Учётные записи Визион
Список маршрутов HTTP API Визион.Сервера для внешних запросов
Перечисленные ниже внешние запросы должны использовать для аутентификации токен, который создаётся в разделе администратором ИБ.
| URL | Методы |
|---|---|
|
GET |
|
GET |
POST |
|
|
GET |
|
GET |
POST |
|
|
GET |
POST |
|
|
GET |
POST |
|
|
GET |
Учётные записи сторонних сервисов
ClickHouse
Учётная запись предназначена для сбора метрик из ClickHouse с помощью плагина clickhouse_sql_exporter. Этот плагин собирает метрики для мониторинга производительности базы данных, состояния транзакций, процессов и других важных параметров.
Учётная запись должна существовать на всех узлах кластера ClickHouse и обладать привилегиями, позволяющими выполнять запрос SELECT на всех таблицах.
SQL-запросы для создания учётной записи и назначения необходимых привилегий:
CREATE USER vision IDENTIFIED BY `<password>`;
GRANT SELECT ON *.* TO vision;Здесь <password> — пароль учётной записи.
Docker
Для сбора метрики docker_image_availability_status пользователь, от имени которого выполняются команды, должен входить в группу docker.
Для включения пользователя <username> в группу docker выполните команду:
gpasswd --add <username> dockerGreenplum
Учётная запись должна иметь привилегии администратора и разрешения на доступ к БД с ВМ Визион.
-
В конфигурационный файл
pg_hba.confдобавьте запись, разрешающую подключение с ВМ Визион с использованием имени пользователя и пароля, например:host all vision 192.168.0.1/32 md5Здесь
192.168.0.1— IP-адрес ВМ Визион, с которой выполняется подключение к СУБД. -
Подключитесь к Greenplum с помощью
psqlи выполните SQL-запрос для создания пользователяvision:CREATE USER vision WITH SUPERUSER PASSWORD '<password>'; -
В настройках плагина greenplum_sql_exporter укажите учётные данные созданного пользователя
vision.
IPMI
Учётная запись используется для взаимодействия с BMC узлов по протоколу IPMI через ipmi_exporter. Эта учётная запись позволяет собирать информацию о состоянии оборудования сервера, включая питание, температуру, скорость вращения вентиляторов и другие параметры.
Предоставленный пользователь должен быть администратором (роль admin), чтобы иметь доступ ко всем функциям IPMI и получать все метрики.
Имя пользователя и пароль IPMI укажите в параметрах таргета.
Kafka
Требования к учётной записи зависят от режима авторизации, установленного на стороне Kafka.
-
SASL:
-
Создайте пользователя Kafka, от имени которого агент будет подключаться к кластеру для сбора его метрик.
-
Настройте ACL: созданный пользователь Kafka должен иметь доступ к данным кластера, идентификаторам транзакций и так далее.
-
В настройках агента укажите реквизиты доступа к SASL.
-
-
PLAIN: дополнительная настройка не требуется, системный пользователь
visionимеет полный доступ к необходимой информации.
OpenNebula
Учётная запись используется для выполнения запросов к API OpenNebula frontend через плагин one_exporter. Он собирает метрики о состоянии кластеров и узлов.
Предоставленный пользователь должен иметь права на чтение и выполнение команд через OpenNebula API по указанному в настройках плагина эндпоинту в интерфейсе Визиона.
PostgreSQL
Учётная запись предназначена для сбора метрик из PostgreSQL с помощью плагинов:
Эти плагины собирают метрики для мониторинга производительности базы данных, состояния транзакций, процессов и других важных параметров.
Учётная запись PostgreSQL должна обладать следующими привилегиями:
-
Роль
pg_monitorдля предоставления доступа к просмотру метрик базы данных, но не к изменениям в системе. -
Права на выполнение
pg_stat_fileдля получения информации о файловой системе PostgreSQL.
SQL-запросы для назначения необходимых привилегий:
ALTER ROLE vision NOSUPERUSER;
GRANT pg_monitor TO vision;
GRANT EXECUTE ON FUNCTION pg_catalog.pg_stat_file(text) TO vision;SNMP
Протокол SNMP позволяет осуществлять мониторинг коммутаторов, СХД и других устройств.
Учётная запись используется для сбора метрик с помощью плагина snmp_exporter. Плагин настраивается в интерфейсе Визиона.
Особенности:
-
Поддерживаются версии SNMP v1, v2 и v3.
-
Для SNMP v3 поддерживается множество протоколов аутентификации и шифрования:
Протоколы аутентификации-
MD5
-
SHA
-
SHA224
-
SHA256
-
SHA384
-
SHA512
Протоколы шифрования-
AES
-
AES192
-
AES192C
-
AES256
-
AES256C
-
DES
-
БАЗИС.vControl
Настройка БАЗИС.vControl выполняется в два этапа:
-
Создание учётной записи в веб-интерфейсе.
-
Обновление параметров бэкендов vControl.
Создание УЗ в веб-интерфейсе
Авторизуйтесь в панели управления БАЗИС.vControl с привилегиями администратора и выполните следующие действия:
-
На панели навигации выберите .
-
Нажмите кнопку + Создать.
