Přeskočit obsah

Síťování

Tato dokumentační sekce je navržena tak, aby vás provedla procesem nastavení a řízení síťování TeskaLabs LogMan.io. Aby byla zajištěna bezproblémová funkčnost, je důležité dodržovat předepsané síťové konfigurace popsané níže.

Schéma sítě

Schéma: Přehled sítě clusteru LogMan.io.

Fronting network

Fronting network je soukromý L2 nebo L3 segment, který slouží pro sběr logů. Z toho důvodu musí být přístupný ze všech zdrojů logů.

Každý uzel (server) má vyhrazenou IPv4 adresu v fronting network. IPv6 je také podporováno.

Fronting network musí být dostupný na všech místech clusteru LogMan.io.

Uživatelská síť

Uživatelská síť je soukromý L2 nebo L3 segment, který slouží pro přístup uživatelů k webovému uživatelskému rozhraní. Z tohoto důvodu musí být přístupná pro všechny uživatele.

Každý uzel (server) má vyhrazenou IPv4 adresu v uživatelské síti. IPv6 je také podporováno.

Uživatelská síť musí být dostupná na všech místech clusteru LogMan.io.

Interní síť

Interní síť je soukromý L2 nebo L3 segment, který se používá pro soukromou komunikaci mezi uzly clusteru. MUSÍ BÝT vyhrazena pro TeskaLabs LogMan.io bez externího přístupu k zachování bezpečnosti clusteru. Interní síť musí poskytovat šifrování, pokud je provozována ve sdíleném prostředí (např. jako VLAN). Toto je kritický požadavek pro bezpečnost clusteru.

Každý uzel (server) má vyhrazenou IPv4 adresu v interní síti. IPv6 je také podporováno.

Dále může být IPMI hardwarových uzlů vystaveno na této síti, na dodatečné IP adrese (jak IPv4, tak IPv6).

Interní síť musí být dostupná na všech místech clusteru LogMan.io.

Kontejnery běžící na uzlu používají "síťový režim" nastavený na "host" v interní síti. To znamená, že síťový stack kontejneru není izolován od uzlu (hostitele) a kontejner nezískává vlastní IP adresu.

Administrátoři MOHOU přistupovat k interní síti pomocí VPN.

Konektivita

Každý uzel (aka server) má následující požadavky na konektivitu:

Fronting network

  • Minimální: 1Gbit NIC
  • Doporučeno: 2x bonded 10Gbit NIC

Uživatelská síť

  • Minimální: sdíleno s fronting network
  • Doporučeno: 1Gbit NIC

Interní síť

  • Minimální: Žádná NIC, interní pouze pro instalace s jedním uzlem, 1Gbit
  • Doporučeno: 2x bonded 10Gbit NIC
  • IPMI pokud je dostupné na úrovni serveru

Internetová konektivita (NAT, firewalled, za proxy serverem) pomocí Fronting network NEBO Interní sítě.

Komunikace

Fronting network

Zdroj Cíl Protokol Port Poznámka
Uzel LogMan.io DNS servery udp 53 Na základě konfigurace
Uzel LogMan.io DNS servery tcp 53 Na základě konfigurace
Uzel LogMan.io NTP servery udp 123 Na základě konfigurace
Uzel LogMan.io SMTP server tcp 25 Nešifrovaný (plain text) provoz, nedoporučuje se
Uzel LogMan.io SMTP server tcp 465 Šifrováno pomocí STARTTLS
Uzel LogMan.io SMTP server tcp 587 Šifrováno pomocí SMTPS
Uzel LogMan.io LDAP server tcp 389 Nešifrovaný (plain text) provoz, nedoporučuje se
Uzel LogMan.io LDAP server tcp 686 Šifrováno pomocí LDAPS
Uzel LogMan.io LDAP server tcp 3268 Nešifrovaný (plain text) provoz, nedoporučuje se
Uzel LogMan.io LDAP server tcp 3269 Šifrováno pomocí LDAPS
Sběrač logů Uzel LogMan.io tcp 443 Šifrováno pomocí Mutual TLS 1.2
Sběrač logů Uzel LogMan.io udp 41194 VPN (volitelně)
Uzel LogMan.io Slack servery tcp 443 Notifikace (volitelně)
Uzel LogMan.io MS Teams servery tcp 443 Notifikace (volitelně)
Uzel LogMan.io Sentry.io tcp 443 Systémová telemetrie (volitelně)
Uzel LogMan.io Uptime Robot tcp 443 Dostupnost systému (volitelně)
Uzel LogMan.io Aktualizace softwaru tcp 443 docker.teskalabs.com, pcr.teskalabs.com, rcr.teskalabs.com, registry-1.docker.io, auth.docker.io, production.cloudflare.docker.com, asabwebui.z16.web.core.windows.net, webappsreg.z6.web.core.windows.net, webappsreg-secondary.z6.web.core.windows.net
Uzel LogMan.io Aktualizace obsahu tcp 443 libsreg.z6.web.core.windows.net, libsreg-secondary.z6.web.core.windows.net, lmio.blob.core.windows.net
Uzel LogMan.io Aktualizace OS tcp 443, 80 archive.ubuntu.com, security.ubuntu.com, cz.archive.ubuntu.com

Tip

Každá odchozí HTTPS komunikace může používat proxy server. Nakonfigurujte svůj proxy server, aby povoloval provoz na určené doménové názvy.

Uživatelská síť

Zdroj Cíl Protokol Port Poznámka
Uživatelé Uzel LogMan.io tcp 443
Uživatelé Uzel LogMan.io tcp 80 Pouze pro přesměrování na HTTPS (volitelně)

Tip

Přístup uživatelů je vyvážen pomocí Round-robin DNS.

