Безопасность АктивногоШлюза: различия между версиями

Материал из Dynatrace
 
(не показана 1 промежуточная версия этого же участника)
Строка 1: Строка 1:
Начиная с Ключ-Астром версии 1.225, каждый АктивныйШлюз использует свой собственный уникальный токен АктивногоШлюза для разрешения в кластере Ключ-Астром.
Начиная с Dynatrace версии 1.225, каждый ActiveGate использует свой собственный уникальный токен ActiveGate для разрешения в кластере Dynatrace.


В зависимости от состояния вашего развертывания, начиная с версии Ключ-Астром 1.246, вам, возможно, потребуется выполнить некоторые действия для миграции в безопасность на основе токенов АктивногоШлюза.
В зависимости от состояния вашего развертывания, начиная с версии Dynatrace 1.246, вам, возможно, потребуется выполнить некоторые действия для миграции в безопасность на основе токенов ActiveGate.


== Миграция в токены АктивногоШлюза ==
== Миграция в токены ActiveGate ==
Чтобы перейти на безопасность на основе токенов АктивногоШлюза, начните с определения состояния использования токена АктивногоШлюза.
Чтобы перейти на безопасность на основе токенов ActiveGate, начните с определения состояния использования токена ActiveGate.


1. В меню Ключ-Астром перейдите в '''настройки''' и выберите «Предпочтения»> «Безопасность сети».
1. В меню Dynatrace перейдите в '''настройки''' и выберите «Предпочтения»> «Безопасность сети».


2. Просмотрите сообщения, отображаемые на странице '''безопасности сети''' и решайте любые проблемы, как описано ниже.
2. Просмотрите сообщения, отображаемые на странице '''безопасности сети''' и решайте любые проблемы, как описано ниже.


=== Никаких действий не требуется ===
=== Никаких действий не требуется ===
Если Ключ-Астром отображает подобное сообщение:
Если Dynatrace отображает подобное сообщение:
  Токены АктивныхШлюзов применяются автоматически в вашей среде. Только АктивныеШлюзы с действительными токенами АктивныхШлюзов могут подключаться к Ключ-АСТРОМ.
  Токены АктивныхШлюзов применяются автоматически в вашей среде. Только ActiveGates с действительными токенами АктивныхШлюзов могут подключаться к Dynatrace.


* Дополнительных действий не требуется. Безопасность АктивногоШлюза включена и все готово.
* Дополнительных действий не требуется. Безопасность ActiveGate включена и все готово.
* Только АктивныеШлюзы с действительными токенами АктивногоШлюза могут подключаться к Ключ-Астром.
* Только ActiveGates с действительными токенами ActiveGate могут подключаться к Dynatrace.


=== Исправить проблемы токена АктивногоШлюза ===
=== Исправить проблемы токена ActiveGate ===
Если Ключ-Астром отображает подобное сообщение:
Если Dynatrace отображает подобное сообщение:
  У вас имеется 1 АктивныйШлюз с недействительным токеном, который потеряет соединение с Ключ-АСТРОМ, если вы сейчас примените токены АктивныхШлюзов. Перейдите к  статусу развёртывания, чтобы увидеть список АктивныхШлюзов и соответствующие проблемы.
  У вас имеется 1 ActiveGate с недействительным токеном, который потеряет соединение с Dynatrace, если вы сейчас примените токены АктивныхШлюзов. Перейдите к  статусу развёртывания, чтобы увидеть список АктивныхШлюзов и соответствующие проблемы.


* Токены АктивногоШлюза еще не применяются, а некоторые из ваших активных агентов используют недействительные токены.
* Токены ActiveGate еще не применяются, а некоторые из ваших активных агентов используют недействительные токены.
* Вам нужно решить проблемы на основе статуса. В противном случае такие активные агенты потеряют связь после применения токенов АктивногоШлюза.
* Вам нужно решить проблемы на основе статуса. В противном случае такие активные агенты потеряют связь после применения токенов ActiveGate.


=== Необходимо немедленно применить токены АктивногоШлюза ===
=== Необходимо немедленно применить токены ActiveGate ===
Если Ключ-Астром отображает подобное сообщение:
Если Dynatrace отображает подобное сообщение:
  Вы можете вручную применить токены АктивныхШлюзов прямо сейчас, чтобы мгновенно повысить безопасность сети.
  Вы можете вручную применить токены АктивныхШлюзов прямо сейчас, чтобы мгновенно повысить безопасность сети.
  Вы можете отменить применение в течение 30 дней.
  Вы можете отменить применение в течение 30 дней.


