Процесс установки основного экземпляра системы

В данном разделе описаны действия по выполнению новой установки основного экземпляра системы.

Данный раздел описывает установку с помощью интерактивного установщика. Чтобы установить систему в неинтерактивном режиме, используя утилиту evoctl и файл с переменными окружения, обратитесь к разделу Установка основного экземпляра системы в неинтерактивном режиме.

Установка состоит из следующих этапов:

  1. Запуск установщика

  2. Начало установки

  3. Выбор пакетов экспертизы для импорта

  4. Настройка Ansible

  5. Выбор пространства имен Kubernetes

  6. Настройка доменного имени

  7. Настройка пула адресов балансировщика

  8. Настройка PostgreSQL

  9. Настройка ClickHouse

  10. Настройка Prometheus

  11. Настройка Loki

  12. Настройка MinIO

  13. Настройка Dkron

  14. Настройка NATS

  15. Настройка сбора метрик и логов с помощью Vector

  16. Настройка СУБД для работы с событиями ИБ

  17. Завершение установки

  18. Удаление файлов установщика

  19. Авторизация в системе

Запуск установщика

Чтобы запустить установщик основного экземпляра системы:

  1. После скачивания run-файла перейдите в директорию его хранения и запустите его с помощью bash:

    bash ./evo.platform_<version>.run
    Требуемая версия bash: 4.0 или выше.

    Или сделайте его исполняемым и запустите непосредственно:

    chmod +x ./evo.platform_<version>.run
./evo.platform_<version>.run

    По умолчанию установка выполняется в каталог /opt. При необходимости вы можете изменить каталог установки с помощью переменной SETUP_ROOT_DIR:

    SETUP_ROOT_DIR=<setup_dir> bash ./evo.platform_<version>.run

    Здесь:

    • <setup_dir> — директория установки.

    Установщик выведет следующие сведения:

  2. Выберите режим работы установщика и следуйте инструкциям на экране.

    install select action

Начало установки

Чтобы начать новую установку системы, запустите установщик и выберите режим работы New installation in an existing K8s cluster.

install select action

При выборе установки выполняется распаковка пакетов в каталог продукта и управление передается скрипту установщика.

Если установка была прервана пользователем или из-за ошибки, можно перезапустить установщик без повторной распаковки дистрибутива, выполнив следующую команду:

$SETUP_ROOT_DIR/r-vision/common/bin/evoctl instance install

Выбор пакетов экспертизы для импорта

Если вы добавили в каталог установщика пакеты экспертизы с расширением .roc, установщик предложит выбрать пакеты, которые будут импортированы в систему по завершении установки.

install expertise packs

Перемещение по списку опций осуществляется с помощью клавиш со стрелками вверх и вниз. Чтобы выбрать опцию или отменить ее выбор, нажмите на клавишу SPACE.

Настройка Ansible

Задайте параметры Ansible на этапе Ansible creds:

  1. Задайте имя пользователя.

    install ansible creds username

  2. Выберите метод аутентификации: по паролю или через ключ.

    install ansible creds auth method

  3. Если выбрана аутентификация по паролю, задайте и подтвердите пароль пользователя.

  4. Если выбрана аутентификация через ключ, выберите вариант повышения привилегий указанного пользователя через sudo:

    install ansible become sudo

    1. Use sudo without password — выберите этот вариант, если для пользователя настроено повышение привилегий через sudo без пароля.

    2. Need password for sudo — выберите этот вариант, если для повышения привилегий пользователя через sudo необходимо ввести пароль. В таком случае введите этот пароль на следующем шаге:

      install ansible become pass

Выбор пространства имен Kubernetes

Выберите пространство имен (namespace) Kubernetes, в которое будет установлена система, на этапе Kubernetes cluster namespace to install.

install namespace selection

Если требуется создать новое пространство имен, выберите опцию create new и введите название пространства.

