Установка компонента Kintsugi agent (DBDA)#

Установка компонента Kintsugi agent (DBDA) делится на этапы:

  1. Ручная установка

  2. Настройка интеграций

  3. Валидация установки

Ручная установка#

Шаги установки#

Для установки Kintsugi agent (DBDA) выполните следующие шаги из-под привилегированного пользователя:

  1. Распакуйте содержимое архива kgagent.tar.gz:

    unzip /path/to/standard/DBDA-bin-X.X.X-XX_std-distrib.zip && \
tar -xvf /path/to/standard/package/bh/kgagent.tar.gz

  2. Скопируйте пакет kgagent-X.X.X-XX.x86_64.rpm на хост с наблюдаемой БД и выполните его установку:

    rpm -i /path/to/standard/kgagent-X.X.X-XX.x86_64.rpm

  3. Распакуйте архив с Lua-приложениями для kgagent:

    unzip DBM-X.X.X-std-XX-party-distrib.zip -d ./kgagent
find kgagent/ -maxdepth 1 -name "*.zip" -exec unzip -d kgagent/ {} \;

  4. Скопируйте из kgagent/services/kgagent/ каталог plugins на хост с наблюдаемой БД в директорию /etc/kgagent.

  5. Скопируйте сертификаты agent.crt и root_cert.crt из /path/to/standard/package/conf/conf/secrets/ssl на хост с наблюдаемой БД в директорию /etc/kgagent.

  6. Выполните конфигурацию компонента kgagent, в файле /etc/kgagent/config.yaml определите параметры:

    Название

    Значение

    Описание

    certificate.inmemory.path_to_client_cert

    /etc/kgagent/agent.crt

    Путь до файла сертификата agent.crt

    certificate.inmemory.path_to_root_cert

    /etc/kgagent/root_cert.crt

    Путь до файла сертификата удостоверяющего центра

    auth.base_url

    https://<KINTSUGI_ADDRESS>

    URL аутентификации

    auth.api_path

    /

    Путь к ресурсу аутентификации

    auth.header_client_cert

    x-forwarded-client-cert

    Заголовок запроса с сертификатом технического пользователя

    uploader.host

    <KINTSUGI_ADDRESS>

    Адрес хоста загрузки метрик

    uploader.port

    443

    Порт хоста загрузки метрик

    uploader.endpoint

    /agents/stream

    Эндпоинт для загрузки метрик

    uploader.ssl_enabled

    true

    Режим работы SSL

    metadata.hosts

    <OBSERVED_DB_HOST>

    Перечень адресов хостов наблюдаемых БД

    luavm.entry_point

    Путь к основному Lua-приложению, с которого начинается выполнение

    /etc/kgagent/plugins/init.lua

    luavm.std_libs

    Список стандартных библиотек Lua, доступных в виртуальной машине. Пустая строка - базовые функции (_G)

    ["", "math", "string", "table", "io", "os", "package", "debug", "channel", "kgsys"]

    luavm.memory_limit

    Максимальный объём памяти (в МБ), выделяемый для Lua-машины

    512

    luavm.execution_timeout_sec

    Максимальное время выполнения Lua-приложения в секундах

    300

    luavm.path

    Дополнительные пути поиска Lua-приложений (аналог package.path)

    /etc/kgagent/plugins

    Примечание

    Для запуска компонента kgagent из конфигурации по умолчанию необходимо исключить конфигурацию внешнего хранилища секретов certificate.secman.

  7. Запустите сервис, выполнив команду:

    systemctl start kgagent

  8. Убедитесь, что запуск прошел штатно и журнал событий не содержит ошибок:

    systemctl status kgagent
journalctl -u kgagent

  9. Выполните вход в веб-интерфейс Kintsugi (DBCM) и на вкладке Метрики создайте объект мониторинга для заданной БД.

    На дашборде Метрики отобразится информация по собранным метрикам хоста.

