СОДЕРЖАНИЕ
1 Общие сведения 10
1.1 Назначение и функции 10
1.2 Область применения 10
1.3 Требования к квалификации администратора 10
2 Структура Комплекса 11
2.1 Архитектура 11
2.1.1 Кластер управления 11
2.1.2 Клиентский кластер 13
2.1.3 Взаимодействие кластера управления с клиентскими кластерами 14
2.1.4 Установка 14
2.1.5 Обновление 14
2.1.6 Аутентификация и авторизация 16
2.1.7 Использование сервисов 17
2.1.8 Логирование и мониторинг 17
2.1.9 Графический интерфейс 17
2.1.10 Безопасность 18
2.1.11 Резервное копирование и восстановление 18
2.2 Анализ состояния в Комплексе 18
2.2.1 Мониторинг 18
2.2.2 Алертинг 19
2.2.3 Логирование 20
3 Платформа 22
3.1 Установка 22
3.1.1 Вводная информация 22
3.1.2 Установка 22
3.1.3 После завершения установки 31
3.2 Требования к программным и аппаратным средствам 32
3.2.1 Требования к ОС 32
3.2.2 Требования к аппаратным средствам 34
3.2.3 Требования к локальному хранению 36
3.2.4 Требования к балансировщику нагрузки 37
3.2.5 Требования к хостам 38
3.2.6 Требования к IP-адресам 39
3.2.7 Требования к сетевым именам 40
3.2.8 Сетевые требования для удаленного доступа 41
3.2.9 Требования к работе в графическом интерфейсе 41
3.3 Подготовка зеркала для установки в закрытом контуре 42
3.3.1 Работа с зеркалом 42
3.3.2 Работа с сертификатами 45
3.3.3 Внешний Nexus 47
3.3.4 Запуск синхронизации из .bundle 49
3.4 Межсетевые экраны 49
3.5 Настройка TLS 76
3.5.1 Корпоративные сертификаты 76
3.5.2 Промежуточные сертификаты 77
3.5.3 Сертификаты Let’s Enсrypt 78
3.5.4 Создание и установка сертификата с помощью Let’s Enсrypt 78
3.6 Обновление в закрытом контуре 82
3.6.1 Перезапуск кастомного ресурса обновления 83
3.7 Деинсталляция 85
3.7.1 Примеры удаления кластера управления 86
3.8 Начальная страница веб-интерфейса 86
3.8.1 О системе 86
3.8.2 Swagger 87
3.8.3 Используемые компоненты с открытым исходным кодом 88
3.8.4 Платформа 89
3.9 Настройки пользовательского интерфейса 90
3.9.1 Графический интерфейс 90
3.9.2 Таблицы 93
3.9.3 Модальное окно 93
3.9.4 Редактор манифеста 93
3.10 Режимы 94
3.10.1 DR-Кластер управления 94
3.10.2 Отдельно стоящий кластер 104
3.11 Доступ 107
3.11.1 Менеджер доступов 107
3.11.2 Аутентификация в Комплексе 113
3.11.3 Менеджер сессий 115
3.11.4 Дерево доступов 115
3.11.5 Интеграция с LDAP 116
3.11.6 Назначение прав 134
3.12 Отчеты 141
3.12.1 Сводный отчет 141
3.13 Провайдеры инфраструктуры 142
3.13.1 О провайдерах 142
3.13.2 Basis Dynamix 144
3.13.3 oVirt 146
3.13.4 Shturvalv2 149
3.13.5 vSphere 154
3.13.6 OpenStack 161
3.13.7 Yandex Cloud 164
3.13.8 Создание шаблонов виртуальных машин 168
3.13.9 Пул IP-адреcов 174
4 Тенанты 177
4.1 Концепция мультитенантности 177
4.2 Управление тенантами 178
4.2.1 Общее дерево тенантов 178
4.2.2 Создание тенанта 179
4.2.3 Просмотр тенанта 182
4.2.4 Вкладка "Тенант" 182
4.2.5 Вкладка "Лейблы и аннотации" 183
4.2.6 Вкладка "Дерево тенанта" 183
4.2.7 Удаление тенанта 184
5 Кластеры 185
5.1 Добавление кластера 185
5.1.1 Основная информация 185
5.1.2 С провайдером oVirt 189
5.1.3 С провайдером vSphere 196
5.1.4 С провайдером OpenStack 204
5.1.5 С провайдером BasisDynamix 210
5.1.6 С провайдером Shturval V2 217
5.1.7 С провайдером Yandex Cloud 226
5.2 Работа с кластером 233
5.2.1 Дашборд кластера 233
5.2.2 Действия в кластере 243
5.2.3 Управление доступом 248
5.2.4 Конфигурация узлов (NCI) 252
5.2.5 Audit Policy 277
5.2.6 Управление узлами 284
5.2.7 Cluster Issuers 319
5.2.8 Сетевые политики Cilium 323
5.2.9 Persistent Volumes 332
5.2.10 Storage Classes 333
5.2.11 Кастомные ресурсы 340
5.3 Обновление 341
5.3.1 Управление обновлением 341
5.4 Оповещения 344
5.4.1 Настройка правил оповещения 344
5.4.2 Обработка правил оповещения 389
5.4.3 Просмотр оповещений 403
5.5 Резервное копирование и восстановление 405
5.5.1 Управление резервными копиями 405
5.6 Сети 419
5.6.1 Egress Gateway 419
5.6.2 Ingress Controllers 423
5.6.3 Дополнительные сети 426
