База знаний

Новости

База знаний

База знаний AxelNAC

База знаний Логикор

Документация

...

Система хранения и обработки данных «Логикор». Версия 2.6.0

Логикор. Руководство администратора

Логикор. Руководство пользователя

Логикор. Руководство разработчика

Логикор. Руководство по мониторингу основных показателей системы

Введение

Панель мониторинга параметров системы

Работа с ошибками

Техническая поддержка

Ограничения работы метрик модели здоровья Логикор при использовании Docker Сompliance

Система хранения и обработки данных «Логикор». Версия 2.5.0

Обучающие материалы

База знаний Шерлок

Юридические документы

Ограничения работы метрик модели здоровья Логикор при использовании Docker Сompliance

Содержание:

В данной статье рассмотрены ограничения работы метрик здоровья при использовании Docker Compliance, такие как:

Недоступность метрик Docker-контейнеров (cAdvisor);
Saturn в изолированном контуре — метрики не поступают;
no-new-privileges: true — Saturn и venus-celery не стартуют.

Недоступность метрик Docker-контейнеров (cAdvisor)

Затронутые метрики

CPU, RAM, сеть, диск на уровне отдельных Docker-контейнеров.

Причина

Политики безопасности Docker Compliance могут ограничивать работу cAdvisor, блокируя:

доступ к /var/run/docker.sock;
монтирование директорий /sys, /proc с хоста;
работу под privileged-режимом.

Следствие

Дашборды модели здоровья, зависящие от cAdvisor, отображают "No data". Детализированная информация о потреблении ресурсов на уровне контейнеров недоступна.

Что продолжает работать

Системные метрики хоста через node_exporter (CPU, RAM, диск, сеть на уровне ВМ) работают без ограничений.

Решение

Решение отсутствует.

Saturn в изолированном контуре — метрики не поступают

Затронутые метрики

Все метрики компонентов, размещенных в изолированном сетевом контуре.

Причина

Если Saturn развернут в отдельном сетевом контуре и межсетевой экран разрешает только UDP-трафик — доставка метрик невозможна. Это связано с используемыми моделями передачи данных:

Prometheus (pull-модель) работает по TCP;
InfluxDB (push-модель) работает по TCP.

Следствие

Метрики не поступают в центральный контур Логикор. Дашборды модели здоровья для компонентов на данном контуре не отображают данные.

Что продолжает работать

Передача событий по протоколу Syslog/UDP работает штатно для большинства типов событий, за исключением объемных, например, Windows Events.

Решение

Рекомендуется использовать один из следующих вариантов:

открыть TCP-порты для Prometheus (по умолчанию 9090, 9100, 8080) на МСЭ;
настроить VPN-туннель между контурами.

no-new-privileges: true — Saturn и venus-celery не стартуют

Затронутые компоненты

logiq-saturn, venus-celery.

Причина

Compliance-параметр no-new-privileges: true блокирует SYS_ADMIN capability, необходимый для монтирования FUSE-файловых систем (s3fs) внутри контейнеров Saturn и venus-celery.

Некорректное поведение

Ошибка при запуске:

fusermount: mount failed: Operation not permitted
logiq-saturn-1 exited with code 1

Дополнительно: при отсутствии SYS_ADMIN Saturn не может выполнить ICMP ping для проверки связи:

ping: Lacking privilege for icmp socket

Следствие

При строгом применении no-new-privileges: true контейнеры Saturn и venus-celery не запускаются. Метрики, генерируемые данными компонентами, недоступны полностью.

Решение

Убрать параметр no-new-privileges: true из конфигурации docker-compose для сервисов Saturn и venus-celery.