OpenShift 文档正在迁移,不久后将仅在 docs.redhat.com(所有 Red Hat 产品文档的中心)提供。立即体验 新的文档体验
  1. 文档
    2. history bug_report picture_as_pdf
×

监控 RHACS

您可以使用 Red Hat OpenShift 的内置监控或自定义 Prometheus 监控来监控 Red Hat Advanced Cluster Security for Kubernetes (RHACS)。

如果您使用 RHACS 与 Red Hat OpenShift,OpenShift Container Platform 包含一个预配置、预安装且自动更新的监控堆栈,用于监控核心平台组件。RHACS 通过加密且经过身份验证的端点向 Red Hat OpenShift 监控公开指标。

使用 Red Hat OpenShift 进行监控

使用 Red Hat OpenShift 进行监控默认启用。此默认行为无需任何配置。

如果您之前已使用 Prometheus Operator 配置监控,请考虑删除自定义的 ServiceMonitor 资源。RHACS 附带预配置的 Red Hat OpenShift 监控 ServiceMonitor。多个 ServiceMonitors 可能会导致重复抓取。

扫描器不支持使用 Red Hat OpenShift 进行监控。如果您想监控扫描器,必须首先禁用默认的 Red Hat OpenShift 监控。然后,配置自定义 Prometheus 监控。

有关禁用 Red Hat OpenShift 监控的更多信息,请参见“使用 RHACS Operator 禁用中心服务的 Red Hat OpenShift 监控”或“使用 Helm 禁用中心服务的 Red Hat OpenShift 监控”。有关配置 Prometheus 的更多信息,请参见“使用自定义 Prometheus 进行监控”。

使用自定义 Prometheus 进行监控

Prometheus 是一个开源监控和警报平台。您可以使用它来监控 RHACS 中心和传感器组件的运行状况和可用性。启用监控时,RHACS 会在端口号 9090 上创建一个新的监控服务,并创建一个网络策略以允许到该端口的入站连接。

此监控服务公开的端点未经 TLS 加密,也没有授权。仅当您不想使用 Red Hat OpenShift 监控时才使用此方法。

在使用自定义 Prometheus 监控之前,如果您使用的是 Red Hat OpenShift,则必须禁用默认监控。如果您使用的是 Kubernetes,则无需执行此步骤。

使用 RHACS Operator 禁用中心服务的 Red Hat OpenShift 监控

要使用 Operator 禁用默认监控,请更改 Central 自定义资源的配置,如下例所示。有关配置选项的更多信息,请参见“附加资源”部分中的“使用 Operator 进行中心配置选项”。

步骤

  1. 在 OpenShift Container Platform Web 控制台中,转到**Operators** → **已安装的 Operators** 页面。

  2. 从已安装的 Operators 列表中选择 RHACS Operator。

  3. 单击**Central** 选项卡。

  4. 从 Central 实例列表中,单击要为其启用监控的 Central 实例。

  5. 单击**YAML** 选项卡并更新 YAML 配置,如下例所示

    monitoring:
    openshift:
        enabled: false

使用 Helm 禁用中心服务的 Red Hat OpenShift 监控

要使用 Helm 禁用默认监控,请更改 central-services Helm 图表中的配置选项。有关配置选项的更多信息,请参见“附加资源”部分中的文档。

步骤

  1. 使用以下值更新配置文件

    monitoring.openshift.enabled: false

  2. 运行 helm upgrade 命令并指定配置文件。

使用 RHACS Operator 监控中心服务

您可以通过更改 Central 自定义资源的配置来监控中心服务、中心和扫描器。有关配置选项的更多信息,请参见“附加资源”部分中的“使用 Operator 进行中心配置选项”。

步骤

  1. 在 OpenShift Container Platform Web 控制台中,转到**Operators** → **已安装的 Operators** 页面。

  2. 从已安装的 Operators 列表中选择 Red Hat Advanced Cluster Security for Kubernetes Operator。

  3. 单击**Central** 选项卡。

  4. 从 Central 实例列表中,单击要为其启用监控的 Central 实例。

  5. 单击**YAML** 选项卡并更新 YAML 配置

    • 要监控中心,请为 Central 自定义资源启用 central.monitoring.exposeEndpoint 配置选项。

    • 要监控扫描器,请为 Central 自定义资源启用 scanner.monitoring.exposeEndpoint 配置选项。

  6. 单击**保存**。

使用 Helm 监控中心服务

您可以通过更改 central-services Helm 图表中的配置选项来监控中心服务、中心和扫描器。有关更多信息,请参见“附加资源”部分中的“部署 central-services Helm 图表后更改配置选项”。

步骤

  1. 使用以下值更新 values-public.yaml 配置文件

    central.exposeMonitoring: true
scanner.exposeMonitoring: true

  2. 运行 helm upgrade 命令并指定配置文件。

使用 Prometheus service monitor 监控中心

如果您使用的是 Prometheus Operator,则可以使用 service monitor 从 Red Hat Advanced Cluster Security for Kubernetes (RHACS) 抓取指标。

如果您未使用 Prometheus operator,则必须编辑 Prometheus 配置文件才能接收来自 RHACS 的数据。
步骤

  1. 创建一个包含以下内容的新 servicemonitor.yaml 文件

    apiVersion: monitoring.coreos.com/v1
kind: ServiceMonitor
metadata:
  name: prometheus-stackrox
  namespace: stackrox
spec:
  endpoints:
    - interval: 30s
      port: monitoring
      scheme: http
  selector:
    matchLabels:
      app.kubernetes.io/name: <stackrox-service> (1)
    1 标签必须与您要监控的 Service 资源匹配。例如,centralscanner

  2. 将 YAML 应用到集群

    $ oc apply -f servicemonitor.yaml (1)
    1 如果您使用的是 Kubernetes,请输入 kubectl 代替 oc
验证

  • 运行以下命令以检查 service monitor 的状态

    $ oc get servicemonitor --namespace stackrox (1)
    1 如果您使用的是 Kubernetes,请输入 kubectl 代替 oc

附加资源