Процесс установки системы
В данном разделе описаны действия по выполнению новой установки системы.
Установка состоит из следующих этапов:
Аудит системного окружения
Отключение Kaspersky Endpoint Security for Linux (KESL)
Если на узлах кластера установлен Kaspersky Endpoint Security for Linux (KESL), рекомендуется отключить его на время установки, поскольку работа KESL может препятствовать корректному развертыванию сети Kubernetes.
Чтобы временно остановить задачи KESL, выполните следующие действия на каждом узле кластера, где он установлен:
-
Выполните следующие команды от имени суперпользователя:
kesl-control --stop-task Network_Threat_Protection kesl-control --stop-task Web_Threat_ProtectionЕсли используется другая конфигурация или дополнительные задачи KESL, возможно, потребуется их также временно остановить. -
Убедитесь, что задачи действительно остановлены, а службы KESL отключены и не влияют на установку:
kesl-control --list-tasks -
После завершения установки системы восстановите защиту, выполнив следующие команды:
kesl-control --start-task Network_Threat_Protection kesl-control --start-task Web_Threat_Protection
Отключение IPv6
Чтобы избежать ошибок разрешения имен, убедитесь, что при развертывании кластера на его узлах было отключено использование IPv6. Инструкция по отключению приведена в разделе по установке кластера Kubernetes.
Отключение брандмауэра firewalld
Если на узлах кластера установлен брандмауэр firewalld, на время установки системы рекомендуется отключить его, поскольку он может препятствовать сетевому взаимодействию между подами.
Чтобы отключить firewalld:
-
Проверьте статус firewalld:
systemctl is-active firewalld.service -
Если команда выше вывела
active, остановите firewalld:systemctl stop firewalld.service -
Проверьте, что firewalld остановлен:
systemctl is-active firewalld.serviceКоманда должна вывести
inactive. -
Установите систему.
-
По завершении установки включите firewalld:
systemctl start firewalld
Загрузка пакетов экспертизы
Если у вас имеются пакеты элементов экспертизы с расширением .roc, загрузите их в каталог, где находится установщик. На этапе Выбор пакетов экспертизы для импорта вы сможете указать, чтобы они были автоматически импортированы в систему по завершении установки.
Запуск установщика
Чтобы запустить установщик системы:
-
После скачивания run-файла перейдите в директорию его хранения и запустите его с помощью bash:
bash ./evo.platform_<version>.runТребуемая версия bash: 4.0 или выше. Или сделайте его исполняемым и запустите непосредственно:
chmod +x ./evo.platform_<version>.run ./evo.platform_<version>.runПо умолчанию установка выполняется в каталог
/opt. При необходимости вы можете изменить каталог установки с помощью переменнойSETUP_ROOT_DIR:SETUP_ROOT_DIR=<setup_dir> bash ./evo.platform_<version>.runЗдесь:
-
<setup_dir>— директория установки.
Установщик выведет следующие сведения:
-
версия системы и дата ее выпуска;
-
путь к файлу хранения логов установки;
-
результаты проверок:
-
удовлетворения системным требованиям;
-
наличия необходимых утилит;
-
целостности дистрибутива.
-
-
-
Выберите режим работы установщика и следуйте инструкциям на экране.
-
New installation in an existing K8s cluster — новая установка в существующий кластер K8s.
-
Updating previous version — обновление предыдущей версии.
-
Removing installed version — удаление установленного экземпляра системы.
-
Unpacking archives — распаковка имеющихся архивов без их установки.
-
Downloading additional packages — скачивание дополнительных пакетов:
-
kubespray-installer-redos.tar.gz— автономный установщик Kubernetes для РЕД ОС; -
kubespray-installer-debian.tar.gz— автономный установщик Kubernetes для Debian; -
kubespray-installer-rocky.tar.gz— автономный установщик Kubernetes для Rocky Linux; -
k0s-installer.run— автономный установщик K0s для развертывания кластера сателлита; -
clickhouse-cluster.tar.gz— архив с Ansible-плейбуком для офлайн-развертывания кластера ClickHouse; -
sys-prep-clickhouse-redos.tar.gz— архив пакетов для развертывания кластера ClickHouse в окружении РЕД ОС; -
sys-prep-clickhouse-debian.tar.gz— архив пакетов для развертывания кластера ClickHouse в окружении Debian; -
sys-prep-clickhouse-rocky.tar.gz— архив пакетов для развертывания кластера ClickHouse в окружении Rocky Linux.