Название пространства имен должно удовлетворять следующим требованиям:

  • Допустимые символы: a—​z, 0—​9, -.

  • Название не должно начинаться и заканчиваться дефисом.

Настройка доменного имени

Введите доменное имя для внешних запросов на этапе Web access.

Если система будет установлена в кластер из одного узла, следует указать полное доменное имя (FQDN) виртуальной машины, на которой функционирует кластер.

Если система будет установлена в кластер из нескольких узлов, в качестве доменного имени нельзя использовать FQDN master-узла кластера. Используйте доменное имя, не занятое ни одним другим сервисом.

install web access

Доменное имя должно удовлетворять следующим требованиям:

  • Допустимые символы: a—​z, 0—​9, -, ..

  • Имя не должно начинаться и заканчиваться дефисом или точкой.

Пример допустимого доменного имени: evo.company.local.

Настройка пула адресов балансировщика

Настраивать пул адресов балансировщика требуется, только если выполняется распределенная установка в кластере, где есть хотя бы один master-узел и один worker-узел. При установке системы на один сервер данный этап будет пропущен.

Введите пул адресов балансировщика на этапе Web access. Этот пул должен быть определен перед установкой системы на этапе настройки доменного имени. При использовании диапазона из одного адреса нужно указать префикс сети /32.

install balancer pool

Настройка PostgreSQL

На данном этапе потребуется учетная запись пользователя PostgreSQL с правами на создание новых баз данных и пользователей. Для этого можно использовать суперпользователя postgres или создать нового.

Задайте параметры PostgreSQL на этапе PostgreSQL setup.

install postgresql setup

Выберите расположение:

  • Deploy to k8s cluster — в кластере Kubernetes.

  • Use external server — внешнее расположение на выделенном сервере или в выделенном кластере.

При установке в кластер Kubernetes дополнительные параметры не требуются.

Для внешнего расположения укажите следующие параметры для доступа к PostgreSQL:

  • имя хоста или IP-адрес сервера PostgreSQL;

  • порт сервера;

  • имя базы данных по умолчанию;

  • имя пользователя;

  • пароль пользователя.

Настройка ClickHouse

Задайте параметры ClickHouse на этапе ClickHouse setup.

install clickhouse setup

Выберите расположение:

  • Deploy ClickHouse to k8s cluster — в кластере Kubernetes.

  • Use external ClickHouse server — внешнее расположение на выделенном сервере или в выделенном кластере. Для этого выделенный сервер или кластер должен быть предварительно настроен.

Вне зависимости от расположения ClickHouse укажите, требуется ли включить шифрование трафика между системой и кластером ClickHouse:

  • Use standard connection without encryption — шифрование трафика не требуется.

  • Use secure connection over TLS — будет включено TLS-шифрование трафика.

install clickhouse tls

Для установки в кластер Kubernetes укажите следующие параметры:

  • Количество реплик и шардов ClickHouse.

    Количество реплик и шардов требуется указывать, только если в кластере установлено более одного worker-узла.

  • Максимальный размер хранилища ClickHouse в ГБ.

    Если в кластере не установлен провайдер хранилища или установлен local-path-provisioner, максимальный размер хранилища указывать не требуется.

  • Если было включено шифрование трафика, выполните следующие действия:

    • Выберите, требуется ли сгенерировать TLS-сертификаты для ClickHouse или необходимо использовать сертификаты, сгенерированные заранее.

      install clickhouse certs options

    • Если выбрана опция Provide your own existing certificates, укажите следующие данные:

      • Абсолютный путь к TLS-сертификату сервера. Например: /etc/clickhouse-server/certs/tls.crt.

        install platform clickhouse client crt

      • Абсолютный путь к приватному ключу TLS-сертификата сервера. Например: /etc/clickhouse-server/certs/tls.key.

        install platform clickhouse client key

      • Абсолютный путь к TLS-сертификату центра сертификации. Например: /etc/clickhouse-server/certs/ca.crt.

