Хранилище телеметрии развернуто

Ниже описан порядок конфигурирования SSL с использованием ранее созданных сертификатов при развертывании Хранилища телеметрии.

Путь ко всем автоматически созданным сертификатам для подключения по SSL: /opt/storage/box_infra/files/certs_box/*

Настройка Сервера очередей

В качестве Сервера очередей используется Apache Kafka.

Чтобы настроить SSL-подключение Apache Kafka:

  1. Внесите изменения на стороне Сервера управления BI.ZONE EDR:

    Откройте конфигурационный файл:

    vi /opt/BI.Zone/BZ_Sensors/Server/config.toml

    Внесите изменения по аналогии с примером ниже:

    [queue]
  brokers = ["10.8.141.146:9092"]
  security_protocol = "SSL"
  ssl_key_location="/opt/storage/box_infra/files/certs_box/all.storage.test.key"
  ssl_certificate_location="/opt/storage/box_infra/files/certs_box/all.storage.test.fullchain.pem"
  ssl_ca_location="/opt/storage/box_infra/files/certs_box/selfsigned.root.crt" 
[event_connectors]
  mandatory_sending_to_all = false
  [event_connectors.kafka]
    [event_connectors.kafka.kafka_telemitriya]
      enabled = true
      brokers = ["10.8.141.146:9092"]
      topics = ["topic_telemitriya"]
      security_protocol = "SSL"
      batch_size = 150
      batch_timeout = "10ms"
      write_timeout = "10ms"
      max_attempts = 10
      compression_type = "none"
      acks = "all"  
      ssl_key_location="/opt/storage/box_infra/files/certs_box/all.storage.test.key"
      ssl_certificate_location="/opt/storage/box_infra/files/certs_box/all.storage.test.fullchain.pem"
      ssl_ca_location="/opt/storage/box_infra/files/certs_box/selfsigned.root.crt"

  2. Перезапустите Сервер управления BI.ZONE EDR:

    systemctl restart bzserver

    Проверьте отсутствие ошибок:

    journalctl -fu bzserver -n 100

Настройка S3-хранилища

В качестве S3-хранилища рассмотрен MinIO.

Чтобы настроить SSL-подключение MinIO:

  1. Скопируйте сертификаты в каталог пользователя, от имени которого запускается MinIO:

    mkdir -p /root/.minio/certs/CAs
cp /opt/storage/box_infra/files/certs_box/all.storage.test.key /root/.minio/certs/private.key
cp /opt/storage/box_infra/files/certs_box/all.storage.test.crt /root/.minio/certs/public.crt
cp /opt/storage/box_infra/files/certs_box/selfsigned.root.crt /root/.minio/certs/CAs/bzCA.crt

  2. Перезапустите MinIO:

    systemctl restart minio

  3. Внесите изменения на стороне Сервера управления BI.ZONE EDR:

    Откройте конфигурационный файл:

    vi /opt/BI.Zone/BZ_Sensors/Server/config.toml

    Внесите изменения по аналогии с примером ниже:

    [s3]
  enabled = true
  endpoint = "10.8.141.146:9005"
  access_key_id = "admin"
  secret_access_key = "P@ssw0rd"
  connect_timeout = "15s"
  read_timeout = "30s"
  write_timeout = "30s"
  security_protocol = "SSL"
  ssl_key_location = "/opt/storage/box_infra/files/certs_box/all.storage.test.key"
  ssl_certificate_location = "/opt/storage/box_infra/files/certs_box/all.storage.test.crt"
  ssl_ca_location = "/opt/storage/box_infra/files/certs_box/selfsigned.root.crt"

  4. Перезапустите Сервер управления BI.ZONE EDR:

    systemctl restart bzserver

    Проверьте отсутствие ошибок:

    journalctl -fu bzserver -n 100

Настройка СУБД

В качестве СУБД используется PostgreSQL.

BI.ZONE EDR поддерживает SSL-соединение только с PostgreSQL версии 15 или ниже. Поддержка версий PostgreSQL начиная с 16-й не осуществляется.

Чтобы настроить SSL-подключение PostgreSQL:

  1. Скопируйте сертификаты и файл password.txt в каталог postgresql (путь может отличаться в зависимости от версии PostgreSQL):

    cp /opt/ssd/postgresql/data/postgres.storage.test.* /etc/postgresql/14/main/
chmod 600 /etc/postgresql/14/main/postgres.storage.test.*
chown postgres:postgres /etc/postgresql/14/main/postgres.storage.test.*

  2. Внесите изменения на стороне PostgreSQL:

    Откройте конфигурационный файл postgresql.conf:

    ssl = on
ssl_cert_file = '/etc/postgresql/14/main/postgres.storage.test.crt'
ssl_key_file = '/etc/postgresql/14/main/postgres.storage.test.key'
ssl_ca_file = '/etc/postgresql/14/main/postgres.storage.test.ca.crt'

    Настройте правила для подключения клиентов с использованием SSL в файле pg_hba.conf:

    hostssl           all            all           0.0.0.0/0         scram-sha-256

  3. Перезапустите PostgreSQL для применения изменений:

    systemctl restart postgresql

    Проверьте отсутствие ошибок:

    journalctl -fu postgresql -n 100

  4. Внесите изменения на стороне Сервера управления BI.ZONE EDR:

    Откройте конфигурационный файл:

    vi /opt/BI.Zone/BZ_Sensors/Server/config.toml

    Внесите изменения по аналогии с примером ниже:

    [database]
  [database.grpc]
    addr = "10.8.141.146:5433"
    credentials = "edr:P@ssw0rd:edr_db"
    pool_size = 10
    security_protocol = "SSL"
    ssl_key_location="/opt/storage/box_infra/files/certs_box/all.storage.test.key"
    ssl_certificate_location="/opt/storage/box_infra/files/certs_box/all.storage.test.fullchain.pem"
    ssl_ca_location="/opt/storage/box_infra/files/certs_box/selfsigned.root.crt"
  [database.api]
    addr = "10.8.141.146:5433"
    credentials = "edr:P@ssw0rd:edr_db"
    pool_size = 10
    security_protocol = "SSL"
    ssl_key_location="/opt/storage/box_infra/files/certs_box/all.storage.test.key"
    ssl_certificate_location="/opt/storage/box_infra/files/certs_box/all.storage.test.fullchain.pem"
    ssl_ca_location="/opt/storage/box_infra/files/certs_box/selfsigned.root.crt"

  5. Перезапустите Сервер управления BI.ZONE EDR:

    systemctl restart bzserver

    Проверьте отсутствие ошибок:

    journalctl -fu bzserver -n 100

  6. Проверьте подключение по SSL:

    su postgres
psql
SELECT * FROM pg_stat_ssl;

Настройка Сервиса обработки обнаружений

Для настройки Сервиса обработки обнаружений используйте разделы в разрезе его компонентов и модулей.