-
-
Начало установки
Чтобы начать новую установку системы, запустите установщик и выберите режим работы New installation in an existing K8s cluster.
При выборе установки выполняется распаковка пакетов в каталог продукта и управление передается скрипту установщика.
|
Если установка была прервана пользователем или из-за ошибки, можно перезапустить установщик без повторной распаковки дистрибутива, выполнив следующую команду: |
Выбор пакетов экспертизы для импорта
Если вы добавили в каталог установщика пакеты экспертизы с расширением .roc, установщик предложит выбрать пакеты, которые будут импортированы в систему по завершении установки.
| Перемещение по списку опций осуществляется с помощью клавиш со стрелками вверх и вниз. Чтобы выбрать опцию или отменить ее выбор, нажмите на клавишу SPACE. |
Настройка Ansible
Задайте параметры Ansible на этапе Ansible creds:
-
Задайте имя пользователя.
-
Выберите метод аутентификации: по паролю или через ключ.
-
Если выбрана аутентификация по паролю, задайте и подтвердите пароль пользователя.
-
Если выбрана аутентификация через ключ, выберите вариант повышения привилегий указанного пользователя через sudo:
-
Use sudo without password — выберите этот вариант, если для пользователя настроено повышение привилегий через sudo без пароля.
-
Need password for sudo — выберите этот вариант, если для повышения привилегий пользователя через sudo необходимо ввести пароль. В таком случае введите этот пароль на следующем шаге:
-
Выбор пространства имен Kubernetes
Выберите пространство имен (namespace) Kubernetes, в которое будет установлена система, на этапе Kubernetes cluster namespace to install.
Если требуется создать новое пространство имен, выберите опцию create new и введите название пространства.
|
Название пространства имен должно удовлетворять следующим требованиям:
|
Настройка доменного имени
Введите доменное имя для внешних запросов на этапе Web access.
| Если система будет установлена в кластер из одного узла, следует указать полное доменное имя (FQDN) виртуальной машины, на которой функционирует кластер. |
|
Доменное имя должно удовлетворять следующим требованиям:
Пример допустимого доменного имени: |
Настройка пула адресов балансировщика
| Настраивать пул адресов балансировщика требуется, только если выполняется распределенная установка в кластере, где есть хотя бы один master-узел и один worker-узел. При установке системы на один сервер данный этап будет пропущен. |
Введите пул адресов балансировщика на этапе Web access. Этот пул должен быть определен перед установкой системы на этапе настройки доменного имени. При использовании диапазона из одного адреса нужно указать префикс сети /32.
Настройка PostgreSQL
На данном этапе потребуется учетная запись пользователя PostgreSQL с правами на создание новых баз данных и пользователей. Для этого можно использовать суперпользователя postgres или создать нового.
|
Задайте параметры PostgreSQL на этапе PostgreSQL setup.
Выберите расположение:
-
Deploy to k8s cluster — в кластере Kubernetes.
-
Use external server — внешнее расположение в выделенном кластере.
При установке в кластер Kubernetes дополнительные параметры не требуются.
Для расположения на выделенном сервере укажите следующие параметры для доступа к PostgreSQL:
-
имя хоста или IP-адрес сервера PostgreSQL;
-
порт сервера;
-
имя базы данных по умолчанию;
-
имя пользователя;
-
пароль пользователя.
Настройка ClickHouse
Задайте параметры ClickHouse на этапе ClickHouse setup.
Выберите расположение:
-
Deploy ClickHouse to k8s cluster — в кластере Kubernetes.
-
Use external ClickHouse server — внешнее расположение на выделенном сервере или в выделенном кластере. Для этого выделенный сервер или кластер должен быть предварительно настроен.
Вне зависимости от расположения ClickHouse укажите, требуется ли включить шифрование трафика между системой и кластером ClickHouse:
-
Use standard connection without encryption — шифрование трафика не требуется.
-
Use secure connection over TLS — будет включено TLS-шифрование трафика.
Для установки в кластер Kubernetes укажите следующие параметры:
-
Количество реплик и шардов ClickHouse.
Количество реплик и шардов требуется указывать, только если в кластере установлено более одного worker-узла. -
Максимальный размер хранилища ClickHouse в ГБ.
-
Если было включено шифрование трафика, выполните следующие действия:
-
Выберите, требуется ли сгенерировать TLS-сертификаты для ClickHouse или необходимо использовать сертификаты, сгенерированные заранее.
-
Если выбрана опция Provide your own existing certificates, укажите следующие данные:
-
Абсолютный путь к TLS-сертификату сервера. Например:
/etc/clickhouse-server/certs/tls.crt.