Настройка интеграций#

Для настройки интеграции Kintsugi agent (DBDA) с Kintsugi (DBCM) выполните конфигурацию файла /etc/kgagent/config.yml:

Настройка интеграции с системой управления секретами#

Для интеграции Kintsugi agent (DBDA) c HashiCorp Vault/Secret Management System (далее – SecMan) определите следующие параметры в файле /etc/kgagent/config.yml:

Параметр

Пример

Описание

secman.host

"https://secman-example.test:8443"

Адрес хоста SecMan

secman.path

"A/DEV/DBCM/KV/example-kintsugi-test/kintsugi-example-test"

Путь к KV-хранилищу SecMan

secman.namespace

"EXAMPLE_NAMESPACE"

SecMan namespace

secman.ca_cert

"/path/to/secure_connection.crt"

Цепочка доверенных удостоверяющих центров для установления безопасного соединения с SecMan

secman.certificate_parameters.secret_name

"kgagent"

Имя объекта, хранящего данные о сертификатах ТУЗ

secman.certificate_parameters.client_secret_key

"client_cert.secret"

Имя объекта, хранящего данные о персональном сертификате ТУЗ

secman.certificate_parameters.root_secret_key

"root_cert.secret"

Имя объекта, хранящего данные о цепочке доверенных удостоверяющих центров, для установления безопасного соединения с Kintsugi (DBCM)

secman.approle.endpoint_login

"auth/approle/login"

Endpoint аутентификации Kintsugi agent в сервисе SecMan

secman.approle.role_id

"roleID"

Идентификатор роли для аутентификации в сервисе SecMan

secman.approle.secret_id

"secretID"

Идентификатор секрета для аутентификации в сервисе SecMan

Настройка интеграции Kintsugi agent (DBDA) с системой Kintsugi (DBCM)#

Для настройки интеграции Kintsugi agent (DBDA) с системой Kintsugi (DBCM) определите следующие параметры в файле /etc/kgagent/config.yml:

Параметр

Пример

Описание

application.svc_shutdown_timeout_sec

10

Максимальное время (в секундах) ожидания штатного завершения работы подсистемы сервиса

application.svc_ping_period_sec

15

Период (в секундах) проверки жизни подсистем сервиса

application.svc_ping_timeout_sec

30

Максимальное время (в секундах), в течение которого сервис ожидает подтверждения работоспособности его подсистем

application.termination_timeout_sec

30

Максимальное время (в секундах) ожидания штатного завершения работы всего сервиса

certificate.inmemory.path_to_client_cert

"/path/to/client.crt"

Путь к файлу персонального сертификата технической учетной записи (ТУЗ). Параметр используется при отсутствии интеграции с сервисом SecMan

certificate.inmemory.path_to_root_cert

"/path/to/root.crt"

Путь к файлу цепочки сертификатов удостоверяющих центров. Параметр используется при отсутствии интеграции с сервисом SecMan

auth.base_url

"https://example-kintsugi-test"

Базовый URL для аутентификации Kintsugi agent в сервисе Kintsugi (DBCM)

auth.api_path

"/"

Endpoint для аутентификации в сервисе Kintsugi (DBCM)

auth.header_client_cert

"x-forwarded-client-cert"

Заголовок, содержащий данные об общем сертификате авторизации ТУЗ в сервисе Kintsugi (DBCM)

uploader.host

"proxy-example-kintsugi-test"

Адрес хоста для отправки данных о метриках

uploader.endpoint

"/agents/stream"

Endpoint для отправки данных о метриках

scanner.script.exec.path

"sudo"

Режим запуска скрипта поиска файлов СУБД PostgreSQL на хосте

scanner.script.exec.args

["-u", "postgres", "/usr/share/kgagent/find_postgres.sh"]

Команда запуска скрипта поиска файлов СУБД PostgreSQL на хосте

logging.log_level

info

Уровень логирования

metadata.hosts

- "hostname" - "10.XX.XX.XX"

Имя/IP-адрес хоста для сбора данных о метриках

Валидация установки#

Для валидации установки Kintsugi agent (DBDA) убедитесь, что:

  1. Выполнена установка Kintsugi agent (DBDA) на хосте с наблюдаемыми БД.

  2. Выполнена интеграция Kintsugi agent (DBDA) с системой управления секретами.

  3. Выполнена интеграция Kintsugi agent (DBDA) с системой Kintsugi (DBCM).