* У вас есть возможность немедленно обеспечить соблюдение токенов АктивногоШлюза. Вы можете сделать это в любое время, независимо от того, сообщают ли ваши АктивныеШлюзы проблемы токена, но обязательно прочитайте ручное исполнение токенов АктивногоШлюза ниже. Все АктивныеШлюзы со статусом, отличным от действительного, потеряют связь с Ключ-Астром.
* У вас есть возможность немедленно обеспечить соблюдение токенов ActiveGate. Вы можете сделать это в любое время, независимо от того, сообщают ли ваши ActiveGates проблемы токена, но обязательно прочитайте ручное исполнение токенов ActiveGate ниже. Все ActiveGates со статусом, отличным от действительного, потеряют связь с Dynatrace.


=== Типы токенов АктивногоШлюза ===
=== Типы токенов ActiveGate ===
Токен АктивногоШлюза представлены в двух вариациях:
Токен ActiveGate представлены в двух вариациях:


* '''Seed Токен''' - токен АктивногоШлюза Seed автоматически настроен на установщик АктивногоШлюза при загрузке установщика с помощью пользовательского интерфейса Ключ-Астром Web или Ключ-Астром API.
* '''Seed Токен''' - токен ActiveGate Seed автоматически настроен на установщик ActiveGate при загрузке установщика с помощью пользовательского интерфейса Dynatrace Web или Dynatrace API.
* '''Индивидуальный токен''' - в рамках первого соединения АктивногоШлюза с кластером Ключ-Астром начальный токен АктивногоШлюза Seed -токен заменяется автоматически генерируемым индивидуальным токеном АктивногоШлюза. Один и тот же установщик может использоваться несколько раз; Первоначальный токен АктивногоШлюза Seed Lever разрешается создавать несколько отдельных токенов АктивногоШлюза.
* '''Индивидуальный токен''' - в рамках первого соединения ActiveGate с кластером Dynatrace начальный токен ActiveGate Seed -токен заменяется автоматически генерируемым индивидуальным токеном ActiveGate. Один и тот же установщик может использоваться несколько раз; Первоначальный токен ActiveGate Seed Lever разрешается создавать несколько отдельных токенов ActiveGate.


=== Структура токна АктивногоШлюза ===
=== Структура токна ActiveGate ===
Токена АктивногоШлюза состоит из трех частей, разделенных точками (.).
Токена ActiveGate состоит из трех частей, разделенных точками (.).


Пример:
Пример:
Строка 64: Строка 64:
|Третья часть (<code>XT47R5DRADJIZUFOX4UDNOKTSUSABGLN7XSMJG7UXHRXKNY4WLORH4OF4T75MG7E</code> в примере выше)-это 64-символьная секретная часть токена.
|Третья часть (<code>XT47R5DRADJIZUFOX4UDNOKTSUSABGLN7XSMJG7UXHRXKNY4WLORH4OF4T75MG7E</code> в примере выше)-это 64-символьная секретная часть токена.


Обратитесь к секретной части как пароль. Он не должен отображаться в интерфейсе Ключ-Астром Web (после начального создания) или храниться в файлах журнала.
Обратитесь к секретной части как пароль. Он не должен отображаться в интерфейсе Dynatrace Web (после начального создания) или храниться в файлах журнала.
|}
|}


== Применение токенов АктивногоШлюза ==
== Применение токенов ActiveGate ==
Все ваши АктивныеШлюзы уже постепенно мигрировали для использования токенов АктивногоШлюза во время обновлений АктивногоШлюза, начиная с версии АктивногоШлюза 1.225.
Все ваши ActiveGates уже постепенно мигрировали для использования токенов ActiveGate во время обновлений ActiveGate, начиная с версии ActiveGate 1.225.


Чтобы проверить, в каких из ваших АктивныхШлюзов уже включены токены АктивногоШлюза
Чтобы проверить, в каких из ваших АктивныхШлюзов уже включены токены ActiveGate


# В меню Ключ-Астром перейдите в '''статус развертывания''' и выберите '''АктивныеШлюзы'''.
# В меню Dynatrace перейдите в '''статус развертывания''' и выберите '''ActiveGates'''.
# Вы можете отфильтровать свои АктивныеШлюзы по следующим статусам токена АктивногоШлюза:
# Вы можете отфильтровать свои ActiveGates по следующим статусам токена ActiveGate:
#* Отсутствующий
#* Отсутствующий
#* Истекает
#* Истекает
Строка 81: Строка 81:
#* Не поддерживается.
#* Не поддерживается.


