Руководство по системному администрированию#

Термины и определения#

Термин / Аббревиатура

Определение

Kubernetes / K8S

Платформа оркестрации приложений с средствами автоматизации и управления на основе политик

OpenShift

Открытая и расширяемая платформа приложений-контейнеров. Позволяет использовать Docker и Kubernetes

Pod / Под

Набор запущенных и взаимодействующих между собой контейнеров на одном сервере кластера

Project/namespace / Проект/неймспейс / NS

Абстракция, используемая в OpenShift для поддержки изоляциигрупп ресурсов в пределах одного кластера

SynAI / SAI

Программный продукт Platform V SynAI

АС

Автоматизированная система

БД

База данных

Платформа

K8S/OpenShift

ПО

Программное обеспечение

УЦ

Удостоверяющий центр

Сценарии администрирования#

В рамках текущей версии SynAi от администраторов не требуется дополнительных действий, кроме тех, что производятся в рамках документа "Руководство по установке".

События системного журнала#

K8S

Администратором АС, в качестве дополнительного источника информации для анализа статуса установки и текущего состояния SynAI, могут быть использованы события в рамках событийной модели K8S, которая прорабатывается исходя из предполагаемого ландшафта.

Функции авторизации и аутентификации Администратора АС, при развертывании в кластере Kubernetes, могут быть реализованы как самой платформой, так и сторонним ПО, например, KeyCloak.

OpenShift

В случае развертывания в OpenShift - применяется событийная модель OpenShift.

Авторизация и аутентификация Администратора АС осуществляется средствами платформы OpenShift и, как следствие, авторизация и аудит пользователя происходят также средствами платформы OpenShift. В системных журналах sidecar OAuth, используемого в SynAI для перенаправления пользователя на сервер авторизации OpenShift, отображаются эндпоинты сервера авторизации. В системных журналах sidecar synai-auth отображается процесс фильтрации доступных Администратору АС проектов: отображается логин Администратора АС и перечень проектов, к которым у него есть доступ.

События мониторинга#

Мониторинг программных компонент обеспечивается средствами Платформы. В качестве метрик мониторинга используются стандартные показатели утилизации пода, а также статус готовности пода обрабатывать входящий трафик.

Часто встречающиеся проблемы и пути их устранения#

Проблема

Причина

Последствия

Решения

Не визуализируется кластер либо проект

Отсутствие прав у администратора

Невозможность использования SynAI Администратором АС в виду отсутствия корректной настройки ролевой модели со стороны Платформы. Влияние оказывается только на работу конкретного Администратора АС с SynAI.

Проверить и настроить ролевую модель.

Так как Администратору АС в веб-интерфейсе SynAI доступны только те проекты и кластеры, к которым он имеет доступ, то необходимо проверить есть ли у Администратора АС действительно доступы к тем проектам и кластерам, что подключены к SynAI.
Список доступных проектов, а также возникшие при фильтрации проектов ошибки, доступны в системных журналах synai-auth sidecar.

Если доступов нет, то необходимо обратиться к владельцу ролевой модели Платформы для выдачи соответствующих прав.

Не визуализируется результат работы SynAI для кластера либо проекта

Отсутствие необходимых настроек на стороне Платформы

Невозможность использования SynAI для конкретного проекта, либо кластера ввиду отсутствия необходимых SynAI данных.

У SynAI нет доступа к пользовательским ресурсам в кластере или проекте пользователя.
Необходимо обратиться к сопровождению Платформы для проверки корректности настройки ролевой модели, необходимой для работы SynAI, и наличия доступов из проекта SynAI к проектам пользователей.

Не визуализируется кластер либо проект

Отсутствие необходимых настроек

Невозможность использования SynAI. SynAI не может получить и обработать необходимые ему данные, что приводит к недоступности системы.

Проверить доступность кластера либо проекта. На уровне настройки сети между проектами и кластерами может возникнуть изоляция, не позволяющая получить необходимые для работы SynAI данные.

Если это изоляция между проектами, то необходимо обратиться к команде сопровождения Платформы для правильной настройки и снятия данных ограничений.

Если это настройка между кластерами, то необходимо обратиться также к команде сопровождения Платформы.

Если же между кластерами нет возможности снять сетевую изоляцию, то необходимо установить на каждый такой кластер свою независимую инсталляцию SynAI.

Не визуализируется кластер либо проект, в логах подов обнаружены ошибки подключения к БД

Отсутствие подключения к БД по причине отсутствия физического доступа

Невозможность использования SynAI. SynAI не может ни записать, ни считать необходимые ему данные в БД, что приводит к недоступности системы.

Необходимо убедиться в наличии физического доступа от нод кластера Платформы, на котором установлен SynAI, до сервера базы данных.
Для этого следует обратиться к сопровождению Платформы.
При его отсутствии - обратиться к соответствующему подразделению, ответственному за настройку сетевых доступов, для настройки соответствующего доступа.

Не визуализируется кластер либо проект, в логах подов обнаружены ошибки подключения к БД

Отсутствие подключения к БД при использовании Mutual TSL по причине неправильно настроенных секретов подключения к БД

Невозможность использования SynAI. SynAI не может ни записать, ни считать необходимые ему данные в БД, что приводит к недоступности системы.

Проверить, что секреты, используемые для подключения к БД, примонтированы в правильную директорию файловой системы пода.

Убедиться, что ключ и клиентский сертификат подходят друг другу.

Убедиться, что клиентский и серверный сертификат подписаны либо один и тем же УЦ, либо могут доверять УЦ друг друга.

Убедиться в корректности заданной настройки SSL Mode (PostgreSQL/Pangolin) как в настройках приложения, так и в настройках сервера базы данных.