        install platform clickhouse ca crt

Для внешнего расположения укажите следующие параметры:

  • Доменное имя сервера или балансировщика, если он настроен.

    install platform clickhouse host

  • Если было включено шифрование трафика, введите следующие данные:

    • Абсолютный путь к TLS-сертификату центра сертификации. Например: /etc/clickhouse-server/certs/ca-certificate.crt.

      install clickhouse path to ca crt

    • Порт для взаимодействия системы и ClickHouse по HTTPS, указанный при настройке кластера ClickHouse. По умолчанию: 8443.

      install clickhouse https port

  • Порт для взаимодействия системы и ClickHouse по HTTP, указанный при настройке кластера ClickHouse. По умолчанию: 8123.

    install platform clickhouse http port

  • Порт для взаимодействия системы и ClickHouse по gRPC, указанный при настройке кластера ClickHouse. По умолчанию: 9100.

    Если было включено шифрование трафика, gRPC-порт будет принимать только зашифрованный трафик.

    install platform clickhouse grpc port

  • Имя системного пользователя.

    install platform clickhouse user

  • Пароль системного пользователя.

    install platform clickhouse pass

В качестве имени и пароля пользователя следует использовать имя и пароль системного пользователя или пользователя writer, созданных при развертывании нового или существующего кластера ClickHouse.

Настройка Prometheus

Prometheus — это система мониторинга, собирающая различные метрики работы кластера.

Задайте максимальный размер хранилища Prometheus на этапе Prometheus setup, не менее 15 ГБ.

Если в кластере не установлен провайдер хранилища или установлен local-path-provisioner, максимальный размер хранилища указывать не требуется.

install prometheus setup storage size

Настройка Loki

Loki — это система для хранения и просмотра логов.

Количество реплик требуется указывать, только если в кластере установлено более одного worker-узла.

Задайте параметры Loki на этапе Loki setup:

  1. Задайте количество реплик хранилища для чтения логов.

    install loki setup read replicas

  2. Задайте максимальный размер хранилища для чтения логов в ГБ.

    Если в кластере не установлен провайдер хранилища или установлен local-path-provisioner, максимальный размер хранилища указывать не требуется.

    install loki setup read storage

  3. Задайте количество реплик хранилища для записи логов.

    install loki setup write replicas

  4. Задайте максимальный размер хранилища для записи логов в ГБ.

    Если в кластере не установлен провайдер хранилища или установлен local-path-provisioner, максимальный размер хранилища указывать не требуется.

    install loki setup write storage

  5. Задайте количество реплик MinIO.

    install loki setup minio replicas

  6. Задайте максимальный размер хранилища MinIO в ГБ.

    Если в кластере не установлен провайдер хранилища или установлен local-path-provisioner, максимальный размер хранилища указывать не требуется.

    install loki setup minio storage

Настройка MinIO

MinIO — это система объектного хранения данных, которая используется для хранения файлов конфигураций, загруженных в систему файлов, а также логов сервисов и инфраструктуры.

На этапе MinIO setup укажите количество реплик MinIO.

Количество реплик требуется указывать, только если в кластере установлено более одного worker-узла.

install minio setup replicas

Настройка Dkron

Dkron — это распределенный планировщик задач.

Количество реплик Dkron требуется указывать, только если в кластере установлено более одного worker-узла. В ином случае этап настройки Dkron будет пропущен.

На этапе Dkron setup укажите количество реплик Dkron.

install dkron setup replicas

Настройка NATS

NATS — это брокер сообщений, который обеспечивает взаимодействие модулей платформы.

На этапе NATS main setup настройте основное хранилище NATS:

  1. Задайте максимальный размер хранилища NATS, не менее 30 ГБ.

    Если в кластере не установлен провайдер хранилища или установлен local-path-provisioner, максимальный размер хранилища указывать не требуется.

    install nats setup

  2. Укажите количество реплик NATS.