=== Автоматическое применение токенов АктивногоШлюза ===
=== Автоматическое применение токенов ActiveGate ===
Если все ваши АктивныеШлюзы готовы к безопасности сети на основе токенов в течение 30 дней, ваша среда автоматически переключается на сетевую безопасность на основе токенов АктивногоШлюза.
Если все ваши ActiveGates готовы к безопасности сети на основе токенов в течение 30 дней, ваша среда автоматически переключается на сетевую безопасность на основе токенов ActiveGate.


=== Ручное обеспечение токенов АктивногоШлюза ===
=== Ручное обеспечение токенов ActiveGate ===
Если вы хотите ускорить процесс, и вы уверены, что в вашей среде есть только АктивныеШлюзы версии 1.225+, вы можете заставить переключать токены АктивногоШлюза, когда вы готовы.
Если вы хотите ускорить процесс, и вы уверены, что в вашей среде есть только ActiveGates версии 1.225+, вы можете заставить переключать токены ActiveGate, когда вы готовы.


1. В меню Ключ-Астром перейдите в '''настройки''' и выберите «Предпочтения»> «Безопасность сети».
1. В меню Dynatrace перейдите в '''настройки''' и выберите «Предпочтения»> «Безопасность сети».


2. Включите '''вручную применять аутентификацию токена АктивногоШлюза'''.
2. Включите '''вручную применять аутентификацию токена ActiveGate'''.


* Когда вы включаете '''вручную применять аутентификацию токена АктивногоШлюза''' и сохраняете свои изменения, все активные агенты со статусом, отличным от действительного, потеряют свою связь с Ключ-Астром.
* Когда вы включаете '''вручную применять аутентификацию токена ActiveGate''' и сохраняете свои изменения, все активные агенты со статусом, отличным от действительного, потеряют свою связь с Dynatrace.
* У вас есть максимум 30 дней после того, как был обнаружен последний невалидный токен для ухода из ручного обеспечения (чтобы отключить '''вручную применять аутентификацию токена АктивногоШлюза'''). Например, если последний невалидный токен был обнаружен 20 дней назад, у вас все еще есть 10 дней, чтобы уйти из ручного режима. После того, как переходный период закончился, переключатель будет отключен (так что вы не можете его выключить).
* У вас есть максимум 30 дней после того, как был обнаружен последний невалидный токен для ухода из ручного обеспечения (чтобы отключить '''вручную применять аутентификацию токена ActiveGate'''). Например, если последний невалидный токен был обнаружен 20 дней назад, у вас все еще есть 10 дней, чтобы уйти из ручного режима. После того, как переходный период закончился, переключатель будет отключен (так что вы не можете его выключить).


=== Переходный период ===
=== Переходный период ===
Переходный период в 30 дней предназначен для предотвращения потери данных от АкктивныхШлюзов, где новые токены еще не активированы в вашей среде.
Переходный период в 30 дней предназначен для предотвращения потери данных от АкктивныхШлюзов, где новые токены еще не активированы в вашей среде.


В течение этого периода, если какая-либо попытка подключиться без токена АктивногоШлюза будет обнаружена:
В течение этого периода, если какая-либо попытка подключиться без токена ActiveGate будет обнаружена:


* Применение токенов АктивногоШлюза не будет включено, и всем АктивнымШлюзам будет разрешено подключаться к кластеру Ключ-Астром (потребуются только токены арендатора).
* Применение токенов ActiveGate не будет включено, и всем АктивнымШлюзам будет разрешено подключаться к кластеру Dynatrace (потребуются только токены арендатора).
* Переходный период сбрасывается на 30 дней - Применение токена АктивныйШлюза будет автоматически включаться не раньше, чем через 30 дней с этого момента.
* Переходный период сбрасывается на 30 дней - Применение токена ActiveGateа будет автоматически включаться не раньше, чем через 30 дней с этого момента.


== Состояние токена АктивногоШлюза ==
== Состояние токена ActiveGate ==
Если ваши АктивныеШлюзы не используют допустимые токены АктивногоШлюза, вы можете проверить, почему токены недействительны.
Если ваши ActiveGates не используют допустимые токены ActiveGate, вы можете проверить, почему токены недействительны.


1. В меню Ключ-Астром перейдите к '''статусу развертывания''' и выберите '''АктивныеШлюзы'''.
1. В меню Dynatrace перейдите к '''статусу развертывания''' и выберите '''ActiveGates'''.


2. Выберите '''Проверить статусы токенов АктивногоШлюза'''.
2. Выберите '''Проверить статусы токенов ActiveGate'''.


'''Примечание:''' Эта опция доступна только при наличии проблем с токенами АктивногоШлюза.
'''Примечание:''' Эта опция доступна только при наличии проблем с токенами ActiveGate.


