Síťování¶
Tato dokumentační sekce je navržena tak, aby vás provedla procesem nastavení a řízení síťování TeskaLabs LogMan.io. Aby byla zajištěna bezproblémová funkčnost, je důležité dodržovat předepsané síťové konfigurace popsané níže.
Schéma: Přehled sítě clusteru LogMan.io.
Fronting network¶
Fronting network je soukromý L2 nebo L3 segment, který slouží pro sběr logů. Z toho důvodu musí být přístupný ze všech zdrojů logů.
Každý uzel (server) má vyhrazenou IPv4 adresu v fronting network. IPv6 je také podporováno.
Fronting network musí být dostupný na všech místech clusteru LogMan.io.
Uživatelská s흶
Uživatelská síť je soukromý L2 nebo L3 segment, který slouží pro přístup uživatelů k webovému uživatelskému rozhraní. Z tohoto důvodu musí být přístupná pro všechny uživatele.
Každý uzel (server) má vyhrazenou IPv4 adresu v uživatelské síti. IPv6 je také podporováno.
Uživatelská síť musí být dostupná na všech místech clusteru LogMan.io.
Interní s흶
Interní síť je soukromý L2 nebo L3 segment, který se používá pro soukromou komunikaci mezi uzly clusteru. MUSÍ BÝT vyhrazena pro TeskaLabs LogMan.io bez externího přístupu k zachování bezpečnosti clusteru. Interní síť musí poskytovat šifrování, pokud je provozována ve sdíleném prostředí (např. jako VLAN). Toto je kritický požadavek pro bezpečnost clusteru.
Každý uzel (server) má vyhrazenou IPv4 adresu v interní síti. IPv6 je také podporováno.
Dále může být IPMI hardwarových uzlů vystaveno na této síti, na dodatečné IP adrese (jak IPv4, tak IPv6).
Interní síť musí být dostupná na všech místech clusteru LogMan.io.
Kontejnery běžící na uzlu používají "síťový režim" nastavený na "host" v interní síti. To znamená, že síťový stack kontejneru není izolován od uzlu (hostitele) a kontejner nezískává vlastní IP adresu.
Administrátoři MOHOU přistupovat k interní síti pomocí VPN.
Konektivita¶
Každý uzel (aka server) má následující požadavky na konektivitu:
Fronting network¶
- Minimální: 1Gbit NIC
- Doporučeno: 2x bonded 10Gbit NIC
Uživatelská s흶
- Minimální: sdíleno s fronting network
- Doporučeno: 1Gbit NIC
Interní s흶
- Minimální: Žádná NIC, interní pouze pro instalace s jedním uzlem, 1Gbit
- Doporučeno: 2x bonded 10Gbit NIC
- IPMI pokud je dostupné na úrovni serveru
Internetová konektivita (NAT, firewalled, za proxy serverem) pomocí Fronting network NEBO Interní sítě.
Komunikace¶
Fronting network¶
| Zdroj | Cíl | Protokol | Port | Poznámka |
|---|---|---|---|---|
| Uzel LogMan.io | DNS servery | udp | 53 | Na základě konfigurace |
| Uzel LogMan.io | DNS servery | tcp | 53 | Na základě konfigurace |
| Uzel LogMan.io | NTP servery | udp | 123 | Na základě konfigurace |
| Uzel LogMan.io | SMTP server | tcp | 25 | Nešifrovaný (plain text) provoz, nedoporučuje se |
| Uzel LogMan.io | SMTP server | tcp | 465 | Šifrováno pomocí STARTTLS |
| Uzel LogMan.io | SMTP server | tcp | 587 | Šifrováno pomocí SMTPS |
| Uzel LogMan.io | LDAP server | tcp | 389 | Nešifrovaný (plain text) provoz, nedoporučuje se |
| Uzel LogMan.io | LDAP server | tcp | 686 | Šifrováno pomocí LDAPS |
| Uzel LogMan.io | LDAP server | tcp | 3268 | Nešifrovaný (plain text) provoz, nedoporučuje se |
| Uzel LogMan.io | LDAP server | tcp | 3269 | Šifrováno pomocí LDAPS |
| Sběrač logů | Uzel LogMan.io | tcp | 443 | Šifrováno pomocí Mutual TLS 1.2 |
| Sběrač logů | Uzel LogMan.io | udp | 41194 | VPN (volitelně) |
| Uzel LogMan.io | Slack servery | tcp | 443 | Notifikace (volitelně) |
| Uzel LogMan.io | MS Teams servery | tcp | 443 | Notifikace (volitelně) |
| Uzel LogMan.io | Sentry.io | tcp | 443 | Systémová telemetrie (volitelně) |