    Количество реплик требуется указывать, только если в кластере установлено более одного worker-узла.

    install nats setup replicas

На этапе NATS space setup настройте хранилище NATS для управления пространствами:

  1. Задайте максимальный размер хранилища NATS, не менее 20 ГБ.

    Если в кластере не установлен провайдер хранилища или установлен local-path-provisioner, максимальный размер хранилища указывать не требуется.

    install nats space setup

  2. Укажите идентификатор пространства, которое будет использовать NATS.

    Идентификатор основного пространства (main space ID) формируется по шаблону:

    space-main-<namespace>

    Здесь:

    В большинстве случаев изменение идентификатора основного пространства не требуется.

    Если идентификатор основного пространства требуется изменить, для него существуют следующие требования:

    • Допустимые символы: a—​z, A—​Z, 0—​9, -.

    • Идентификатор должен содержать не более 100 символов.

    При развертывании нескольких экземпляров системы в одном кластере Kubernetes необходимо обеспечить уникальность идентификаторов основного пространства.

    install nats space value

Настройка сбора метрик и логов с помощью Vector

На этапе Space: Vector observability настройте источники метрик для демона Vector и режим сбора логов хоста:

  1. Выберите источник метрик процессора, ОЗУ, диска и сети. Доступные варианты:

    • Vector host_metrics — демон Vector получает метрики напрямую с хоста, монтируя его директории /proc и /sys с помощью томов типа hostPath.

    • Node Exporter — демон Vector обращается к сервису Prometheus Node Exporter. Тома типа hostPath не монтируются.

    vector host metrics source

  2. Выберите источник метрик процессора и ОЗУ подов сервисов:

    • cgroups — метрики контрольных групп (cgroups) собирает sidecar-контейнер, который монтирует директории /proc и /sys с помощью томов типа hostPath.

    • cAdvisor — демон Vector обращается к компоненту Kubelet по порту 10250 и адресу /metrics/cadvisor. Тома типа hostPath не монтируются.

    vector workload metrics source

  3. Выберите режим сбора логов хоста:

    • hostPath — демон Vector получает логи напрямую с хоста, монтируя его директории /var/log и /etc/localtime с помощью томов типа hostPath.

    • none — демон Vector не собирает логи. Тома типа hostPath не монтируются.

    vector host logs

Настройка СУБД для работы с событиями ИБ

Для работы с событиями ИБ можно использовать ранее установленные инсталляции ClickHouse и PostgreSQL, общие для всех компонентов платформы, или использовать отдельные выделенные серверы.

Настройка ClickHouse для событий ИБ

На этапе Streams: ClickHouse setup выберите расположение ClickHouse для событий ИБ.

install streams clickhouse

Доступные варианты:

  • Use platform ClickHouse server — использование общего сервера ClickHouse, настроенного ранее.

  • Use external ClickHouse server — внешнее расположение на выделенном сервере или в выделенном кластере. Для этого выделенный сервер или кластер должен быть предварительно настроен.

Для работы системы необходимо, чтобы в ClickHouse были настроены три пользователя с разным набором прав:

  • owner — пользователь с расширенным набором прав. Используется для создания, обновления и удаления таблиц (хранилищ событий), а также получения служебной информации.

  • writer — пользователь с правами на запись. Используется в коллекторах для записи событий в ClickHouse.

  • reader — пользователь с правами только на чтение. Используется для выполнения поисковых запросов.

Вне зависимости от варианта размещения ClickHouse для событий ИБ следует указать пароли этих пользователей, заданные при развертывании кластера ClickHouse.

Для внешнего расположения укажите следующие параметры:

  • Доменное имя сервера или балансировщика, если он настроен.

    install streams clickhouse host

  • Требуется ли включить шифрование трафика между системой и кластером ClickHouse:

    • Use standard connection without encryption — шифрование трафика не требуется.

