Учётные записи Визион

Роли пользователей Визиона#

Ролевая модель описана в руководстве администратора .

Список маршрутов HTTP API Визион.Сервера для внешних запросов#

Перечисленные ниже внешние запросы должны использовать для аутентификации токен, который создаётся в разделе Безопасность → Токены доступа администратором ИБ.

Группа URL Метод
Запрос метрик (внешний) /tsdb/query GET
Запрос метрик (внешний) /tsdb/query POST
Запрос метрик (внешний) /tsdb/query_range GET
Запрос метрик (внешний) /tsdb/query_range POST
Запрос метрик (внешний) /tsdb/labels GET
Запрос метрик (внешний) /tsdb/labels POST
Запрос метрик (внешний) /tsdb/labels/{label_name}/values GET
Запрос метрик (внешний) /tsdb/status/tsdb GET
Запрос метрик (внешний) /tsdb/series GET
Запрос метрик (внешний) /tsdb/series POST
Запрос метрик (внешний) /tsdb/federate GET

Учётные записи сторонних сервисов#

ClickHouse#

Учётная запись предназначена для сбора метрик из ClickHouse с помощью плагина clickhouse_sql_exporter . Этот плагин собирает метрики для мониторинга производительности базы данных, состояния транзакций, процессов и других важных параметров.

Учётная запись должна существовать на всех узлах кластера ClickHouse и обладать привилегиями, позволяющими выполнять запрос SELECT на всех таблицах.

SQL-запросы для создания учётной записи и назначения необходимых привилегий:

CREATE USER vision IDENTIFIED BY `<password>`;
GRANT SELECT ON *.* TO vision;

Здесь <password> — пароль учётной записи.

Docker#

Для сбора метрики docker_image_availability_status пользователь, от имени которого выполняются команды, должен входить в группу docker.

Для включения пользователя <username> в группу docker выполните команду:

gpasswd --add <username> docker

IPMI#

Учётная запись используется для взаимодействия с BMC узлов по протоколу IPMI через ipmi_exporter . Данная учётная запись позволяет собирать информацию о состоянии оборудования сервера, включая питание, температуру, вентиляторы и другие параметры.

Предоставленный пользователь должен быть администратором (роль admin), чтобы иметь доступ ко всем функциям IPMI и получать все метрики.

Имя пользователя и пароль IPMI указываются в таргетах плагина ipmi_exporter в интерфейсе Визиона.

OpenNebula#

Учётная запись используется для выполнения запросов к API OpenNebula frontend через плагин one_exporter . Экспортер собирает метрики о состоянии кластеров и узлов.

Предоставленный пользователь должен иметь права на чтение и выполнение команд через OpenNebula API по указанному в настройках плагина one_exporter эндпоинту в интерфейсе Визиона.

PostgreSQL#

Учётная запись предназначена для сбора метрик из PostgreSQL с помощью плагинов:

Эти плагины собирают метрики для мониторинга производительности базы данных, состояния транзакций, процессов и других важных параметров.

Учётная запись PostgreSQL должна обладать следующими привилегиями:

  • Роль pg_monitor для предоставления доступа к просмотру метрик базы данных, но не к изменениям в системе.

  • Права на выполнение pg_stat_file для получения информации о файловой системе PostgreSQL.

SQL-запросы для назначения необходимых привилегий:

ALTER ROLE vision NOSUPERUSER;
GRANT pg_monitor TO vision;
GRANT EXECUTE ON FUNCTION pg_catalog.pg_stat_file(text) TO vision;

SNMP#

Учётная запись используется для сбора метрик с помощью плагина snmp_exporter . Протокол SNMP позволяет осуществлять мониторинг коммутаторов, СХД и других устройств. Плагин snmp_exporter настраивается в интерфейсе Визиона.

Особенности:

  • Поддерживаются версии SNMP v1, v2 и v3.

  • Для SNMP v3 поддерживаются протоколы аутентификации MD5, SHA, SHA224, SHA256, SHA384, SHA512, и протоколы шифрования DES, AES, AES192, AES256, AES192C, AES256C.

БАЗИС.vControl#

Настройка БАЗИС.vControl выполняется в два этапа:

  1. Создание учётной записи в веб-интерфейсе.

  2. Обновление параметров бэкендов vControl.

Создание УЗ в веб-интерфейсе#

Авторизуйтесь в панели управления БАЗИС.vControl с привилегиями администратора и выполните следующие действия:

  1. На панели навигации выберите Управление и мониторинг → Управление пользователями.

  2. Нажмите кнопку + Создать.

  3. Заполните форму Создать пользователя:

    • Имя: Vision.

    • Логин: vision.

    • Пароль: пароль пользователя vision, не менее 8 знаков.

    • Требовать смену пароля при входе: переведите переключатель в выключенное положение.

    В прочих полях оставьте значения по умолчанию.

  4. Нажмите кнопку Создать.

  5. Выберите вкладку Правила доступа.

  6. Нажмите кнопку + Назначить роль.