-
Абсолютный путь к приватному ключу TLS-сертификата сервера. Например:
/etc/clickhouse-server/certs/tls.key.
-
Абсолютный путь к TLS-сертификату центра сертификации. Например:
/etc/clickhouse-server/certs/ca.crt.
-
-
Для внешнего расположения укажите следующие параметры:
-
Доменное имя сервера или балансировщика, если он настроен.
-
Если было включено шифрование трафика, введите следующие данные:
-
Абсолютный путь к TLS-сертификату центра сертификации. Например:
/etc/clickhouse-server/certs/ca-certificate.crt.
-
Порт для взаимодействия системы и ClickHouse по HTTPS, указанный при настройке кластера ClickHouse. По умолчанию: 8443.
-
-
Порт для взаимодействия системы и ClickHouse по HTTP, указанный при настройке кластера ClickHouse. По умолчанию: 8123.
-
Порт для взаимодействия системы и ClickHouse по gRPC, указанный при настройке кластера ClickHouse. По умолчанию: 9100.
Если было включено шифрование трафика, gRPC-порт будет принимать только зашифрованный трафик. 
-
Имя системного пользователя.
-
Пароль системного пользователя.
| В качестве имени и пароля пользователя следует использовать имя и пароль системного пользователя или пользователя writer, созданных при развертывании нового или существующего кластера ClickHouse. |
Настройка Prometheus
Prometheus — это система мониторинга, собирающая различные метрики работы кластера.
Задайте максимальный размер хранилища Prometheus на этапе Prometheus setup, не менее 15 ГБ.
Настройка Loki
Loki — это система для хранения и просмотра логов.
| Количество реплик требуется указывать, только если в кластере установлено более одного worker-узла. |
Задайте параметры Loki на этапе Loki setup:
-
Задайте количество реплик хранилища для чтения логов.
-
Задайте максимальный размер хранилища для чтения логов в ГБ.
-
Задайте количество реплик хранилища для записи логов.
-
Задайте максимальный размер хранилища для записи логов в ГБ.
-
Задайте количество реплик MinIO.
-
Задайте максимальный размер хранилища MinIO в ГБ.
Настройка MinIO
MinIO — это система объектного хранения данных, которая используется для хранения файлов конфигураций, загруженных в систему файлов, а также логов сервисов и инфраструктуры.
На этапе MinIO setup укажите количество реплик MinIO.
| Количество реплик требуется указывать, только если в кластере установлено более одного worker-узла. |
Настройка Dkron
Dkron — это распределенный планировщик задач.
| Количество реплик Dkron требуется указывать, только если в кластере установлено более одного worker-узла. В ином случае этап настройки Dkron будет пропущен. |
На этапе Dkron setup укажите количество реплик Dkron.
Настройка NATS
NATS — это брокер сообщений, который обеспечивает взаимодействие модулей платформы.
На этапе NATS main setup настройте основное хранилище NATS:
-
Задайте максимальный размер хранилища NATS, не менее 30 ГБ.
-
Укажите количество реплик NATS.
Количество реплик требуется указывать, только если в кластере установлено более одного worker-узла. 
На этапе NATS space setup настройте хранилище NATS для управления пространствами:
-
Задайте максимальный размер хранилища NATS, не менее 20 ГБ.
-
Укажите название пространства, которое будет использовать NATS.
Идентификатор основного пространства (
main space ID) формируется по шаблону:space-main-<namespace>
Здесь:
-
<namespace>— пространство имен, заданное на этапе Kubernetes cluster namespace to install.
В большинстве случаев изменение идентификатора основного пространства не требуется.
Если идентификатор основного пространства требуется изменить, для него существуют следующие требования:
-
Допустимые символы: прописные и строчные латинские буквы, цифры, знак дефиса.
-
Идентификатор должен содержать не более 100 символов.
При развертывании нескольких экземпляров системы в одном кластере Kubernetes необходимо обеспечить уникальность идентификаторов основного пространства.
-
Настройка СУБД для работы с событиями ИБ
Для работы с событиями ИБ можно использовать ранее установленные инсталляции ClickHouse и PostgreSQL, общие для всех компонентов платформы, или использовать отдельные выделенные серверы.
Настройка ClickHouse для событий ИБ
На этапе Streams: ClickHouse setup выберите расположение ClickHouse для событий ИБ.
Доступные варианты:
-
Use platform ClickHouse server — использование общего сервера ClickHouse, настроенного ранее.