-
Заполните форму Создать пользователя:
-
Имя:
Vision. -
Логин:
vision. -
Пароль: пароль пользователя
vision, не менее 8 знаков. -
Требовать смену пароля при входе: переведите переключатель в выключенное положение.
В прочих полях оставьте значения по умолчанию.
-
-
Нажмите кнопку Создать.
-
Выберите вкладку Правила доступа.
-
Нажмите кнопку + Назначить роль.
-
Заполните форму Назначить роли доступа:
-
Пользователи и группы: выберите созданного ранее пользователя
vision. -
Роли: Мониторинг Инфраструктуры.
-
Наследовать значение: переведите переключатель во включенное положение.
-
-
Нажмите кнопку Назначить.
-
Убедитесь, что таблица Правила доступа содержит запись со следующими значениями:
Пользователи и группы Роль Тип Роли заданы Наследование Vision
Мониторинг инфраструктуры
Корень
Корень
Да
Обновление параметров бэкендов vControl
Подключитесь по SSH к серверу установки vControl от имени пользователя root и выполните следующие действия:
-
Перейдите в директорию дистрибутива (по умолчанию —
/root/deploy/). -
Если файл
backend-overridesне существует, создайте его путём копирования файла с примером заполнения:cp backend-overrides-example backend-overrides -
В файле
backend-overridesв блокеuser.expiration_disabled_forперечислите названия служебных учётных записей, к которым не должны применяться политики устаревания паролей. Обязательно добавьте в список учётные записиvdiиvision.Пример заполнения блокаexpiration_disabled_for# ... user: # ... expiration_disabled_for: - vdi - vision -
Если файл
pass.txtне существует, создайте его и укажите в нём пароль, который использовался при первоначальном развёртывании vControl. -
Запустите установку бэкендов vControl.
До завершения установки сервер vControl будет недоступен. ./deploy.sh -b -a environment-vms-XXXX.tgz -v pass.txtЗдесь:
-
environment-vms-XXXX.tgz— архив с файлами окружения используемой версии БАЗИС.vControl; -
pass.txt— файл с паролем развёртывания БАЗИС.vControl.
-
Панель управления БАЗИС.vControl
Учётная запись используется для мониторинга системы управления виртуализацией БАЗИС.vControl с помощью плагина supv_exporter.
Требуется учётная запись панели управления БАЗИС.vControl с правами на чтение данных, которая указывается в конфигурации плагина через интерфейс Визиона.
Почтовый шлюз SMTP
Учётная запись используется для отправки оповещений по электронной почте через SMTP с помощью компонента AlertManager.
Оповещения отправляются при срабатывании правил оповещения, например, превышении пороговых значений.
Подробнее в инструкции.
Отправка SNMP-трапов
Учётная запись используется для отправки SNMP-трапов на указанный SNMP-сервер через компонент snmp_notifier.
Оповещения отправляются при срабатывании правил оповещения, например, превышении пороговых значений.
Параметры почтового шлюза конфигурируются с помощью API Визион.Сервера через эндпоинт /vision/api/v1/config/snmp_notifier_config.
Учётные записи ОС
vision
Системный пользователь, не имеющий доступа к интерактивному входу в систему.
Создаётся при установке Визион.Сервера, а также при установке компонента plagent на узлы.
Используется для запуска всех компонентов Визиона на Сервере, Прокси и Агентах, кроме компонента plagent.
Всегда включается в группу vision.
Дополнительно включается в группы:
-
wheel— на узлах с ALT Linux для вызововsudoэкспортерамиutlz_exporter,vision_exporter. -
haclient— на узлах кластера МБД.П для вызоваpacemakerэкспортеромha_cluster_exporter.
/etc/passwdvision:x:483:457:User for Skala^r Vision components:/dev/null:/sbin/nologinОболочка /sbin/nologin не разрешает вход в систему.
Домашняя директория: /dev/null.
Настройки sudo для пользователя хранятся в конфигурационном файле /etc/sudoers.d/vision.
|
Не изменяйте содержимое файла |
plagent
Системный пользователь, не имеющий доступа к интерактивному входу в систему.
Создаётся при установке компонента plagent на узлы.
Используется для запуска компонента plagent.
Всегда включается в группу plagent.
/etc/passwdplagent:x:481:456:User for Skala^r PLagent:/dev/null:/sbin/nologinОболочка /sbin/nologin не разрешает вход в систему.
Домашняя директория: /dev/null.
На узлах с ALT Linux дополнительно включается в группу wheel для вызовов c sudo плагинов компонента plagent.
Настройки sudo для пользователя хранятся в конфигурационном файле /etc/sudoers.d/plagent.
|
Не изменяйте содержимое файла |
vision_bash_exporter
Системный пользователь, использующийся для запуска Bash-скриптов плагином bash_exporter.
Создаётся при установке компонента plagent на узлы.
/etc/passwdvision_bash_exporter:x:480:455:User for Skala^r Vision component bash_exporter:/dev/null:/sbin/nologinОболочка /sbin/nologin не разрешает вход в систему.
Домашняя директория: /dev/null.
Настройки sudo для пользователя указывайте в конфигурационном файле /etc/sudoers.d/vision_bash_exporter.
Подробнее в описании плагина bash_exporter.