через АктивныйШлюз.
Чтобы проверить статус установки, выберите Показать статус развертывания и перейдите на вкладку АктивныеШлюзы.
Стандартные настройки установщика
Если вы не укажете какие-либо параметры во время установки АктивногоШлюза для настройки параметров, будут применены следующие параметры по умолчанию.
Каталоги
| Цель каталога | Путь по умолчаниюПуть относительно параметра установки | Требования к дисковому пространству(если размер не указан, предположим, что он меньше 1 МБ) |
|---|---|---|
| Исполняемые файлы АктивногоШлюза, библиотеки и связанные файлы | /opt/AstromKey/gateway
|
300 МБ |
| Конфигурация АктивногоШлюза | /var/lib/AstromKey/gateway/config
|
|
| SSL-папка АктивногоШлюза | /var/lib/AstromKey/gateway/ssl
|
|
| Временные файлы АктивногоШлюза | /var/tmp/AstromKey/gateway
|
4 ГБ (включая 3 ГБ для кэшированных установщиков ЕдиныхАгентов и образов контейнеров) |
| Логи АктивногоШлюза | /var/log/AstromKey/gateway
|
500 МБ |
| Файлы дампа, загруженные в АктивныйШлюз ЕдинымАгентом | /var/lib/AstromKey/gateway/dump
|
Функциональность отключена по умолчанию. При активации может принимать настраиваемый максимальный размер: по умолчанию 100 ГБ. |
| Каталог пакетов АктивногоШлюза для загрузки установщика автоматического обновления | /var/lib/AstromKey/packages
|
500 МБ |
| Исполняемые файлы расширений 1.0 и 2.0 АктивногоШлюза, библиотеки и связанные файлы | /opt/AstromKey/remotepluginmodule
|
350 МБ |
| Конфигурация расширений 1.0 и 2.0 АктивногоШлюза, журналы, кеш, рабочая область во время выполнения | /var/lib/AstromKey/remotepluginmodule
|
2 ГБ (для журналов и аварийных дампов) |
| Каталог загрузки расширений АктивногоШлюза | /opt/AstromKey/remotepluginmodule/plugin_deployment/
|
В зависимости от загруженных расширений |
| zRemote исполняемые файлы, библиотеки и связанные файлы | /opt/AstromKey/zremote
Использование каталогов не по умолчанию не поддерживается. |
50 МБ |
| zRemote редактируемая пользователем постоянная конфигурация,
zRemote Рабочая область удаленного выполнения, отчеты о сбоях |
/var/lib/AstromKey/zremote/agent
Использование каталогов не по умолчанию не поддерживается. |
50 МБ |
| Логи zRemote | /var/lib/AstromKey/zremote/log
Установка АктивногоШлюзас zRemote в каталоги, отличные от каталогов по умолчанию, не поддерживается. |
200 МБ |
| Частные синтетические исполняемые файлы, библиотеки и связанные файлы | /opt/AstromKey/synthetic
|
270 МБ |
| Приватные синтетические логи | /var/log/AstromKey/synthetic
|
1 ГБ |
| Частные синтетические временные файлы | /var/tmp/AstromKey/synthetic
|
20 ГБ, в том числе
1 ГБ для 1 ГБ для |
| Автообновление | /opt/AstromKey/autoupdater
|
Включено в оценку исполняемых файлов АктивногоШлюза |
| Логи автообновления | /var/log/AstromKey/autoupdater
|
200 МБ |
Службы
| Название компонента | Наименование службы | Учетная запись пользователя | Описание |
| АктивныйШлюз | AstromKeygateway
|
по умолчанию: dtuserag
настраивается во время установки |
Основной сервис АктивногоШлюза. Присутствует для всех целей и функциональных модулей. |
| Автообновление АктивногоШлюза | AstromKeyautoupdater
|
root
|
Сервис автоматического обновления. Присутствует для всех целей и функциональных модулей АктивногоШлюза. |
| Расширения 1.0 (удаленный подключаемый модуль) | remotepluginmodule
|
как и для АктивногоШлюза | Сервис для функционального модуля Extensions 1.0. Присутствует на АктивныхШлюзах, установленных для мониторинга маршрутизации. Эта служба будет активной или неактивной в зависимости от конфигурации — настройки по умолчанию см. в описании модуля. |
| Расширения 2.0 | extensionsmodule
|
как и для АктивногоШлюза | Сервис для функционального модуля Extensions 2.0. Присутствует на АктивныхШлюзах, установленных для мониторинга маршрутизации. Эта служба будет активной или неактивной в зависимости от конфигурации — настройки по умолчанию см. в описании модуля. |
| zRemote | zremote
|
как и для АктивногоШлюза | Сервис для функционального модуля zRemote. Присутствует на АктивныхШлюзах, установленных с целью маршрутизации трафика z/OS в Ключ-Астром. |
| Синтетика | vuc
|
как и для АктивногоШлюза | Сервис для Синтетического функционального модуля. Присутствует на АктивныхШлюзах, установленных для запуска синтетических мониторов из частной локации. |
Пользователь, работающий со службой АктивногоШлюза
По умолчанию программа установки АктивногоШлюза использует пользователя dtuserag для запуска службы АктивногоШлюза. Этому пользователю не требуются привилегии root.