Interní síť

Zdroj Cíl Protokol Port Poznámka
Uzel LogMan.io Uzel LogMan.io udp 41194 VPN
Administrátoři Uzel LogMan.io tcp 22 SSH (volitelně)
Administrátoři IPMI tcp 443 Na vyhrazeném ethernetovém portu / IP adrese (volitelně)

Sběrač logů

Zdroj Cíl Protokol Port Poznámka
Sběrač logů DNS servery udp 53
Sběrač logů DNS servery tcp 53
Sběrač logů NTP servery udp 123
Sběrač logů Uzel LogMan.io tcp 443 Šifrováno pomocí Mutual TLS 1.2
Sběrač logů Uzel LogMan.io udp 41194 VPN (volitelně)
Administrátoři Sběrač logů tcp 22 SSH přístup administrátorů (volitelně)
Sběrač logů Aktualizace softwaru tcp 443 docker.teskalabs.com, pcr.teskalabs.com, rcr.teskalabs.com, registry-1.docker.io, auth.docker.io, production.cloudflare.docker.com (volitelně)
Sběrač logů Aktualizace OS tcp 443 archive.ubuntu.com, security.ubuntu.com (volitelně)

Syslog

Zdroj Cíl Protokol Port Poznámka
Zdroj logů Sběrač logů tcp 514 Syslog
Zdroj logů Sběrač logů udp 514 Syslog
Zdroj logů Sběrač logů tcp 1514 Syslog
Zdroj logů Sběrač logů udp 1514 Syslog
Zdroj logů Sběrač logů tcp 6514 Syslog s SSL / TLS (autodetekce, může být použit také jako plain TCP)
Zdroj logů Sběrač logů udp 6514 Syslog s DTLS
Zdroj logů Sběrač logů udp 20514 REPL
Zdroj logů Sběrač logů tcp 10000…14099 Vlastní rozsah portů zdroje logů (volitelně)
Zdroj logů Sběrač logů udp 10000…14099 Vlastní rozsah portů zdroje logů (volitelně)

Microsoft

Zdroj Cíl Protokol Port Poznámka
MS Windows Sběrač logů tcp 5986 Sběr logů z Microsoft Windows pomocí WEF, HTTPS (volitelně)
MS Windows Sběrač logů tcp 5985 Sběr logů z Microsoft Windows pomocí WEF, Kerberos (volitelně)
MS Windows Sběrač logů tcp 88 Kerberos autorizace verze 5 pro WEF (volitelně)
MS Windows Sběrač logů udp 88 Kerberos autorizace verze 5 pro WEF (volitelně)
Sběrač logů KDC, MS AD tcp 88 Kerberos autorizace verze 5 pro WEF (volitelně)
Sběrač logů KDC, MS AD udp 88 Kerberos autorizace verze 5 pro WEF (volitelně)
Sběrač logů Microsoft 365 tcp 443 Sběr logů z Microsoft 365 (volitelně)

ODBC

Pro sběr logů z databázových systémů se používá ODBC.

Zdroj Cíl Protokol Port Poznámka
Sběrač logů Oracle Database tcp 1521
Sběrač logů Microsoft SQL tcp 1433
Sběrač logů Microsoft SQL udp 1434
Sběrač logů MySQL tcp 3306
Sběrač logů PostgreSQL tcp 5432

SNMP

Zdroj Cíl Protokol Port Poznámka
SNMP trap zdroje Sběrač logů udp 161 SNMP

SSL serverový certifikát

Fronting network a uživatelská síť vystavují webová rozhraní přes HTTPS na portu TCP/443. Z tohoto důvodu potřebuje LogMan.io SSL serverový certifikát.

Může jít buď o:

  • self-signed SSL serverový certifikát
  • SSL serverový certifikát vydaný certifikační autoritou provozovanou interně uživatelem
  • SSL serverový certifikát vydaný veřejnou (komerční) certifikační autoritou

Tip

Můžete použít nástroj XCA pro generování nebo ověřování vašich SSL certifikátů.

Self-signed certifikát

Tato možnost je vhodná pro velmi malé nasazení. Uživatelé obdrží varování od svých prohlížečů při přístupu k webovému rozhraní LogMan.io. Rovněž je potřeba použít insecure vlajky v kolektorech.

Vytvoření self-signed SSL certifikátu pomocí příkazového řádku OpenSSL

openssl req -x509 -newkey ec -pkeyopt ec_paramgen_curve:secp384p1 \
  -keyout key.pem -out cert.pem -sha256 -days 3650 -nodes \
  -subj "/CN=logman.int"

Tento příkaz vytvoří key.pem (soukromý klíč) a cert.pem (certifikát) pro interní doménové jméno logman.int.

Certifikát od certifikační autority

Parametry pro SSL serverový certifikát:

  • Soukromý klíč: EC 384 bit, křivka secp384p1 (minimálně), alternativně RSA 2048 (minimálně)
  • Subjekt Common Name CN: Plně kvalifikované doménové jméno uživatele Web UI LogMan.io
  • X509v3 Subject Alternative Name: Plně kvalifikované doménové jméno uživatele Web UI LogMan.io nastavené na "DNS"
  • Typ: End Entity, kritické
  • X509v3 Subject Key Identifier nastaveno
  • X509v3 Authority Key Identifier nastaveno
  • X509v3 Key Usage: Digital Signature, Non Repudiation, Key Encipherment, Key Agreement
  • X509v3 Extended Key Usage: TLS Web Server Authentication

Příklad SSL serverového certifikátu pro http://logman.example.com/

``` Certifikát: Data: Verze: 3 (0x2) Sériové číslo: 6227131463912672678 (0x566b3712dc2c4da6) Algoritmus pro podpis: ecdsa-with-SHA256 Vydavatel: CN = logman.example.com