Docker コンテナ内で Linux コレクタを非 root ユーザーとして実行する

最終更新日: 05 年 2024 月 XNUMX 日

コンテナーのセキュリティのベスト プラクティスでは、目的のタスクを実行するために必要な最小限の権限を持つ非 root ユーザーとして Docker コンテナーを実行することが推奨されています。 これにより、セキュリティ侵害の影響が制限され、Docker 環境の管理と保護が容易になります。

ご注意: LM コンテナ コレクターは、コレクター バージョン 35.100 以降ではデフォルトで非ルート ユーザー インストールになります。

ベスト プラクティスに従うことで、ユーザーは LM コンテナ コレクターを非ルート ユーザー (ルートレス モード) として実行できるようになりました。次の手順は、開始するのに役立ちます。

ご注意: 以下の Docker 構成例では、「非 root ユーザー」は「logicmonitor」として表示されます。

要件

非 root ユーザー: LM Container Chart を使用して Docker Collector を実行する

  1. LM Container Chart v3.0.0 以降をインストールします。
  2. LM コンテナ チャートを編集して、次の構成を追加します。
argus:

  collector:

    env:

      COLLECTOR_NON_ROOT: "true" # explicitly double quote to avoid
type conversions to boolean and keep as string    
  1. 次の Helm アップグレード コマンドを実行して、LM コンテナ チャートの構成を更新します。
helm upgrade \

    --install \

    --debug \

    --wait \

    --create-namespace \

    --namespace="logicmonitor" \

    -f lm-container-configuration.yaml --version <version>

    lm-container logicmonitor/lm-container

非 root ユーザー: Argus および Collectorset-Controller チャートを使用して Docker Collector を実行する 

以前の LM Container デプロイメントがある場合は、次のコンポーネント バージョンに移行する必要があります。

  • Collectorset コントローラー ヘルム チャートをバージョン 1.4.0 以降に設定します。
  • Argus Helm チャートをバージョン 2.5.0 以降に。

コレクターセット-コントローラー

次の Helm コマンドを実行して、Collectorset-Controller のバージョンを v1.4.0 以降に更新します。

helm repo update

helm upgrade \

    --install \

    --debug \

    --wait \

    --namespace="logicmonitor" \

    -f collectorset-controller-configuration.yaml \

    collectorset-controller logicmonitor/collectorset-controller

アーガス

  1. Argus 構成ファイルを編集して、次の構成を追加します。
collector:

  env:

    COLLECTOR_NON_ROOT: "true" # explicitly double quote to avoid
    type conversions to boolean 
  1. 次の Helm コマンドを実行して、クラスター構成を Argus v2.5.0 以降に更新します。
helm repo update

helm upgrade \

    --install \

    --debug \

    --wait \

    --namespace="logicmonitor" \

    -f argus-configuration.yaml \

    argus logicmonitor/argus

インストールまたはアップグレード後 

クラスター構成のインストールまたはアップグレード手順が完了したら、リソースを継続的に監視するために次の手順を必ず完了してください。

  1. コレクター ポッドが稼働しているかどうかを確認します。 また、次の場所に移動して、コレクターのステータスを確認してください。 設定 > コレクター LogicMonitor ポータルで.
  2. すべてのデータソースがメトリクスを収集しており、メトリクス値が損失していないことを確認します。

構成のロールバック

構成をロールバックする場合は、次のオプションの手順を順番に実行できます。

オプション1

  1. をセットする COLLECTOR_NON_ROOT 設定ファイルのパラメータ値を「false」に設定します。
  2. helm upgrade コマンドを実行して、更新された構成をクラスターに適用します。 詳細については、「 Argus の構成とアップグレードのセクション.

オプション2

  1. コレクターのイメージタグを次のように設定します。 v2.0.0.
  1. helm upgrade コマンドを実行して、更新された構成をクラスターに適用します。 詳細については、「 Argus の構成とアップグレードのセクション.

オプション3

  1. コレクターのイメージタグを次のように設定します。 v2.0.0.
  2. helm upgrade コマンドを実行して、更新された構成をクラスターに適用します。 詳細については、「 Argus の構成とアップグレードのセクション.
  3.  コレクターのバージョンを目的のバージョンにダウングレードする場合は、次の場所に移動します。 設定 > コレクター LogicMonitor ポータルで。
記事上で