6 Неймспейсы 434
6.1 Управление неймспейсом 434
6.1.1 О неймспейсе 434
6.1.2 Интерфейс неймспейса 435
6.2 Администрирование 437
6.2.1 Управление доступом 437
6.2.2 Кастомные ресурсы 440
6.3 Нагрузки 442
6.3.1 Deployments 442
6.3.2 ReplicaSets 453
6.3.3 Pods 457
6.3.4 StatefulSets 474
6.3.5 DaemonSets 482
6.3.6 CronJobs 489
6.3.7 Jobs 494
6.4 Сеть 498
6.4.1 Services 498
6.4.2 Ingresses 501
6.5 Хранилище 505
6.5.1 PersistentVolumeClaims 505
6.5.2 ConfigMaps 506
6.5.3 Secrets 510
6.6 Безопасность 517
6.6.1 ServiceAccounts 517
6.6.2 Issuers 518
6.7 Квоты 523
6.7.1 Quotas 523
6.7.2 Limit Ranges 525
6.8 Резервное копирование 529
6.8.1 Хранилища 529
6.8.2 Резервные копии 533
6.8.3 Планировщики 536
6.8.4 Восстановленные копии 539
7 Безопасность 541
7.1 Инструменты ИБ 541
7.2 Безопасная сборочная 541
7.3 Результаты сканирования 542
7.4 Политики безопасности 545
7.4.1 Менеджер политик безопасности 545
7.4.2 Отчет по политикам безопасности 548
7.4.3 Рекомендуемые политики 550
7.5 Анализ образов 561
7.5.1 Настройка периода анализа образов контейнеров 563
7.6 Профиль Seccomp 564
7.6.1 Общая информация 564
7.6.2 Создание seccomp-профиля 564
7.6.3 Запуск нагрузок с профилем seccomp 566
7.7 Обнаружение аномалий 567
7.8 Kaspersky Endpoint Security for Linux 570
7.8.1 Особенности работы KESL с Комплексом 570
8 Описание API 572
8.1 Как включить Swagger 572
8.2 Авторизация в Комплексе 572
8.3 Провайдеры 574
8.3.1 Получение списка провайдеров 574
8.3.2 Создание провайдера vSphere 576
8.3.3 Создание провайдера oVirt 577
8.3.4 Создание провайдера Basis Dynamix 579
8.3.5 Создание провайдера OpenStack 580
8.3.6 Создание провайдера Shturval v2 582
8.3.7 Удаление провайдера 583
8.4 Кластеры 584
8.4.1 Получить список кластеров 584
8.4.2 Создание кластера с провайдером vSphere 586
8.4.3 Создание кластера с провайдером oVirt 589
8.4.4 Создание кластера с провайдером Shturvalv2 592
8.4.5 Создание кластера с провайдером OpenStack 595
8.4.6 Создание кластера с провайдером Basis Dynamix 598
8.4.7 Удаление кластера 601
9 Сервисы 602
9.1 Сервисы и репозитории 602
9.1.1 Управление сервисами и репозиториями 602
9.1.2 Маркетплейс продуктов 614
9.1.3 Модуль непрерывной доставки приложений (Argo CD) 619
9.1.4 Модуль резервного копирования и восстановления (velero) 622
9.1.5 Модуль распределения нагрузки узлов (Descheduler) 624
9.1.6 ShturvalD (ContainerD) 626
9.1.7 Модуль управления сервисами 626
9.2 Безопасность 627
9.2.1 Модуль управления TLS-сертификатами (Cert Manager) 627
9.2.2 Модуль анализа конфигураций приложений (Kyverno) 627
9.2.3 Модуль сканирования образов контейнеров (Trivy) 628
9.3 Логи 630
9.3.1 Модуль централизованного хранения логов (OpenSearch) 630
9.3.2 Модуль локального сбора логов (Vector) 653
9.3.3 Восстановление работоспособности OpenSearch 661
9.3.4 Увеличение объема хранилища OpenSearch 665
9.3.5 Добавление дашборда в Opensearch 667
9.4 Метрики 672
9.4.1 Модуль мониторинга. Централизованный сбор метрик (Victoria Metrics) 672
9.4.2 Модуль графического отображения метрик (Grafana) 673
9.4.3 Компонент управления модуля мониторинга (Victoria Metrics Agent) 747
9.4.4 Добавление дашборда в Grafana 752
9.4.5 Увеличение объема хранилища VictoriaMetrics 758
9.5 Управление сетями и адресами 763
9.5.1 Модуль управления внешними IPv4-адресами сервисов (KubeVIP) 763
9.5.2 Модуль управления внешними подключениями (NGinx) 763
9.5.3 Модуль управления сетями кластера (Cilium CNI) 765
9.5.4 Модуль подключения нескольких сетевых интерфейсов (Multus) 767
9.5.5 Модуль назначения IP-адресов (Metacni-ipam) 768
9.5.6 Модуль управления локальным DNS (NodeLocalDNS) 769
9.5.7 Оператор SR-IOV 770
9.5.8 CoreHA 771
9.6 Хранилище (CSI) 774
9.6.1 Модуль локального хранения (RawFile Provisioner) 774
9.6.2 Модуль NFS оператора (NFS Provisioner) 774
9.6.3 Модуль CEPH CSI 776
9.6.4 Модуль CSI vSphere (vSphere CSI Driver) 787
Перечень терминов и сокращений 794