| Uzel LogMan.io | Uptime Robot | tcp | 443 | Dostupnost systému (volitelně) |
| Uzel LogMan.io | Aktualizace softwaru | tcp | 443 | docker.teskalabs.com, pcr.teskalabs.com, rcr.teskalabs.com, registry-1.docker.io, auth.docker.io, production.cloudflare.docker.com, asabwebui.z16.web.core.windows.net, webappsreg.z6.web.core.windows.net, webappsreg-secondary.z6.web.core.windows.net |
| Uzel LogMan.io | Aktualizace obsahu | tcp | 443 | libsreg.z6.web.core.windows.net, libsreg-secondary.z6.web.core.windows.net, lmio.blob.core.windows.net |
| Uzel LogMan.io | Aktualizace OS | tcp | 443, 80 | archive.ubuntu.com, security.ubuntu.com, cz.archive.ubuntu.com |
Tip
Každá odchozí HTTPS komunikace může používat proxy server. Nakonfigurujte svůj proxy server, aby povoloval provoz na určené doménové názvy.
Uživatelská s흶
| Zdroj | Cíl | Protokol | Port | Poznámka |
|---|---|---|---|---|
| Uživatelé | Uzel LogMan.io | tcp | 443 | |
| Uživatelé | Uzel LogMan.io | tcp | 80 | Pouze pro přesměrování na HTTPS (volitelně) |
Tip
Přístup uživatelů je vyvážen pomocí Round-robin DNS.
Interní s흶
| Zdroj | Cíl | Protokol | Port | Poznámka |
|---|---|---|---|---|
| Uzel LogMan.io | Uzel LogMan.io | udp | 41194 | VPN |
| Administrátoři | Uzel LogMan.io | tcp | 22 | SSH (volitelně) |
| Administrátoři | IPMI | tcp | 443 | Na vyhrazeném ethernetovém portu / IP adrese (volitelně) |
Sběrač logů¶
| Zdroj | Cíl | Protokol | Port | Poznámka |
|---|---|---|---|---|
| Sběrač logů | DNS servery | udp | 53 | |
| Sběrač logů | DNS servery | tcp | 53 | |
| Sběrač logů | NTP servery | udp | 123 | |
| Sběrač logů | Uzel LogMan.io | tcp | 443 | Šifrováno pomocí Mutual TLS 1.2 |
| Sběrač logů | Uzel LogMan.io | udp | 41194 | VPN (volitelně) |
| Administrátoři | Sběrač logů | tcp | 22 | SSH přístup administrátorů (volitelně) |
| Sběrač logů | Aktualizace softwaru | tcp | 443 | docker.teskalabs.com, pcr.teskalabs.com, rcr.teskalabs.com, registry-1.docker.io, auth.docker.io, production.cloudflare.docker.com (volitelně) |
| Sběrač logů | Aktualizace OS | tcp | 443 | archive.ubuntu.com, security.ubuntu.com (volitelně) |
Syslog¶
| Zdroj | Cíl | Protokol | Port | Poznámka |
|---|---|---|---|---|
| Zdroj logů | Sběrač logů | tcp | 514 | Syslog |
| Zdroj logů | Sběrač logů | udp | 514 | Syslog |
| Zdroj logů | Sběrač logů | tcp | 1514 | Syslog |
| Zdroj logů | Sběrač logů | udp | 1514 | Syslog |
| Zdroj logů | Sběrač logů | tcp | 6514 | Syslog s SSL / TLS (autodetekce, může být použit také jako plain TCP) |
| Zdroj logů | Sběrač logů | udp | 6514 | Syslog s DTLS |
| Zdroj logů | Sběrač logů | udp | 20514 | REPL |
| Zdroj logů | Sběrač logů | tcp | 10000…14099 | Vlastní rozsah portů zdroje logů (volitelně) |
| Zdroj logů | Sběrač logů | udp | 10000…14099 | Vlastní rozsah portů zdroje logů (volitelně) |
Microsoft¶
| Zdroj | Cíl | Protokol | Port | Poznámka |
|---|---|---|---|---|
| MS Windows | Sběrač logů | tcp | 5986 | Sběr logů z Microsoft Windows pomocí WEF, HTTPS (volitelně) |
| MS Windows | Sběrač logů | tcp | 5985 | Sběr logů z Microsoft Windows pomocí WEF, Kerberos (volitelně) |
| MS Windows | Sběrač logů | tcp | 88 | Kerberos autorizace verze 5 pro WEF (volitelně) |
| MS Windows | Sběrač logů | udp | 88 | Kerberos autorizace verze 5 pro WEF (volitelně) |
| Sběrač logů | KDC, MS AD | tcp | 88 | Kerberos autorizace verze 5 pro WEF (volitelně) |
| Sběrač logů | KDC, MS AD | udp | 88 | Kerberos autorizace verze 5 pro WEF (volitelně) |
| Sběrač logů | Microsoft 365 | tcp | 443 | Sběr logů z Microsoft 365 (volitelně) |
ODBC¶
Pro sběr logů z databázových systémů se používá ODBC.
