В данной статье рассмотрены ограничения работы метрик здоровья при использовании Docker Compliance, такие как:

• Недоступность метрик Docker-контейнеров (cAdvisor);
• Saturn в изолированном контуре — метрики не поступают;
• no-new-privileges: true — Saturn и venus-celery не стартуют.

Недоступность метрик Docker-контейнеров (cAdvisor)

Затронутые метрики

CPU, RAM, сеть, диск на уровне отдельных Docker-контейнеров.

Причина

Политики безопасности Docker Compliance могут ограничивать работу cAdvisor, блокируя:

• доступ к /var/run/docker.sock;
• монтирование директорий /sys, /proc с хоста;
• работу под privileged-режимом.

Следствие

Дашборды модели здоровья, зависящие от cAdvisor, отображают "No data". Детализированная информация о потреблении ресурсов на уровне контейнеров недоступна.

Что продолжает работать

Системные метрики хоста через node_exporter (CPU, RAM, диск, сеть на уровне ВМ) работают без ограничений.

Решение

Решение отсутствует.

Saturn в изолированном контуре — метрики не поступают

Затронутые метрики

Все метрики компонентов, размещенных в изолированном сетевом контуре.

Причина

Если Saturn развернут в отдельном сетевом контуре и межсетевой экран разрешает только UDP-трафик — доставка метрик невозможна. Это связано с используемыми моделями передачи данных:

• Prometheus (pull-модель) работает по TCP;
• InfluxDB (push-модель) работает по TCP.

Следствие

Метрики не поступают в центральный контур Логикор. Дашборды модели здоровья для компонентов на данном контуре не отображают данные.

Что продолжает работать

Передача событий по протоколу Syslog/UDP работает штатно для большинства типов событий, за исключением объемных, например, Windows Events.

Решение

Рекомендуется использовать один из следующих вариантов:

• открыть TCP-порты для Prometheus (по умолчанию 9090, 9100, 8080) на МСЭ;
• настроить VPN-туннель между контурами.

no-new-privileges: true — Saturn и venus-celery не стартуют

Затронутые компоненты

logiq-saturn, venus-celery.

Причина

Compliance-параметр no-new-privileges: true блокирует SYS_ADMIN capability, необходимый для монтирования FUSE-файловых систем (s3fs) внутри контейнеров Saturn и venus-celery.

Некорректное поведение

Ошибка при запуске:

fusermount: mount failed: Operation not permitted
logiq-saturn-1 exited with code 1

Дополнительно: при отсутствии SYS_ADMIN Saturn не может выполнить ICMP ping для проверки связи:

ping: Lacking privilege for icmp socket

Следствие

При строгом применении no-new-privileges: true контейнеры Saturn и venus-celery не запускаются. Метрики, генерируемые данными компонентами, недоступны полностью.

Решение

Убрать параметр no-new-privileges: true из конфигурации docker-compose для сервисов Saturn и venus-celery.