  7. Заполните форму Назначить роли доступа:

    • Пользователи и группы: выберите созданного ранее пользователя vision.

    • Роли: Мониторинг Инфраструктуры.

    • Наследовать значение: переведите переключатель во включенное положение.

  8. Нажмите кнопку Назначить.

  9. Убедитесь, что таблица Правила доступа содержит запись со следующими значениями:

Пользователи и группы Роль Тип Роли заданы Наследование
Vision Мониторинг инфраструктуры Корень Корень Да

Обновление параметров бэкендов vControl#

Подключитесь по SSH к серверу установки vControl от имени пользователя root и выполните следующие действия:

  1. Перейдите в директорию дистрибутива (по умолчанию — /root/deploy/).

  2. Если файл backend-overrides не существует, создайте его путём копирования файла с примером заполнения:

    cp backend-overrides-example backend-overrides

  3. В файле backend-overrides в блоке user.expiration_disabled_for перечислите названия служебных учётных записей, к которым не должны применяться политики устаревания паролей. Обязательно добавьте в список учётные записи vdi и vision.

    Пример заполнения блока expiration_disabled_for

    # ...
user:
  # ...
  expiration_disabled_for:
    - vdi
    - vision

  4. Если файл pass.txt не существует, создайте его и укажите в нём пароль, который использовался при первоначальном развёртывании vControl.

  5. Запустите установку бэкендов vControl.

    ВАЖНО
    До завершения установки сервер vControl будет недоступен 
    ./deploy.sh -b -a environment-vms-XXXX.tgz -v pass.txt

    Здесь:

    • environment-vms-XXXX.tgz — архив с файлами окружения используемой версии БАЗИС.vControl;

    • pass.txt — файл с паролем развёртывания БАЗИС.vControl.

Почтовый шлюз SMTP#

Учётная запись используется для отправки оповещений по электронной почте через SMTP с помощью компонента AlertManager. Оповещения отправляются при срабатывании правил оповещения, например, превышении пороговых значений.

Параметры почтового шлюза конфигурируются в разделе Настройки SMTP интерфейса Визиона.

Отправка SNMP-трапов#

Учётная запись используется для отправки SNMP-трапов на указанный SNMP-сервер через компонент snmp_notifier. Оповещения отправляются при срабатывании правил оповещения, например, превышении пороговых значений.

Параметры почтового шлюза конфигурируются с помощью API Визион.Сервера через эндпоинт /vision/api/v1/config/snmp_notifier_config (в будущем в интерфейсе Визиона).

Учётные записи ОС#

vision#

Системный пользователь, не имеющий доступа к интерактивному входу в систему.

Создаётся при установке Визион.Сервера, а также при установке компонента plagent на узлы.

Используется для запуска всех компонентов Визиона на Сервере, Прокси и Агентах, кроме компонента plagent.

Всегда включается в группу vision.

Дополнительно включается в группы:

  • wheel — на узлах с ALT Linux для вызовов sudo экспортерами utlz_exporter, vision_exporter.
  • haclient — на узлах кластера МБД.П для вызова pacemaker экспортером ha_cluster_exporter.

Пример записи в /etc/passwd:

vision:x:483:457:User for Skala^r Vision components:/dev/null:/sbin/nologin

Оболочка /sbin/nologin не разрешает вход в систему.

Домашний каталог пользователя: /dev/null.

Настройки sudo для пользователя хранятся в конфигурационном файле /etc/sudoers.d/vision.

ВАЖНО
Не изменяйте содержимое файла /etc/sudoers.d/vision вручную! При обновлении Визион он будет заменён файлом, входящим в состав дистрибутива.

plagent#

Системный пользователь, не имеющий доступа к интерактивному входу в систему.

Создаётся при установке компонента plagent на узлы.

Используется для запуска компонента plagent.

Всегда включается в группу plagent.

Пример записи в /etc/passwd:

plagent:x:481:456:User for Skala^r PLagent:/dev/null:/sbin/nologin

Оболочка /sbin/nologin не разрешает вход в систему.

Домашний каталог пользователя: /dev/null.

На узлах с ALT Linux дополнительно включается в группу wheel для вызова с sudo плагинов компонента plagent.

Настройки sudo для пользователя хранятся в конфигурационном файле /etc/sudoers.d/plagent.

ВАЖНО
Не изменяйте содержимое файла /etc/sudoers.d/plagent вручную! При обновлении Визион он будет заменён файлом, входящим в состав дистрибутива.

vision_bash_exporter#

Системный пользователь, использующийся для запуска Bash-скриптов плагином bash_exporter.

Создаётся при установке компонента plagent на узлы.

Пример записи в /etc/passwd:

vision_bash_exporter:x:480:455:User for Skala^r Vision component bash_exporter:/dev/null:/sbin/nologin

Оболочка /sbin/nologin не разрешает вход в систему.

Домашний каталог: /dev/null.

Настройки sudo для пользователя указывайте в конфигурационном файле /etc/sudoers.d/vision_bash_exporter. Подробнее в описании плагина bash_exporter .