Если пользователь dtuserag еще не существует в системе, программа установки создаст его.
Использование портов
По умолчанию АктивныйШлюз:
- получает соединения от ЕдиныхАгентов или других АктивныхШлюзов через порт 9999
- получает API Ключ-Астром на порт 9999
- подключается к SaaS или Managed-кластеру через порт 443
Пользовательские настройки установщика
Вам не нужно указывать какие-либо параметры для команды установки, если только вам не нужно настроить такие параметры, как расположение каталогов, конфигурация прокси-сервера, сертификаты SSL и т. д. Для настройки таких параметров можно использовать параметры командной строки и переменные среды.
Синтаксис команды установки
AstromKey-ActiveGate-Linux-x86-<version>.sh [<параметр_1>=<значение_1>] [<параметр_2>=<значение_2>] ...
Пробелы между именем параметра и значением параметра (вокруг знака =) не допускаются в синтаксисе команды.
Конфигурация прокси
Конфигурация прокси должна быть указана в следующем формате. Это позволит настроить прокси АктивногоШлюза для всех исходящих соединений (в разделе конфигурации http.client):
PROXY=<схема_прокси><пользователь>:<пароль>@<сервер>:<порт>
Где:
- Все компоненты необязательны, кроме
<server>. - Если не указаны ни
<пользователь>, ни<пароль>, то символ @ следует опустить. <пароль>можно указать, только если указано имя пользователя.- ':' после
<user>можно указать, даже если часть пароля пуста. <схема_прокси>не является обязательной и может быть"http://"или"https://".<пользователь>является необязательным.<server>может быть IP-адресом или DNS-именем, но не путем. Например, если указано «1.2.3.4/textaferslash», будет извлечена только часть IP («1.2.3.4»). Косая черта и следующий за ней текст будут игнорироваться.<порт>является необязательным.
Конфигурация обратного прокси (балансировщика нагрузки)
На пути от АктивногоШлюза до Кластера можно разместить обратный прокси-сервер или балансировщик нагрузки. Это позволяет вашему АктивномуШлюзу подключаться к любому доступному узлу кластера, распределяя нагрузку между узлами.
Для этого вам необходимо:
- Указать адрес обратного прокси-сервера/балансировщика нагрузки.
- Убедитесь, что АктивныйШлюзбудет игнорировать любую дополнительную информацию о целевом адресе, отправленную из кластера, и, таким образом, будет подключаться только к указанному вами адресу.
Такие параметры конфигурации можно указать во время установки АктивногоШлюза, задав следующие параметры командной строки программе установки:
--ignore-cluster-runtime-info SERVER=<адрес_обратного_прокси>
Кроме того, вы можете настроить АктивныйШлюз после установки, внеся изменения в конфигурацию АктивногоШлюза.
Пользователь службы АктивногоШлюза
Чтобы указать пользователя, запускающего службу АктивногоШлюза, укажите следующую опцию командной строки:
USER=<user>
Установщик создает пользователя, если он еще не существует в системе и ему не требуются привилегии root. Если параметр не указан, установщик создает пользователя dtuserag для запуска службы АктивногоШлюза. Однако вы можете использовать USER=root, чтобы заставить службу работать от имени пользователя root. Примечание: параметр USER=root не поддерживается при установке синтетического АктивногоШлюза.