| Zdroj | Cíl | Protokol | Port | Poznámka |
|---|---|---|---|---|
| Sběrač logů | Oracle Database | tcp | 1521 | |
| Sběrač logů | Microsoft SQL | tcp | 1433 | |
| Sběrač logů | Microsoft SQL | udp | 1434 | |
| Sběrač logů | MySQL | tcp | 3306 | |
| Sběrač logů | PostgreSQL | tcp | 5432 |
SNMP¶
| Zdroj | Cíl | Protokol | Port | Poznámka |
|---|---|---|---|---|
| SNMP trap zdroje | Sběrač logů | udp | 161 | SNMP |
SSL serverový certifikát¶
Fronting network a uživatelská síť vystavují webová rozhraní přes HTTPS na portu TCP/443. Z tohoto důvodu potřebuje LogMan.io SSL serverový certifikát.
Může jít buď o:
- self-signed SSL serverový certifikát
- SSL serverový certifikát vydaný certifikační autoritou provozovanou interně uživatelem
- SSL serverový certifikát vydaný veřejnou (komerční) certifikační autoritou
Tip
Můžete použít nástroj XCA pro generování nebo ověřování vašich SSL certifikátů.
Self-signed certifikát¶
Tato možnost je vhodná pro velmi malé nasazení.
Uživatelé obdrží varování od svých prohlížečů při přístupu k webovému rozhraní LogMan.io.
Rovněž je potřeba použít insecure vlajky v kolektorech.
Vytvoření self-signed SSL certifikátu pomocí příkazového řádku OpenSSL
openssl req -x509 -newkey ec -pkeyopt ec_paramgen_curve:secp384p1 \
-keyout key.pem -out cert.pem -sha256 -days 3650 -nodes \
-subj "/CN=logman.int"
Tento příkaz vytvoří key.pem (soukromý klíč) a cert.pem (certifikát) pro interní doménové jméno logman.int.
Certifikát od certifikační autority¶
Parametry pro SSL serverový certifikát:
- Soukromý klíč: EC 384 bit, křivka secp384p1 (minimálně), alternativně RSA 2048 (minimálně)
- Subjekt Common Name
CN: Plně kvalifikované doménové jméno uživatele Web UI LogMan.io - X509v3 Subject Alternative Name: Plně kvalifikované doménové jméno uživatele Web UI LogMan.io nastavené na "DNS"
- Typ: End Entity, kritické
- X509v3 Subject Key Identifier nastaveno
- X509v3 Authority Key Identifier nastaveno
- X509v3 Key Usage: Digital Signature, Non Repudiation, Key Encipherment, Key Agreement
- X509v3 Extended Key Usage: TLS Web Server Authentication
Příklad SSL serverového certifikátu pro http://logman.example.com/
``` Certifikát: Data: Verze: 3 (0x2) Sériové číslo: 6227131463912672678 (0x566b3712dc2c4da6) Algoritmus pro podpis: ecdsa-with-SHA256 Vydavatel: CN = logman.example.com