5.12. Établir des connexions PCP sécurisées
Vous pouvez configurer les composants de collecte et de surveillance PCP pour qu'ils participent aux échanges sécurisés du protocole PCP.
5.12.1. Connexions PCP sécurisées
Vous pouvez établir des connexions sécurisées entre les composants de collecte et de surveillance de Performance Co-Pilot (PCP). Les composants de collecte PCP sont les parties de PCP qui collectent et extraient les données de performance à partir de différentes sources. Les composants de surveillance PCP sont les parties de PCP qui affichent les données collectées à partir d'hôtes ou d'archives sur lesquels sont installés les composants de collecte PCP. L'établissement de connexions sécurisées entre ces composants permet d'éviter que des personnes non autorisées n'accèdent aux données collectées et surveillées ou ne les modifient.
Toutes les connexions avec le démon Performance Metrics Collector (pmcd
) sont effectuées à l'aide du protocole PCP basé sur TCP/IP. Le protocole proxy et les API REST de PCP sont servis par le démon pmproxy
- l'API REST est accessible via HTTPS, ce qui garantit une connexion sécurisée.
Les démons pmcd
et pmproxy
sont tous deux capables d'établir des communications TLS et non TLS simultanées sur un seul port. Le port par défaut pour pmcd
est 44321 et 44322 pour pmproxy
. Cela signifie que vous n'avez pas à choisir entre les communications TLS ou non TLS pour vos systèmes collecteurs PCP et que vous pouvez utiliser les deux en même temps.
5.12.2. Configuration de connexions sécurisées pour les composants du collecteur PCP
Tous les systèmes collecteurs PCP doivent disposer de certificats valides afin de participer aux échanges sécurisés du protocole PCP.
le démon pmproxy
fonctionne à la fois comme un client et un serveur du point de vue de TLS.
Conditions préalables
- PCP est installé. Pour plus d'informations, voir Installation et activation de PCP.
La clé privée du client est stockée dans le fichier
/etc/pcp/tls/client.key
. Si vous utilisez un chemin différent, adaptez les étapes correspondantes de la procédure.Pour plus de détails sur la création d'une clé privée et d'une demande de signature de certificat (CSR), ainsi que sur la manière de demander un certificat à une autorité de certification (AC), consultez la documentation de votre AC.
-
Le certificat client TLS est stocké dans le fichier
/etc/pcp/tls/client.crt
. Si vous utilisez un chemin différent, adaptez les étapes correspondantes de la procédure. -
Le certificat CA est stocké dans le fichier
/etc/pcp/tls/ca.crt
. Si vous utilisez un chemin différent, adaptez les étapes correspondantes de la procédure. En outre, pour le démonpmproxy
: -
La clé privée du serveur est stockée dans le fichier
/etc/pcp/tls/server.key
. Si vous utilisez un chemin différent, adaptez les étapes correspondantes de la procédure -
Le certificat du serveur TLS est stocké dans le fichier
/etc/pcp/tls/server.crt
. Si vous utilisez un chemin différent, adaptez les étapes correspondantes de la procédure.
Procédure
Mettez à jour le fichier de configuration PCP TLS sur les systèmes collecteurs afin d'utiliser les certificats émis par l'autorité de certification pour établir une connexion sécurisée :
# cat > /etc/pcp/tls.conf << END tls-ca-cert-file = /etc/pcp/tls/ca.crt tls-key-file = /etc/pcp/tls/server.key tls-cert-file = /etc/pcp/tls/server.crt tls-client-key-file = /etc/pcp/tls/client.key tls-client-cert-file = /etc/pcp/tls/client.crt END
Redémarrer l'infrastructure du collecteur PCP :
# systemctl restart pmcd.service # systemctl restart pmproxy.service
Vérification
Vérifiez la configuration TLS :
Sur le service
pmcd
:# grep 'Info:' /var/log/pcp/pmcd/pmcd.log [Tue Feb 07 11:47:33] pmcd(6558) Info: OpenSSL 3.0.7 setup
Sur le service
pmproxy
:# grep 'Info:' /var/log/pcp/pmproxy/pmproxy.log [Tue Feb 07 11:44:13] pmproxy(6014) Info: OpenSSL 3.0.7 setup
5.12.3. Configuration de connexions sécurisées pour les composants de surveillance PCP
Configurez vos composants de surveillance PCP pour qu'ils participent aux échanges sécurisés du protocole PCP.
Conditions préalables
- PCP est installé. Pour plus d'informations, voir Installation et activation de PCP.
La clé privée du client est stockée dans le fichier
~/.pcp/tls/client.key
. Si vous utilisez un chemin différent, adaptez les étapes correspondantes de la procédure.Pour plus de détails sur la création d'une clé privée et d'une demande de signature de certificat (CSR), ainsi que sur la manière de demander un certificat à une autorité de certification (AC), consultez la documentation de votre AC.
-
Le certificat client TLS est stocké dans le fichier
~/.pcp/tls/client.crt
. Si vous utilisez un chemin différent, adaptez les étapes correspondantes de la procédure. -
Le certificat CA est stocké dans le fichier
/etc/pcp/tls/ca.crt
. Si vous utilisez un chemin différent, adaptez les étapes correspondantes de la procédure.
Procédure
Créez un fichier de configuration TLS avec les informations suivantes :
$ home=
echo ~
$ cat > ~/.pcp/tls.conf << END tls-ca-cert-file = /etc/pcp/tls/ca.crt tls-key-file = $home/.pcp/tls/client.key tls-cert-file = $home/.pcp/tls/client.crt ENDÉtablir la connexion sécurisée :
$ export PCP_SECURE_SOCKETS=enforce $ export PCP_TLSCONF_PATH=~/.pcp/tls.conf
Vérification
Vérifiez que la connexion sécurisée est configurée :
$ pminfo --fetch --host pcps://localhost kernel.all.load kernel.all.load inst [1 or "1 minute"] value 1.26 inst [5 or "5 minute"] value 1.29 inst [15 or "15 minute"] value 1.28