Fixpack 4

Docker Swarm Cluster-Sensor

Docker Swarm Cluster-Sensor

Mit dem Docker Swarm Cluster-Sensor (DSCS) werden Informationen zu Docker Swarm, Attributen, Swarm-Knoten, Swarm-Netzen und Swarm-Services erkannt.

Sensorname, der in der grafischen Benutzerschnittstelle und in Protokollen verwendet wird

DockerSwarmClusterSensor

Vom Sensor erkannte Elemente

Der Sensor erkennt die folgenden Elemente:
  • Docker-Swarm
  • Docker-Knoten (als Docker-Host bezeichnet)
  • Docker-Services
  • Docker-Netz

In der Discovery Management Console und im Datenmanagementportal wird ein Docker Swarm-Cluster durch ein blaues Docker-Symbol mit einem Wal dargestellt.

Der Docker Swarm Cluster-Sensor ruft die Informationen, die sich auf die Erkennung beziehen, mithilfe von REST-APIs aus dem Knoten 'Manager' des Docker-Hosts ab, auf dem der Dämonprozess/die Anwendung 'dockerd' in der Rolle 'Manager' ausgeführt wird. Die abgerufenen Daten bestehen hauptsächlich aus Attributdaten, die für den Abgleich mit Namensregeln und die Erstellung von gültigen Modellobjekten benötigt werden.

Voraussetzungen

  • Der Docker-Dämon bzw. die Docker-Anwendung wird auf einem Linux-Zielsystem ausgeführt.
  • Für eine erfolgreiche Erkennung von Docker Swarm muss die REST-Unterstützung auf dem Zielsystem mit dem Docker-Host aktiviert sein.
  • Damit der Docker Swarm Cluster-Sensor ausgelöst werden kann, muss mindestens EIN Docker-Host mit der Rolle 'Manager' im Erkennungsbereich enthalten sein.
  • Ein angegebener Docker-Host kann zu jedem beliebigen Zeitpunkt nur zu einem einzelnen Swarm-Cluster gehören, d. h. er kann nicht gleichzeitig Teil mehrerer Docker Swarm-Cluster sein.
  • Der Docker Swarm Cluster-Sensor ist wiederum von der Erkennung abhängig, die vom Docker-Host-Sensor ausgeführt wird. Im Vergleich dazu ist die Konfiguration für den Docker Swarm Cluster-Sensor implizit vom Docker-Host-Sensor abgeleitet. Details finden Sie unter 'Docker Host Sensor'Docker Host sensor.
  • Eine einzelne Gruppe von TLS-Zertifikaten ist für die Kommunikation zwischen TADDM und allen Docker-Hosts gültig.
  • Das Aktivieren oder Inaktivieren von TLS für die Erkennung führt zu einem einheitlichen Verhalten auf ALLEN Docker-Hosts, die im Geltungsbereich definiert sind.

    o Gilt für ALLE Docker-Hosts oder KEINEN Docker-Host.

Sicherheitsprobleme

  • Es ist kein bestimmter Eintrag in der Zugriffsliste erforderlich. Einzelheiten zur TLS-basierten Sicherheit finden Sie unter “Verbindung zu Docker Swarm”:

Verbindung zu Docker Swarm

Der Docker Swarm Cluster-Sensor verwendet zwei Modi, um Daten aus dem Docker-Host (mit der Rolle 'Manager') zu erkennen: TLS-Modus und Modus ohne TLS.

Modus ohne TLS

Der Modus ohne TLS ist der Standardmodus. Dabei werden Daten über Web-Services abgerufen und es ist keine Authentifizierung erforderlich. Dieser Modus wird für private Netze oder Private-Cloud-Bereitstellungen in Kundenräumlichkeiten empfohlen.

TLS-Modus

Beim TLS-Modus handelt es sich um einen sicheren Modus für die Kommunikation mit dem Docker-Host. Dabei werden die TLS-Zertifikate bestätigt, die in TADDM und auf dem Docker-Host des Ziels installiert sind. Zur Verwendung dieses Modus müssen Sie die Eigenschaft 'enableTLS' auf 'true' setzen und die im Erkennungsprofil definierten Zertifikatspfade konfigurieren. Weitere Informationen finden Sie unter “Docker-Host-Sensor: Erkennungsprofil konfigurieren”. Informationen zum manuellen Generieren der TLS-Zertifikate für TADDM und den Docker -Host finden Sie unter Docker Host-Sensor 'Erkennungsprofil konfigurieren'. Informationen zum manuellen Generieren der TLS-Zertifikate für TADDM und Docker -Host finden Sie unter Docker Host sensor ': Manual TLS certificate generation'.

Modellobjekte mit zugehörigen Attributen

Der Docker Swarm Cluster-Sensor erstellt Modellobjekte mit zugehörigen Attributen. Die Attribute geben Aufschluss über die Art der Informationen, die vom Sensor zur den Docker Swarm-Ressourcen in Ihrer IT-Umgebung erfasst werden.

Der Sensor erstellt die folgenden Modellobjekte. Unter dem Modellobjektnamen werden die Attribute angezeigt, die den einzelnen Modellen zugeordnet sind.

app.docker.dockerswarm.DockerSwarm

  • app.docker.dockerswarm.DockerSwarm
  • Server
  • SwarmServices
  • IP
  • Port
  • DockerNetwork

app.docker.dockerswarm.SwarmService

  • Name
  • DockerSwarm

app.docker.dockerhost.DockerContainer

  • Task
  • SwarmService

app.docker.dockerhost.DockerNetwork

  • Name
  • SubnetAddress
  • DockerHost
  • DockerContainer
Hinweis: Hier gelten auch alle Docker -Hostsensormodellobjekte, da Docker Swarm ein Cluster von Docker -Hostknoten ist.

Sensor konfigurieren

Der Docker Swarm Cluster-Sensor muss vor der Verwendung konfiguriert werden.

Erkennungsprofil konfigurieren:

Der Docker Swarm Cluster-Sensor ist wiederum von der Erkennung abhängig, die vom Docker-Host-Sensor ausgeführt wird. Im Vergleich dazu ist die Konfiguration für den Docker Swarm Cluster-Sensor implizit vom Docker-Host-Sensor abgeleitet. Details finden Sie unter Docker Host sensor : 'Sensorprofil konfigurieren'.

Fehlerbehebung beim Sensor

In diesem Abschnitt werden häufig auftretende Probleme im Zusammenhang mit dem Docker Swarm Cluster-Sensor sowie Lösungen für diese Probleme beschrieben.

Der Docker Swarm Cluster-Sensor wird auf einem Docker-Host-Knoten nicht aufgerufen

Problem: Der Docker Swarm Cluster-Sensor wird auf einem Docker-Host-Knoten möglicherweise nicht aufgerufen, wenn dieser Knoten aktuell nicht die Rolle 'Manager' für dieses Cluster hat.

Lösung: Überprüfen Sie in der Protokolldatei (DiscoverManager.log), ob die folgenden Traces angezeigt werden:

"Entweder ist der Swarm-Modus nicht aktiviert oder der Docker -Host hat momentan keine Managerrolle".

Damit der Docker Swarm Cluster-Sensor ausgelöst werden kann, muss mindestens EIN Docker-Host mit der Rolle “Manager” im Erkennungsbereich enthalten sein.