Удалённый доступ к кластеру
Ключ-Астром может удаленно помочь вам с обновлением Ключ-Астром Managed и устранением неполадок, когда вы сталкиваетесь с проблемами. Для этого мы должны иметь разрешение на удаленный доступ к вашему кластеру. Вы можете настроить разрешения на удаленный доступ для своего кластера, чтобы разрешить нам предоставлять вам обновления и поддержку.
Важно! Для доступа к Консоли Менеджмента Кластера у Вас должны быть права администратора.
Чтобы настроить уровень разрешений в вашем кластере, в Консоли Менеджмента Кластера выберите Настройки > Разрешения на удаленный доступ. На этой странице вы можете разрешить команде Ключ-Астром удаленный доступ к вашему кластеру. Если этот параметр включен и события обнаружены, наша команда может удаленно настроить параметры вашего кластера, чтобы обеспечить оптимальную производительность и стабильность.
Вся связь с Контроллером Задач защищена и осуществляется через HTTPS с проверкой сертификатов, как в браузере. Все изменения конфигурации, управляемые Ключом-Астром, полностью регистрируются аудитом, и каждый удаленный доступ регистрируется как отдельное событие (в меню перейдите в раздел События, чтобы просмотреть список зарегистрированных событий). Контроллер Задач не может получить доступ к сертификатам или учетным данным пользователя и root-доступ к каким-либо серверам.
После включения поддержки удаленного доступа Ключ-Астром вы можете установить область разрешений удаленного доступа для команды Ключ-Астром на одну из следующих областей:
- Все Вся наша команда экспертов может получить доступ к вашему кластеру, чтобы предоставить вам всю мощь поддержки и оптимизировать настройки вашего кластера.
- Только чтение для всех Вся наша команда экспертов имеет доступ к вашему кластеру, но не может изменять какие-либо настройки кластера. Этот вариант значительно ограничивает уровень поддержки. В этом случае пользователю с удаленным доступом доступна только роль наблюдателя. При необходимости наша команда свяжется с вами, чтобы внести необходимые изменения.
- Только одобренные участники Только утвержденные члены нашей команды могут получить доступ к вашему кластеру. Администраторы вашего кластера получат уведомление по электронной почте об ожидающих запросах на удаленный доступ. Администратор кластера должен утверждать каждый запрос на предоставление разрешений. Вы можете настроить продолжительность и роль, которую вы предоставляете. Вы также можете заранее предоставить разрешения известным членам команды Ключ-Астром. Эта область дает вам максимальный контроль над тем, кто может получить доступ к вашему кластеру, но существенно влияет на способность нашей команды предоставлять вам поддержку. Пользователю удаленного доступа можно назначить роль администратора, пользователя или наблюдателя. Подробные сведения о разрешениях, назначаемых каждой роли, см. в следующей таблице:
| Права | Администратор | Пользователь | Наблюдатель | Описание |
|---|---|---|---|---|
| Окружение | Да | Да | Да | Разрешает доступ только для чтения к среде. В частности, сотрудники Ключ-Астром имеют доступ к:
Сотрудники Ключ-Астром не могут изменять настройки или устанавливать ЕдиногоАгента только с этим разрешением. |
| Запись | Да | Нет | Нет | Позволяет пользователю изменять настройки мониторинга среды. |
| Скачивание ЕдиногоАгента и АктивногоШлюза | Да | Нет | Нет | Позволяет пользователю загружать ЕдиногоАгента и АктивныйШлюз из концентратора и устанавливать их на хосты. |
| Изменение конфигурации Консоли Менеджмента Кластера | Да | Нет | Нет | Позволяет пользователю изменять параметры кластера в Консоли Менеджмента Кластера. |
| Логи | Да | Нет | Нет | Позволяет пользователю получить доступ к странице журналов и журналу содержимого ваших приложений. Журналы могут содержать конфиденциальную информацию. |
| Настройка захвата конфиденциальных данных | Да | Нет | Нет | Позволяет пользователю настраивать правила захвата атрибутов запроса. Их можно использовать для захвата таких элементов, как заголовки HTTP или параметры публикации, для хранения, фильтрации и поиска. Также позволяет пользователю вручную запускать дампы памяти. |
| Просмотр конфиденциальных данных запроса | Нет | Нет | Нет | Позволяет пользователю просматривать потенциально личные данные, захваченные Ключом-Астром, включая разрешение на загрузку дампов памяти. Пользователи, у которых нет этого разрешения, видят, что точка данных существует, но личные данные скрыты звездочками (*****). Также позволяет пользователю вручную запускать дампы памяти. |
| Включение отладочных флагов ЕдиногоАгента | Да | Да | Нет | Позволяет пользователю выполнять диагностические операции только для чтения и устанавливать флаги отладки ЕдиногоАгента. |
| Выполнение диагностических операций | Да | Нет | Нет | Позволяет пользователю выполнять диагностические операции, такие как перезапуск службы, запуск диагностических сценариев на узлах кластера и доступ к базе данных. |
| Воспроизведение данных сеанса с маскированием | Да | Да | Да | Позволяет пользователю воспроизводить записанные сеансы пользователя с применением правил маскирования воспроизведения во время воспроизведения. Обратите внимание, что данные, замаскированные во время записи, никогда не захватываются и поэтому всегда маскируются при воспроизведении. |
| Воспроизведение данных сеанса без маскирования | Нет | Нет | Нет | Позволяет пользователю воспроизводить записанные сеансы пользователя без применения правил маскирования воспроизведения. Обратите внимание, что любые данные, замаскированные во время записи, всегда замаскированы во время воспроизведения. |
| Решение проблемы безопасности | Нет | Нет | Нет | Позволяет пользователю управлять проблемами, о которых сообщает Безопасность Приложений. |
| Просмотр проблем безопасности | Да | Нет | Нет | Позволяет пользователю просматривать проблемы безопасности. |
API
Вы также можете использовать REST API удаленного доступа для настройки параметров и разрешений удаленного доступа. Подробности см. в разделе API Кластера v2.