В зависимости от статуса вам может потребоваться выполнить некоторые действия для перехода к сетевой безопасности на основе токенов АктивногоШлюза.
В зависимости от статуса вам может потребоваться выполнить некоторые действия для перехода к сетевой безопасности на основе токенов ActiveGate.


=== Отсутствует ===
=== Отсутствует ===
Версия АктивногоШлюза поддерживает токены АктивногоШлюза, но по-прежнему использует токен арендатора для связи. Создайте и настройте новый токен АктивногоШлюза.
Версия ActiveGate поддерживает токены ActiveGate, но по-прежнему использует токен арендатора для связи. Создайте и настройте новый токен ActiveGate.


=== Истекает ===
=== Истекает ===
Срок действия токена АктивногоШлюза истекает через 30 или менее дней. Если в вашей среде принудительно используются токены АктивногоШлюза, ваш АктивныйШлюз потеряет соединение после истечения срока действия токена.
Срок действия токена ActiveGate истекает через 30 или менее дней. Если в вашей среде принудительно используются токены ActiveGate, ваш ActiveGate потеряет соединение после истечения срока действия токена.


=== Невалидный ===
=== Невалидный ===
АктивныйШлюз настроен на использование токена АктивногоШлюза, но его формат недействителен. Создайте и настройте новый токен АктивногоШлюза.
ActiveGate настроен на использование токена ActiveGate, но его формат недействителен. Создайте и настройте новый токен ActiveGate.


=== Неизвестный ===
=== Неизвестный ===
АктивныйШлюз настроен на использование токена АктивногоШлюза, и формат токена действителен, но токен не распознается кластером Ключ-Астром. Создайте и настройте новый токен АктивногоШлюза.
ActiveGate настроен на использование токена ActiveGate, и формат токена действителен, но токен не распознается кластером Dynatrace. Создайте и настройте новый токен ActiveGate.


=== Действительный ===
=== Действительный ===
АктивныйШлюз использует действительный токен АктивногоШлюза для аутентификации.
ActiveGate использует действительный токен ActiveGate для аутентификации.


=== Неподдерживаемый ===
=== Неподдерживаемый ===
АктивныйШлюз версии 1.223 или более ранней; Сетевая безопасность на основе токенов АктивногоШлюза поддерживается для АктивногоШлюза версии 1.225+.
ActiveGate версии 1.223 или более ранней; Сетевая безопасность на основе токенов ActiveGate поддерживается для ActiveGate версии 1.225+.


== Сгенерируйте и настройте токен АктивногоШлюза ==
== Сгенерируйте и настройте токен ActiveGate ==


* Если ваш АктивныйШлюз развернут как StatefulSet, вам необходимо сгенерировать токен АктивногоШлюза и добавить его в свою конфигурацию.
* Если ваш ActiveGate развернут как StatefulSet, вам необходимо сгенерировать токен ActiveGate и добавить его в свою конфигурацию.


'''Заметки''':
'''Заметки''':


* Исходный токен АктивногоШлюза нельзя использовать для контейнерных АктивногоШлюза.
* Исходный токен ActiveGate нельзя использовать для контейнерных ActiveGate.
* Токен АктивногоШлюза может совместно использоваться несколькими АктивнымиШлюзами в одной среде.
* Токен ActiveGate может совместно использоваться несколькими АктивнымиШлюзами в одной среде.


* Если ваш АктивныйШлюз развернут с помощью оператора Ключ-Астром, оператор Ключ-Астром обрабатывает токен авторизации. Начиная с Ключ-Астром Operator версии 0.9.0+, вы должны включить область создания токенов АктивногоШлюза (activeGateTokenManagement.create). Дополнительные сведения см. в разделе Начало работы с мониторингом Kubernetes/OpenShift.
* Если ваш ActiveGate развернут с помощью оператора Dynatrace, оператор Dynatrace обрабатывает токен авторизации. Начиная с Dynatrace Operator версии 0.9.0+, вы должны включить область создания токенов ActiveGate (activeGateTokenManagement.create). Дополнительные сведения см. в разделе Начало работы с мониторингом Kubernetes/OpenShift.


Если у вас возникли проблемы с токеном АктивногоШлюза, см. раздел Устранение неполадок.
Если у вас возникли проблемы с токеном ActiveGate, см. раздел Устранение неполадок.


* Все АктивныеШлюзы на базе хоста, установленные через веб-интерфейс Ключ-Астром или API Ключ-Астром, уже имеют автоматически сгенерированный токен АктивногоШлюза. Однако иногда вам может понадобиться сгенерировать токен АктивногоШлюза и настроить его в файле authorization.properties.
* Все ActiveGates на базе хоста, установленные через веб-интерфейс Dynatrace или API Dynatrace, уже имеют автоматически сгенерированный токен ActiveGate. Однако иногда вам может понадобиться сгенерировать токен ActiveGate и настроить его в файле authorization.properties.