-
Use external ClickHouse server — внешнее расположение на выделенном сервере или в выделенном кластере. Для этого выделенный сервер или кластер должен быть предварительно настроен.
Для работы системы необходимо, чтобы в ClickHouse были настроены три пользователя с разным набором прав:
-
owner — пользователь с расширенным набором прав. Используется для создания, обновления и удаления таблиц (хранилищ событий), а также получения служебной информации.
-
writer — пользователь с правами на запись. Используется в коллекторах для записи событий в ClickHouse.
-
reader — пользователь с правами только на чтение. Используется для выполнения поисковых запросов.
Вне зависимости от варианта размещения ClickHouse для событий ИБ следует указать пароли этих пользователей, заданные при развертывании кластера ClickHouse.
Для внешнего расположения укажите следующие параметры:
-
Доменное имя сервера или балансировщика, если он настроен.
-
Требуется ли включить шифрование трафика между системой и кластером ClickHouse:
-
Use standard connection without encryption — шифрование трафика не требуется.
-
Use secure connection over TLS — будет включено TLS-шифрование трафика.
Если выбрана опция Use secure connection over TLS, потребуется ввести дополнительные данные:
-
Абсолютный путь к TLS-сертификату центра сертификации. Например:
/etc/clickhouse-server/certs/ca-certificate.crt.
-
Порт для взаимодействия системы и ClickHouse по HTTPS, указанный при настройке кластера ClickHouse. По умолчанию: 8443.
-
-
Порт для взаимодействия системы и ClickHouse по HTTP, указанный при настройке кластера ClickHouse. По умолчанию: 8123.
-
Порт для взаимодействия системы и ClickHouse по gRPC, указанный при настройке кластера ClickHouse. По умолчанию: 9100.
-
Имя системного пользователя.
-
Пароль системного пользователя.
| В качестве имени и пароля пользователя следует использовать имя и пароль системного пользователя или пользователя writer, созданных при развертывании нового или существующего кластера ClickHouse. |
Настройка PostgreSQL для событий ИБ
На этапе Streams: PostgreSQL setup выберите расположение PostgreSQL для событий ИБ.
Доступные варианты:
-
Use platform PostgreSQL server — использование общего сервера PostgreSQL, настроенного ранее.
-
Use external PostgreSQL server — внешнее расположение на выделенном сервере.
Для расположения на выделенном сервере также следует задать:
-
имя хоста или IP-адрес сервера PostgreSQL;
-
порт сервера;
-
имя базы данных;
-
имя пользователя;
-
пароль пользователя.
Завершение установки
Если установка прошла успешно, на экране отобразится соответствующее сообщение. Также на экран будет выведен URL-адрес для подключения к системе и учетные данные по умолчанию для входа в систему.
По завершении установки системы формируется комплект сертификатов, которые потребуются для установки сателлита.
Комплект сертификатов сохраняется в архив $SETUP_ROOT_DIR/r-vision/nats-tls.tar.gz (по умолчанию /opt/r-vision/nats-tls.tar.gz) на машине, с которой выполнялась установка.
Удаление файлов установщика
Вы можете удалить файлы и каталоги, которые необходимы только во время установки и не требуются для работы системы:
-
run-файл установщика:
rm evo.platform_<version>.run -
Каталог распакованных файлов установки с подкаталогами, в том числе логи процесса установки из каталога
<installation_root>/r-vision/common/logs:rm -r <installation_root>/r-visionЗдесь:
-
<installation_root>— корневой каталог, в который выполнялась установка. По умолчанию:/opt.
-
-
Архив дополнительного пакета установщика Kubespray:
rm -f <kubespray_archive>Здесь:
-
<kubespray_archive>— архив установщика Kubespray, например,kubespray-installer-redos.tar.gz.
-
Авторизация в системе
Чтобы получить полное доменное имя (FQDN) системы, используйте следующую команду:
kubectl get secret "evo.streams.global" -n <namespace> -o jsonpath="{.data.MODULE_DOMAIN}" | base64 -dЗдесь:
-
<namespace>— название пространства имен, в котором установлена система.
Чтобы выполнить вход в систему:
-
В адресной строке браузера введите полное доменное имя (FQDN) системы. На экране отобразится страница авторизации.
-
Укажите логин и пароль учетной записи пользователя и нажмите на кнопку Войти.
По умолчанию для первого входа в систему используются учетные данные admin/admin.
|
Установленная система содержит примеры сущностей, таких как база данных событий и элементы экспертизы. Список предустановленных сущностей приведен в разделе Начало работы с системой. |
Была ли полезна эта страница?