Ограничения для расположения каталогов и точек монтирования
<настраиваемый_каталог>/gateway, то есть INSTALL/gateway, CONFIG/gateway, LOG/gateway, TEMP/gateway, PACKAGES_DIR/gateway, не может быть родительским для другого настраиваемого каталога, то есть INSTALL, CONFIG, TEMP, LOG или PACKAGED_DIR.
Например, не указывайте:
INSTALL=/AstromKey
LOG=/AstromKey/gateway/logs
CONFIG=/AstromKey/gateway/config
TEMP=/AstromKey/gateway/tmp
Также не указывайте:
CONFIG=/var/lib/AstromKey
PACKAGES_DIR=/var/lib/AstromKey/gateway/packages
Однако разрешен общий родитель, например:
INSTALL=/example/apps
CONFIG=/example/configs
LOG=/example/logs
TEMP=/example/tmp
Точки монтирования
В процессе установки АктивныйШлюз создает подкаталоги в своих каталогах верхнего уровня. Если вы использовали параметры INSTALL или CONFIG для указания путей, АктивныйШлюз создаст свои подкаталоги по указанным путям. Не создавайте точки монтирования для этих подкаталогов, созданных установщиком. Вы можете монтировать только каталоги верхнего уровня по умолчанию или указанные вами каталоги верхнего уровня.
Например, если вы указали следующий параметр INSTALL:
INSTALL=/opt/MyActiveGate
Программа установки АктивногоШлюза создаст подкаталог gateway в указанном вами пути установки: /opt/MyActiveGate/gateway
Как результат:
- Точка монтирования
/opt/MyActiveGateКОРРЕКТНА. - Точка монтирования
/opt/MyActiveGate/gatewayНЕКОРРЕКТНА.
Использование /temp или /tmp
Из-за возможной автоматической очистки мы рекомендуем вам не использовать каталоги /temp или /tmp или их подкаталоги для установки АктивногоШлюза или хранения каких-либо данных, сгенерированных или используемых АктивнымШлюзом.
Каталог установки
INSTALL=<directory>
Сохраняет установочные файлы в указанном каталоге. Значение по умолчанию для этого параметра (если оно не указано) — /opt/AstromKey. Этот параметр не разрешен во время обновления.
Каталог для хранения загруженных пакетов
PACKAGES_DIR=<directory>
Сохраняет установочные файлы дополнительных возможностей в указанном каталоге. Значение по умолчанию для этого параметра (если не указано) — /var/lib/AstromKey/packages. Не разрешено во время обновления.
Каталог логов
LOG=<directory>
Сохраняет файлы журналов в указанном каталоге. Значение по умолчанию для этого параметра (если не указано) — /var/log/AstromKey. Не разрешено во время обновления.
Каталог конфигурации
CONFIG=<directory>
Сохраняет файлы конфигурации в указанном каталоге. Значение по умолчанию для этого параметра (если не указано) — /var/lib/AstromKey. Не разрешено во время обновления.
Временный каталог
TEMP=<directory>
Указывает временный каталог, который будет использоваться АктивнымШлюзом. Значение по умолчанию для этого параметра (если не указано) — /var/tmp/AstromKey. Не разрешено во время обновления.
Сертификаты ЦС
Вы можете использовать параметры командной строки для указания пользовательского сертификата ЦС во время установки, который будет добавлен в хранилище сертификатов, поставляемое с АктивномуШлюзу.
Таким образом вы можете указать прокси-сертификат ЦС (сертификат, который будет использоваться при подключении АктивногоШлюза к кластеру). Это позволяет установить соединение с кластером во время установки, позволяя программе установки АктивногоШлюза загрузить и установить любые необходимые дополнительные возможности.
Пароль сертификата указывается в виде файла, из которого считывается пароль.
Абсолютный путь к расположению настраиваемых доверенных корневых сертификатов для добавления:
--ca-certificate-file=<path>
Абсолютный путь к местоположению файла, содержащего пароль сертификата:
--ca-certificate-password-file=<path>
Пример команды:mple:
[root@host]# ./AstromKey-ActiveGate-Linux-1.217.sh --ca-certificate-file=/home/fred/myCert.jks --ca-certificate-password-file=/home/fred/myPwd.txt
Ограничения для указания SSL-сертификата
Прямое указание SSL-сертификата для АктивногоШлюза неприменимо для АктивногоШлюза Кластера. Не пытайтесь настроить SSL-сертификаты непосредственно на АктивномШлюзе Кластера. Если вы это сделаете, сертификат будет перезаписан автоматическим управлением Для АктивныхШлюзов Кластера вы должны загрузить свои сертификаты с помощью Консоли Менеджмента Кластера или REST API Кластера v1.