=== Сгенерировать токен АктивногоШлюза ===
=== Сгенерировать токен ActiveGate ===
1. Создайте токен API. Выберите одну из следующих областей маркеров, чтобы ограничить доступ из соображений безопасности:
1. Создайте токен API. Выберите одну из следующих областей маркеров, чтобы ограничить доступ из соображений безопасности:


* '''Записать токены АктивногоШлюза'''
* '''Записать токены ActiveGate'''
* '''Написать токены АктивногоШлюза'''
* '''Написать токены ActiveGate'''


2. Сохраните токен.
2. Сохраните токен.
Строка 156: Строка 156:
'''Примечание''': отображается только один раз.
'''Примечание''': отображается только один раз.


3. Используйте API токенов АктивногоШлюза — POST конечную точку токена для создания токена. Авторизуйте вызов с помощью только что созданного токена API. Например, следующая команда сгенерирует токен АктивногоШлюза со следующими параметрами:
3. Используйте API токенов ActiveGate — POST конечную точку токена для создания токена. Авторизуйте вызов с помощью только что созданного токена API. Например, следующая команда сгенерирует токен ActiveGate со следующими параметрами:


* Тип АктивногоШлюза:  <code>ENVIRONMENT</code>
* Тип ActiveGate:  <code>ENVIRONMENT</code>
* Срок действия токена АктивногоШлюза истекает через: <code>6 месяцев</code>
* Срок действия токена ActiveGate истекает через: <code>6 месяцев</code>
* Тип токена АктивногоШлюза: индивидуальный токен АктивногоШлюза (<code>seedToken</code> имеет значение false).
* Тип токена ActiveGate: индивидуальный токен ActiveGate (<code>seedToken</code> имеет значение false).


'''Команда''':
'''Команда''':
  curl -X POST "https://{your-environment-id}.live.AstromKey<nowiki/>.com/api/v2/activeGateTokens" \
  curl -X POST "<nowiki>https://{your-environment-id}.live.AstromKey.ru/api/v2/activeGateTokens</nowiki>" \
  -H "Authorization: Api-Token {api-token}" \
  -H "Authorization: Api-Token {api-token}" \
  -H "Accept: application/json; charset=utf-8" \
  -H "Accept: application/json; charset=utf-8" \
Строка 176: Строка 176:


* <code>{your-environment-id}</code> с идентификатором вашего окружения
* <code>{your-environment-id}</code> с идентификатором вашего окружения
* <code>{api-token}</code> с токеном API, установленным в одну из следующих областей действия: '''Создать токены АктивногоШлюза''' или '''Записать токены АктивногоШлюза'''.
* <code>{api-token}</code> с токеном API, установленным в одну из следующих областей действия: '''Создать токены ActiveGate''' или '''Записать токены ActiveGate'''.


Пример тела ответа:
Пример тела ответа:
Строка 186: Строка 186:


=== Настроить токен в АктивномШлюзе на хосте ===
=== Настроить токен в АктивномШлюзе на хосте ===
1. В каталоге конфигурации АктивногоШлюза найдите файл авторизации.properties.
1. В каталоге конфигурации ActiveGate найдите файл авторизации.properties.


2. Отредактируйте файл, добавив сгенерированный вами токен АктивногоШлюза в качестве значения свойства authToken. Например:
2. Отредактируйте файл, добавив сгенерированный вами токен ActiveGate в качестве значения свойства authToken. Например:
  authToken = dt0g01.4KWZO5EF.XT47R5DRADJIZUFOX4UDNOKTSUSABGLN7XSMJG7UXHRXKNY4WLORH4OF4T75MG7E     # present, if required
  authToken = dt0g01.4KWZO5EF.XT47R5DRADJIZUFOX4UDNOKTSUSABGLN7XSMJG7UXHRXKNY4WLORH4OF4T75MG7E     # present, if required
3. Перезапустите основную службу АктивногоШлюза.
3. Перезапустите основную службу ActiveGate.