    • Use secure connection over TLS — будет включено TLS-шифрование трафика.

    install streams clickhouse tls

    Если выбрана опция Use secure connection over TLS, потребуется ввести дополнительные данные:

    • Абсолютный путь к TLS-сертификату центра сертификации. Например: /etc/clickhouse-server/certs/ca-certificate.crt.

      install streams clickhouse path to ca crt

    • Порт для взаимодействия системы и ClickHouse по HTTPS, указанный при настройке кластера ClickHouse. По умолчанию: 8443.

      install streams clickhouse https port

  • Порт для взаимодействия системы и ClickHouse по HTTP, указанный при настройке кластера ClickHouse. По умолчанию: 8123.

    install streams clickhouse http port

  • Порт для взаимодействия системы и ClickHouse по gRPC, указанный при настройке кластера ClickHouse. По умолчанию: 9100.

    install streams clickhouse grpc port

  • Имя системного пользователя.

    install streams clickhouse user

  • Пароль системного пользователя.

    install streams clickhouse pass

В качестве имени и пароля пользователя следует использовать имя и пароль системного пользователя или пользователя writer, созданных при развертывании нового или существующего кластера ClickHouse.

Настройка PostgreSQL для событий ИБ

На этапе Streams: PostgreSQL setup выберите расположение PostgreSQL для событий ИБ.

install streams postgres

Доступные варианты:

  • Use platform PostgreSQL server — использование общего сервера PostgreSQL, настроенного ранее.

  • Use external PostgreSQL server — внешнее расположение на выделенном сервере или в выделенном кластере.

Для внешнего расположения также следует задать:

  • имя хоста или IP-адрес сервера PostgreSQL;

  • порт сервера;

  • имя базы данных;

  • имя пользователя;

  • пароль пользователя.

Завершение установки

Если установка прошла успешно, на экране отобразится соответствующее сообщение. Также на экран будут выведены URL-адрес для подключения к системе и учетные данные по умолчанию для входа в систему.

Если вы отключали какие-либо сервисы во время аудита системного окружения, включите их.

После завершения установки основного экземпляра формируется комплект сертификатов, которые потребуются для установки сателлита.

Комплект сертификатов сохраняется в архив $SETUP_ROOT_DIR/r-vision/nats-tls.tar.gz (по умолчанию /opt/r-vision/nats-tls.tar.gz) на машине, с которой выполнялась установка.

Удаление файлов установщика

Вы можете удалить файлы и каталоги, которые необходимы только во время установки и не требуются для работы системы:

  • run-файл установщика:

    rm evo.platform_<version>.run

  • Каталог распакованных файлов установки с подкаталогами, в том числе логи процесса установки из каталога <installation_root>/r-vision/common/logs:

    rm -r <installation_root>/r-vision

    Здесь:

  • Архив дополнительного пакета установщика Kubespray:

    rm -f <kubespray_archive>

    Здесь:

    • <kubespray_archive> — архив установщика Kubespray, например, kubespray-installer-redos.tar.gz.

Авторизация в системе

Чтобы получить полное доменное имя (FQDN) системы, используйте следующую команду:

kubectl get secret "evo.streams.global" -n <namespace> -o jsonpath="{.data.MODULE_DOMAIN}" | base64 -d

Здесь:

  • <namespace> — название пространства имен, в котором установлена система.

    Вы можете получить название пространства имен, в котором установлена система, с помощью утилиты evoctl.

Чтобы выполнить вход в систему:

  1. В адресной строке браузера введите полное доменное имя (FQDN) системы. На экране отобразится страница авторизации.

  2. Укажите логин и пароль учетной записи пользователя и нажмите на кнопку Войти.

    По умолчанию для первого входа в систему используются учетные данные admin/admin.

Установленная система содержит примеры сущностей, таких как база данных событий и элементы экспертизы. Список предустановленных сущностей приведен в разделе Начало работы с системой.

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь