Безопасность АктивногоШлюза

Материал из Dynatrace

Начиная с Dynatrace версии 1.225, каждый ActiveGate использует свой собственный уникальный токен ActiveGate для разрешения в кластере Dynatrace.

В зависимости от состояния вашего развертывания, начиная с версии Dynatrace 1.246, вам, возможно, потребуется выполнить некоторые действия для миграции в безопасность на основе токенов ActiveGate.

Миграция в токены ActiveGate

Чтобы перейти на безопасность на основе токенов ActiveGate, начните с определения состояния использования токена ActiveGate.

1. В меню Dynatrace перейдите в настройки и выберите «Предпочтения»> «Безопасность сети».

2. Просмотрите сообщения, отображаемые на странице безопасности сети и решайте любые проблемы, как описано ниже.

Никаких действий не требуется

Если Dynatrace отображает подобное сообщение: 

Токены АктивныхШлюзов применяются автоматически в вашей среде. Только ActiveGates с действительными токенами АктивныхШлюзов могут подключаться к Dynatrace.
  • Дополнительных действий не требуется. Безопасность ActiveGate включена и все готово.
  • Только ActiveGates с действительными токенами ActiveGate могут подключаться к Dynatrace.

Исправить проблемы токена ActiveGate

Если Dynatrace отображает подобное сообщение: 

У вас имеется 1 ActiveGate с недействительным токеном, который потеряет соединение с Dynatrace, если вы сейчас примените токены АктивныхШлюзов. Перейдите к  статусу развёртывания, чтобы увидеть список АктивныхШлюзов и соответствующие проблемы.
  • Токены ActiveGate еще не применяются, а некоторые из ваших активных агентов используют недействительные токены.
  • Вам нужно решить проблемы на основе статуса. В противном случае такие активные агенты потеряют связь после применения токенов ActiveGate.

Необходимо немедленно применить токены ActiveGate

Если Dynatrace отображает подобное сообщение: 

Вы можете вручную применить токены АктивныхШлюзов прямо сейчас, чтобы мгновенно повысить безопасность сети.
Вы можете отменить применение в течение 30 дней.
  • У вас есть возможность немедленно обеспечить соблюдение токенов ActiveGate. Вы можете сделать это в любое время, независимо от того, сообщают ли ваши ActiveGates проблемы токена, но обязательно прочитайте ручное исполнение токенов ActiveGate ниже. Все ActiveGates со статусом, отличным от действительного, потеряют связь с Dynatrace.

Типы токенов ActiveGate

Токен ActiveGate представлены в двух вариациях:

  • Seed Токен - токен ActiveGate Seed автоматически настроен на установщик ActiveGate при загрузке установщика с помощью пользовательского интерфейса Dynatrace Web или Dynatrace API.
  • Индивидуальный токен - в рамках первого соединения ActiveGate с кластером Dynatrace начальный токен ActiveGate Seed -токен заменяется автоматически генерируемым индивидуальным токеном ActiveGate. Один и тот же установщик может использоваться несколько раз; Первоначальный токен ActiveGate Seed Lever разрешается создавать несколько отдельных токенов ActiveGate.

Структура токна ActiveGate

Токена ActiveGate состоит из трех частей, разделенных точками (.).

Пример:

dt0g02.4KWZO5EF.XT47R5DRADJIZUFOX4UDNOKTSUSABGLN7XSMJG7UXHRXKNY4WLORH4OF4T75MG7E

Часть Имя Описание
1 prefix Первая часть (dt0g02 в примере выше) является префиксом токена. Он идентифицирует тип токена.
2 public Вторая часть (4KWZO5EF в примере выше)-это 8-символьная общественная часть токена.

Вместе префикс и публичная часть составляют идентификатор токена.

Вы можете безопасно отобразить идентификатор токена в веб-пользовательском интерфейсе и использовать его в целях ведения журнала.

3 secret Третья часть (XT47R5DRADJIZUFOX4UDNOKTSUSABGLN7XSMJG7UXHRXKNY4WLORH4OF4T75MG7E в примере выше)-это 64-символьная секретная часть токена.

Обратитесь к секретной части как пароль. Он не должен отображаться в интерфейсе Dynatrace Web (после начального создания) или храниться в файлах журнала.

Применение токенов ActiveGate

Все ваши ActiveGates уже постепенно мигрировали для использования токенов ActiveGate во время обновлений ActiveGate, начиная с версии ActiveGate 1.225.

Чтобы проверить, в каких из ваших АктивныхШлюзов уже включены токены ActiveGate

  1. В меню Dynatrace перейдите в статус развертывания и выберите ActiveGates.
  2. Вы можете отфильтровать свои ActiveGates по следующим статусам токена ActiveGate:
    • Отсутствующий
    • Истекает
    • Невалидный
    • Неизвестный
    • Действительный
    • Не поддерживается.

Автоматическое применение токенов ActiveGate

Если все ваши ActiveGates готовы к безопасности сети на основе токенов в течение 30 дней, ваша среда автоматически переключается на сетевую безопасность на основе токенов ActiveGate.

Ручное обеспечение токенов ActiveGate

Если вы хотите ускорить процесс, и вы уверены, что в вашей среде есть только ActiveGates версии 1.225+, вы можете заставить переключать токены ActiveGate, когда вы готовы.

1. В меню Dynatrace перейдите в настройки и выберите «Предпочтения»> «Безопасность сети».

2. Включите вручную применять аутентификацию токена ActiveGate.

  • Когда вы включаете вручную применять аутентификацию токена ActiveGate и сохраняете свои изменения, все активные агенты со статусом, отличным от действительного, потеряют свою связь с Dynatrace.
  • У вас есть максимум 30 дней после того, как был обнаружен последний невалидный токен для ухода из ручного обеспечения (чтобы отключить вручную применять аутентификацию токена ActiveGate). Например, если последний невалидный токен был обнаружен 20 дней назад, у вас все еще есть 10 дней, чтобы уйти из ручного режима. После того, как переходный период закончился, переключатель будет отключен (так что вы не можете его выключить).

Переходный период

Переходный период в 30 дней предназначен для предотвращения потери данных от АкктивныхШлюзов, где новые токены еще не активированы в вашей среде.

В течение этого периода, если какая-либо попытка подключиться без токена ActiveGate будет обнаружена:

  • Применение токенов ActiveGate не будет включено, и всем АктивнымШлюзам будет разрешено подключаться к кластеру Dynatrace (потребуются только токены арендатора).
  • Переходный период сбрасывается на 30 дней - Применение токена ActiveGateа будет автоматически включаться не раньше, чем через 30 дней с этого момента.

Состояние токена ActiveGate

Если ваши ActiveGates не используют допустимые токены ActiveGate, вы можете проверить, почему токены недействительны.

1. В меню Dynatrace перейдите к статусу развертывания и выберите ActiveGates.

2. Выберите Проверить статусы токенов ActiveGate.

Примечание: Эта опция доступна только при наличии проблем с токенами ActiveGate.

В зависимости от статуса вам может потребоваться выполнить некоторые действия для перехода к сетевой безопасности на основе токенов ActiveGate.

Отсутствует

Версия ActiveGate поддерживает токены ActiveGate, но по-прежнему использует токен арендатора для связи. Создайте и настройте новый токен ActiveGate.

Истекает

Срок действия токена ActiveGate истекает через 30 или менее дней. Если в вашей среде принудительно используются токены ActiveGate, ваш ActiveGate потеряет соединение после истечения срока действия токена.

Невалидный

ActiveGate настроен на использование токена ActiveGate, но его формат недействителен. Создайте и настройте новый токен ActiveGate.

Неизвестный

ActiveGate настроен на использование токена ActiveGate, и формат токена действителен, но токен не распознается кластером Dynatrace. Создайте и настройте новый токен ActiveGate.

Действительный

ActiveGate использует действительный токен ActiveGate для аутентификации.

Неподдерживаемый

ActiveGate версии 1.223 или более ранней; Сетевая безопасность на основе токенов ActiveGate поддерживается для ActiveGate версии 1.225+.

Сгенерируйте и настройте токен ActiveGate

  • Если ваш ActiveGate развернут как StatefulSet, вам необходимо сгенерировать токен ActiveGate и добавить его в свою конфигурацию.

Заметки:

  • Исходный токен ActiveGate нельзя использовать для контейнерных ActiveGate.
  • Токен ActiveGate может совместно использоваться несколькими АктивнымиШлюзами в одной среде.
  • Если ваш ActiveGate развернут с помощью оператора Dynatrace, оператор Dynatrace обрабатывает токен авторизации. Начиная с Dynatrace Operator версии 0.9.0+, вы должны включить область создания токенов ActiveGate (activeGateTokenManagement.create). Дополнительные сведения см. в разделе Начало работы с мониторингом Kubernetes/OpenShift.

Если у вас возникли проблемы с токеном ActiveGate, см. раздел Устранение неполадок.

  • Все ActiveGates на базе хоста, установленные через веб-интерфейс Dynatrace или API Dynatrace, уже имеют автоматически сгенерированный токен ActiveGate. Однако иногда вам может понадобиться сгенерировать токен ActiveGate и настроить его в файле authorization.properties.

Сгенерировать токен ActiveGate

1. Создайте токен API. Выберите одну из следующих областей маркеров, чтобы ограничить доступ из соображений безопасности:

  • Записать токены ActiveGate
  • Написать токены ActiveGate

2. Сохраните токен.

Примечание: отображается только один раз.

3. Используйте API токенов ActiveGate — POST конечную точку токена для создания токена. Авторизуйте вызов с помощью только что созданного токена API. Например, следующая команда сгенерирует токен ActiveGate со следующими параметрами:

  • Тип ActiveGate: ENVIRONMENT
  • Срок действия токена ActiveGate истекает через: 6 месяцев
  • Тип токена ActiveGate: индивидуальный токен ActiveGate (seedToken имеет значение false).

Команда: 

curl -X POST "https://{your-environment-id}.live.AstromKey.ru/api/v2/activeGateTokens" \
-H "Authorization: Api-Token {api-token}" \
-H "Accept: application/json; charset=utf-8" \
-H "Content-Type: application/json; charset=utf-8" \
-d "{
     "name": "myToken",
     "expirationDate": "now+6M",
     "seedToken": false,
     "activeGateType": "ENVIRONMENT"
    }"

Замените:

  • {your-environment-id} с идентификатором вашего окружения
  • {api-token} с токеном API, установленным в одну из следующих областей действия: Создать токены ActiveGate или Записать токены ActiveGate.

Пример тела ответа: 

{
  "token": "dt0g01.4KWZO5EF.
  XT47R5DRADJIZUFOX4UDNOKTSUSABGLN7XSMJG7UXHRXKNY4WLORH4OF4T75MG7E",
  "expirationTimeEpoch": 1607096737302
}

Настроить токен в АктивномШлюзе на хосте

1. В каталоге конфигурации ActiveGate найдите файл авторизации.properties.

2. Отредактируйте файл, добавив сгенерированный вами токен ActiveGate в качестве значения свойства authToken. Например: 

authToken = dt0g01.4KWZO5EF.XT47R5DRADJIZUFOX4UDNOKTSUSABGLN7XSMJG7UXHRXKNY4WLORH4OF4T75MG7E     # present, if required

3. Перезапустите основную службу ActiveGate.

Уведомления об истечении срока действия токена ActiveGate

Помимо настройки внутреннего механизма ротации токенов ActiveGate до истечения срока их действия, вы можете настроить уведомления об истечении срока действия токенов ActiveGate. Для этого создайте интеграцию уведомлений о проблемах (например, по электронной почте), используя встроенный профиль оповещения Значение по умолчанию для истечения срока действия токена ActiveGate.

Для Dynatrace Managed контакты для экстренных случаев также получают уведомления об истечении срока действия токена.

Чтобы отключить уведомления

1. В меню Dynatrace выберите Статус развертывания > ActiveGates.

2. Выберите Дополнительно (…), затем выберите Настройки применения токена ActiveGate.

3. Отключите Включить уведомления об истечении срока действия токенов ActiveGate.

4. Выберите Сохранить изменения.

Источник — https://doc.expert-apm.kz/index.php?title=Безопасность_АктивногоШлюза&oldid=3221