== Уведомления об истечении срока действия токена АктивногоШлюза ==
== Уведомления об истечении срока действия токена ActiveGate ==
Помимо настройки внутреннего механизма ротации токенов АктивногоШлюза до истечения срока их действия, вы можете настроить уведомления об истечении срока действия токенов АктивногоШлюза. Для этого создайте интеграцию уведомлений о проблемах (например, по электронной почте), используя встроенный профиль оповещения '''Значение по умолчанию для истечения срока действия токена АктивногоШлюза'''.
Помимо настройки внутреннего механизма ротации токенов ActiveGate до истечения срока их действия, вы можете настроить уведомления об истечении срока действия токенов ActiveGate. Для этого создайте интеграцию уведомлений о проблемах (например, по электронной почте), используя встроенный профиль оповещения '''Значение по умолчанию для истечения срока действия токена ActiveGate'''.


Для Ключ-Астром Managed контакты для экстренных случаев также получают уведомления об истечении срока действия токена.
Для Dynatrace Managed контакты для экстренных случаев также получают уведомления об истечении срока действия токена.


Чтобы отключить уведомления
Чтобы отключить уведомления


1. В меню Ключ-Астром выберите '''Статус развертывания''' > '''АктивныеШлюзы'''.
1. В меню Dynatrace выберите '''Статус развертывания''' > '''ActiveGates'''.


2. Выберите '''Дополнительно''' (…), затем выберите '''Настройки применения токена АктивногоШлюза'''.
2. Выберите '''Дополнительно''' (…), затем выберите '''Настройки применения токена ActiveGate'''.


3. Отключите '''Включить уведомления об истечении срока действия токенов АктивногоШлюза'''.
3. Отключите '''Включить уведомления об истечении срока действия токенов ActiveGate'''.


4. Выберите '''Сохранить изменения'''.
4. Выберите '''Сохранить изменения'''.

Текущая версия на 20:06, 28 октября 2025

Начиная с Dynatrace версии 1.225, каждый ActiveGate использует свой собственный уникальный токен ActiveGate для разрешения в кластере Dynatrace.

В зависимости от состояния вашего развертывания, начиная с версии Dynatrace 1.246, вам, возможно, потребуется выполнить некоторые действия для миграции в безопасность на основе токенов ActiveGate.

Миграция в токены ActiveGate

Чтобы перейти на безопасность на основе токенов ActiveGate, начните с определения состояния использования токена ActiveGate.

1. В меню Dynatrace перейдите в настройки и выберите «Предпочтения»> «Безопасность сети».

2. Просмотрите сообщения, отображаемые на странице безопасности сети и решайте любые проблемы, как описано ниже.

Никаких действий не требуется

Если Dynatrace отображает подобное сообщение: 

Токены АктивныхШлюзов применяются автоматически в вашей среде. Только ActiveGates с действительными токенами АктивныхШлюзов могут подключаться к Dynatrace.
  • Дополнительных действий не требуется. Безопасность ActiveGate включена и все готово.
  • Только ActiveGates с действительными токенами ActiveGate могут подключаться к Dynatrace.

Исправить проблемы токена ActiveGate

Если Dynatrace отображает подобное сообщение: 

У вас имеется 1 ActiveGate с недействительным токеном, который потеряет соединение с Dynatrace, если вы сейчас примените токены АктивныхШлюзов. Перейдите к  статусу развёртывания, чтобы увидеть список АктивныхШлюзов и соответствующие проблемы.
  • Токены ActiveGate еще не применяются, а некоторые из ваших активных агентов используют недействительные токены.
  • Вам нужно решить проблемы на основе статуса. В противном случае такие активные агенты потеряют связь после применения токенов ActiveGate.

Необходимо немедленно применить токены ActiveGate

Если Dynatrace отображает подобное сообщение: 

Вы можете вручную применить токены АктивныхШлюзов прямо сейчас, чтобы мгновенно повысить безопасность сети.
Вы можете отменить применение в течение 30 дней.
  • У вас есть возможность немедленно обеспечить соблюдение токенов ActiveGate. Вы можете сделать это в любое время, независимо от того, сообщают ли ваши ActiveGates проблемы токена, но обязательно прочитайте ручное исполнение токенов ActiveGate ниже. Все ActiveGates со статусом, отличным от действительного, потеряют связь с Dynatrace.

Типы токенов ActiveGate

Токен ActiveGate представлены в двух вариациях:

  • Seed Токен - токен ActiveGate Seed автоматически настроен на установщик ActiveGate при загрузке установщика с помощью пользовательского интерфейса Dynatrace Web или Dynatrace API.
  • Индивидуальный токен - в рамках первого соединения ActiveGate с кластером Dynatrace начальный токен ActiveGate Seed -токен заменяется автоматически генерируемым индивидуальным токеном ActiveGate. Один и тот же установщик может использоваться несколько раз; Первоначальный токен ActiveGate Seed Lever разрешается создавать несколько отдельных токенов ActiveGate.

Структура токна ActiveGate

Токена ActiveGate состоит из трех частей, разделенных точками (.).