Пользовательский SSL-сертификат
Во время установки вы можете указать сертификат аутентификации, который АктивныйШлюз предоставляет подключающимся клиентам, ЕдинымАгентам или подключениям из браузерных клиентов. Если такие сертификаты требуются, это уменьшает усилия по настройке после установки.
Пароль сертификата указывается в виде файла, из которого считывается пароль.
Абсолютный путь к местоположению сертификата аутентификации, который АктивныйШлюз предоставляет подключающимся клиентам, ЕдинымАгентам, или подключениям из браузерных клиентов (таких как RUM JavaScript):
--certificate-file=<path>
Абсолютный путь к местоположению файла, содержащего пароль сертификата, для сертификата аутентификации, который АктивныйШлюз предоставляет подключающимся клиентам:
--certificate-password-file=<path>
Пример команды:
[root@host]# ./AstromKey-ActiveGate-Linux-1.217.sh --certificate-file=/home/fred/myCert.jks --certificate-password-file=/home/fred/myPwd.txt
Сетевая зона
--set-network-zone=<name>
Определяет сетевую зону, к которой принадлежит АктивныйШлюз. Он может принадлежать только одной сетевой зоне. Имя сетевой зоны представляет собой строку буквенно-цифровых символов, дефисов (-), знаков подчеркивания (_) и точек (.). Точки используются в качестве разделителей, поэтому вы не должны использовать точку в качестве первого символа имени сетевой зоны. Длина строки ограничена 256 символами.
Этот параметр не разрешен во время обновления.
Группа
--set-group=<name>
Определяет группу АктивныхШлюзов, к которой принадлежит АктивныйШлюз. АктивныйШлюз может принадлежать только одной группе. Имя группы АктивныхШлюзов представляет собой строку буквенно-цифровых символов, дефисов (-), знаков подчеркивания (_) и точек (.). Точки используются в качестве разделителей, поэтому вы не должны использовать точку в качестве первого символа имени группы. Длина строки ограничена 256 символами. Вы можете использовать группы АктивныхШлюзов для выполнения массовых действий на ваших АктивныхШлюзах, таких как управление расширениями 2.0, работающими на АктивныхШлюзах.
Этот параметр не разрешен во время обновления.
Время соединения
AstromKey_ACTIVEGATE_SERVER_CONNECTION_TIMEOUT=<seconds>
Определяет максимальное количество секунд (по умолчанию: 120), в течение которых программа установки будет ожидать подключения к кластеру. В развертываниях Linux этот параметр необходимо использовать как переменную среды.
Время ожидания соединения, указанное в переменной среды ASTROMKEY_ACTIVEGATE_SERVER_CONNECTION_TIMEOUT=<секунды>, используется на двух этапах установки:
- При загрузке дополнительных (необязательных) возможностей.
- При ожидании соединения с кластером в конце установки АктивныхШлюзов: это соединение затем используется АктивнымШлюзом во время его нормальной работы.
Если время ожидания истекло во время загрузки возможностей (если они есть), дополнительные возможности не будут загружены, и установка завершится ошибкой. Однако, если тайм-аут произойдет в конце процесса установки, то есть в начале нормальной работы АктивногоШлюза, все компоненты будут установлены, и АктивныйШлюз продолжит попытки подключения к кластеру. Он продолжит попытки подключения даже после завершения процесса установки. В случае успеха АктивныйШлюз будет работать нормально.
Чтобы проверить успешность установки и подключения, войдите в AstromKey, в разделе Настройки выберите Статус развертывания, а затем перейдите на вкладку АктивныеШлюзы.
Например:
[root@host]# export ASTROMKEY_ACTIVEGATE_SERVER_CONNECTION_TIMEOUT=240
[root@host]# AstromKey-ActiveGate-Linux-x86-1.0.0.sh <... other parameters>
или вы можете использовать комбинированные команды в одной строке. Например:
[root@host]# export ASTROMKEY_ACTIVEGATE_SERVER_CONNECTION_TIMEOUT=240 ; AstromKey-ActiveGate-Linux-x86-1.0.0.sh <... other parameters>