Пример:

dt0g02.4KWZO5EF.XT47R5DRADJIZUFOX4UDNOKTSUSABGLN7XSMJG7UXHRXKNY4WLORH4OF4T75MG7E

Часть Имя Описание
1 prefix Первая часть (dt0g02 в примере выше) является префиксом токена. Он идентифицирует тип токена.
2 public Вторая часть (4KWZO5EF в примере выше)-это 8-символьная общественная часть токена.

Вместе префикс и публичная часть составляют идентификатор токена.

Вы можете безопасно отобразить идентификатор токена в веб-пользовательском интерфейсе и использовать его в целях ведения журнала.

3 secret Третья часть (XT47R5DRADJIZUFOX4UDNOKTSUSABGLN7XSMJG7UXHRXKNY4WLORH4OF4T75MG7E в примере выше)-это 64-символьная секретная часть токена.

Обратитесь к секретной части как пароль. Он не должен отображаться в интерфейсе Dynatrace Web (после начального создания) или храниться в файлах журнала.

Применение токенов ActiveGate

Все ваши ActiveGates уже постепенно мигрировали для использования токенов ActiveGate во время обновлений ActiveGate, начиная с версии ActiveGate 1.225.

Чтобы проверить, в каких из ваших АктивныхШлюзов уже включены токены ActiveGate

  1. В меню Dynatrace перейдите в статус развертывания и выберите ActiveGates.
  2. Вы можете отфильтровать свои ActiveGates по следующим статусам токена ActiveGate:
    • Отсутствующий
    • Истекает
    • Невалидный
    • Неизвестный
    • Действительный
    • Не поддерживается.

Автоматическое применение токенов ActiveGate

Если все ваши ActiveGates готовы к безопасности сети на основе токенов в течение 30 дней, ваша среда автоматически переключается на сетевую безопасность на основе токенов ActiveGate.

Ручное обеспечение токенов ActiveGate

Если вы хотите ускорить процесс, и вы уверены, что в вашей среде есть только ActiveGates версии 1.225+, вы можете заставить переключать токены ActiveGate, когда вы готовы.

1. В меню Dynatrace перейдите в настройки и выберите «Предпочтения»> «Безопасность сети».

2. Включите вручную применять аутентификацию токена ActiveGate.

  • Когда вы включаете вручную применять аутентификацию токена ActiveGate и сохраняете свои изменения, все активные агенты со статусом, отличным от действительного, потеряют свою связь с Dynatrace.
  • У вас есть максимум 30 дней после того, как был обнаружен последний невалидный токен для ухода из ручного обеспечения (чтобы отключить вручную применять аутентификацию токена ActiveGate). Например, если последний невалидный токен был обнаружен 20 дней назад, у вас все еще есть 10 дней, чтобы уйти из ручного режима. После того, как переходный период закончился, переключатель будет отключен (так что вы не можете его выключить).

Переходный период

Переходный период в 30 дней предназначен для предотвращения потери данных от АкктивныхШлюзов, где новые токены еще не активированы в вашей среде.

В течение этого периода, если какая-либо попытка подключиться без токена ActiveGate будет обнаружена:

  • Применение токенов ActiveGate не будет включено, и всем АктивнымШлюзам будет разрешено подключаться к кластеру Dynatrace (потребуются только токены арендатора).
  • Переходный период сбрасывается на 30 дней - Применение токена ActiveGateа будет автоматически включаться не раньше, чем через 30 дней с этого момента.

Состояние токена ActiveGate

Если ваши ActiveGates не используют допустимые токены ActiveGate, вы можете проверить, почему токены недействительны.

1. В меню Dynatrace перейдите к статусу развертывания и выберите ActiveGates.

2. Выберите Проверить статусы токенов ActiveGate.

Примечание: Эта опция доступна только при наличии проблем с токенами ActiveGate.

В зависимости от статуса вам может потребоваться выполнить некоторые действия для перехода к сетевой безопасности на основе токенов ActiveGate.

Отсутствует

Версия ActiveGate поддерживает токены ActiveGate, но по-прежнему использует токен арендатора для связи. Создайте и настройте новый токен ActiveGate.

Истекает

Срок действия токена ActiveGate истекает через 30 или менее дней. Если в вашей среде принудительно используются токены ActiveGate, ваш ActiveGate потеряет соединение после истечения срока действия токена.

Невалидный

ActiveGate настроен на использование токена ActiveGate, но его формат недействителен. Создайте и настройте новый токен ActiveGate.

Неизвестный

ActiveGate настроен на использование токена ActiveGate, и формат токена действителен, но токен не распознается кластером Dynatrace. Создайте и настройте новый токен ActiveGate.

Действительный

ActiveGate использует действительный токен ActiveGate для аутентификации.

Неподдерживаемый

ActiveGate версии 1.223 или более ранней; Сетевая безопасность на основе токенов ActiveGate поддерживается для ActiveGate версии 1.225+.

Сгенерируйте и настройте токен ActiveGate

  • Если ваш ActiveGate развернут как StatefulSet, вам необходимо сгенерировать токен ActiveGate и добавить его в свою конфигурацию.

Заметки:

  • Исходный токен ActiveGate нельзя использовать для контейнерных ActiveGate.
  • Токен ActiveGate может совместно использоваться несколькими АктивнымиШлюзами в одной среде.
  • Если ваш ActiveGate развернут с помощью оператора Dynatrace, оператор Dynatrace обрабатывает токен авторизации. Начиная с Dynatrace Operator версии 0.9.0+, вы должны включить область создания токенов ActiveGate (activeGateTokenManagement.create). Дополнительные сведения см. в разделе Начало работы с мониторингом Kubernetes/OpenShift.

Если у вас возникли проблемы с токеном ActiveGate, см. раздел Устранение неполадок.

  • Все ActiveGates на базе хоста, установленные через веб-интерфейс Dynatrace или API Dynatrace, уже имеют автоматически сгенерированный токен ActiveGate. Однако иногда вам может понадобиться сгенерировать токен ActiveGate и настроить его в файле authorization.properties.

Сгенерировать токен ActiveGate

1. Создайте токен API. Выберите одну из следующих областей маркеров, чтобы ограничить доступ из соображений безопасности:

  • Записать токены ActiveGate
  • Написать токены ActiveGate

2. Сохраните токен.

Примечание: отображается только один раз.

3. Используйте API токенов ActiveGate — POST конечную точку токена для создания токена. Авторизуйте вызов с помощью только что созданного токена API. Например, следующая команда сгенерирует токен ActiveGate со следующими параметрами:

  • Тип ActiveGate: ENVIRONMENT
  • Срок действия токена ActiveGate истекает через: 6 месяцев
  • Тип токена ActiveGate: индивидуальный токен ActiveGate (seedToken имеет значение false).

Команда: 

curl -X POST "https://{your-environment-id}.live.AstromKey.ru/api/v2/activeGateTokens" \
-H "Authorization: Api-Token {api-token}" \
-H "Accept: application/json; charset=utf-8" \
-H "Content-Type: application/json; charset=utf-8" \
-d "{
     "name": "myToken",
     "expirationDate": "now+6M",
     "seedToken": false,
     "activeGateType": "ENVIRONMENT"
    }"

Замените:

  • {your-environment-id} с идентификатором вашего окружения
  • {api-token} с токеном API, установленным в одну из следующих областей действия: Создать токены ActiveGate или Записать токены ActiveGate.

Пример тела ответа: 

{
  "token": "dt0g01.4KWZO5EF.
  XT47R5DRADJIZUFOX4UDNOKTSUSABGLN7XSMJG7UXHRXKNY4WLORH4OF4T75MG7E",
  "expirationTimeEpoch": 1607096737302
}

Настроить токен в АктивномШлюзе на хосте

1. В каталоге конфигурации ActiveGate найдите файл авторизации.properties.

2. Отредактируйте файл, добавив сгенерированный вами токен ActiveGate в качестве значения свойства authToken. Например: 

authToken = dt0g01.4KWZO5EF.XT47R5DRADJIZUFOX4UDNOKTSUSABGLN7XSMJG7UXHRXKNY4WLORH4OF4T75MG7E     # present, if required

3. Перезапустите основную службу ActiveGate.

Уведомления об истечении срока действия токена ActiveGate

Помимо настройки внутреннего механизма ротации токенов ActiveGate до истечения срока их действия, вы можете настроить уведомления об истечении срока действия токенов ActiveGate. Для этого создайте интеграцию уведомлений о проблемах (например, по электронной почте), используя встроенный профиль оповещения Значение по умолчанию для истечения срока действия токена ActiveGate.

Для Dynatrace Managed контакты для экстренных случаев также получают уведомления об истечении срока действия токена.

Чтобы отключить уведомления

1. В меню Dynatrace выберите Статус развертывания > ActiveGates.

2. Выберите Дополнительно (…), затем выберите Настройки применения токена ActiveGate.

3. Отключите Включить уведомления об истечении срока действия токенов ActiveGate.

4. Выберите Сохранить изменения.

Источник — https://doc.expert-apm.kz/index.php?title=Безопасность_АктивногоШлюза&oldid=3221