Red Hat Summit Red Hat SummitSupportConsoleDéveloppeursCommencer un essaiContact

5.12. Établir des connexions PCP sécurisées

Vous pouvez configurer les composants de collecte et de surveillance PCP pour qu'ils participent aux échanges sécurisés du protocole PCP.

5.12.1. Connexions PCP sécurisées
Copier lien

Vous pouvez établir des connexions sécurisées entre les composants de collecte et de surveillance de Performance Co-Pilot (PCP). Les composants de collecte PCP sont les parties de PCP qui collectent et extraient les données de performance à partir de différentes sources. Les composants de surveillance PCP sont les parties de PCP qui affichent les données collectées à partir d'hôtes ou d'archives sur lesquels sont installés les composants de collecte PCP. L'établissement de connexions sécurisées entre ces composants permet d'éviter que des personnes non autorisées n'accèdent aux données collectées et surveillées ou ne les modifient.

Toutes les connexions avec le démon Performance Metrics Collector (pmcd) sont effectuées à l'aide du protocole PCP basé sur TCP/IP. Le protocole proxy et les API REST de PCP sont servis par le démon pmproxy - l'API REST est accessible via HTTPS, ce qui garantit une connexion sécurisée.

Les démons pmcd et pmproxy sont tous deux capables d'établir des communications TLS et non TLS simultanées sur un seul port. Le port par défaut pour pmcd est 44321 et 44322 pour pmproxy. Cela signifie que vous n'avez pas à choisir entre les communications TLS ou non TLS pour vos systèmes collecteurs PCP et que vous pouvez utiliser les deux en même temps.

Tous les systèmes collecteurs PCP doivent disposer de certificats valides afin de participer aux échanges sécurisés du protocole PCP.

Note

le démon pmproxy fonctionne à la fois comme un client et un serveur du point de vue de TLS.

Conditions préalables

  • PCP est installé. Pour plus d'informations, voir Installation et activation de PCP.

  • La clé privée du client est stockée dans le fichier /etc/pcp/tls/client.key. Si vous utilisez un chemin différent, adaptez les étapes correspondantes de la procédure.

    Pour plus de détails sur la création d'une clé privée et d'une demande de signature de certificat (CSR), ainsi que sur la manière de demander un certificat à une autorité de certification (AC), consultez la documentation de votre AC.

  • Le certificat client TLS est stocké dans le fichier /etc/pcp/tls/client.crt. Si vous utilisez un chemin différent, adaptez les étapes correspondantes de la procédure.
  • Le certificat CA est stocké dans le fichier /etc/pcp/tls/ca.crt. Si vous utilisez un chemin différent, adaptez les étapes correspondantes de la procédure. En outre, pour le démon pmproxy:
  • La clé privée du serveur est stockée dans le fichier /etc/pcp/tls/server.key. Si vous utilisez un chemin différent, adaptez les étapes correspondantes de la procédure
  • Le certificat du serveur TLS est stocké dans le fichier /etc/pcp/tls/server.crt. Si vous utilisez un chemin différent, adaptez les étapes correspondantes de la procédure.

Procédure

  1. Mettez à jour le fichier de configuration PCP TLS sur les systèmes collecteurs afin d'utiliser les certificats émis par l'autorité de certification pour établir une connexion sécurisée : 

    # cat > /etc/pcp/tls.conf << END
tls-ca-cert-file = /etc/pcp/tls/ca.crt
tls-key-file = /etc/pcp/tls/server.key
tls-cert-file = /etc/pcp/tls/server.crt
tls-client-key-file = /etc/pcp/tls/client.key
tls-client-cert-file = /etc/pcp/tls/client.crt
END
    Copy to Clipboard Toggle word wrap

  2. Redémarrer l'infrastructure du collecteur PCP : 

    # systemctl restart pmcd.service
# systemctl restart pmproxy.service
    Copy to Clipboard Toggle word wrap

Vérification

  • Vérifiez la configuration TLS :

    • Sur le service pmcd: 

      # grep 'Info:' /var/log/pcp/pmcd/pmcd.log
[Tue Feb 07 11:47:33] pmcd(6558) Info: OpenSSL 3.0.7 setup
      Copy to Clipboard Toggle word wrap

    • Sur le service pmproxy: 

      # grep 'Info:' /var/log/pcp/pmproxy/pmproxy.log
[Tue Feb 07 11:44:13] pmproxy(6014) Info: OpenSSL 3.0.7 setup
      Copy to Clipboard Toggle word wrap

Configurez vos composants de surveillance PCP pour qu'ils participent aux échanges sécurisés du protocole PCP.

Conditions préalables

  • PCP est installé. Pour plus d'informations, voir Installation et activation de PCP.

  • La clé privée du client est stockée dans le fichier ~/.pcp/tls/client.key. Si vous utilisez un chemin différent, adaptez les étapes correspondantes de la procédure.

    Pour plus de détails sur la création d'une clé privée et d'une demande de signature de certificat (CSR), ainsi que sur la manière de demander un certificat à une autorité de certification (AC), consultez la documentation de votre AC.

  • Le certificat client TLS est stocké dans le fichier ~/.pcp/tls/client.crt. Si vous utilisez un chemin différent, adaptez les étapes correspondantes de la procédure.
  • Le certificat CA est stocké dans le fichier /etc/pcp/tls/ca.crt. Si vous utilisez un chemin différent, adaptez les étapes correspondantes de la procédure.

Procédure

  1. Créez un fichier de configuration TLS avec les informations suivantes : 

    $ home=echo ~
$ cat > ~/.pcp/tls.conf << END
tls-ca-cert-file = /etc/pcp/tls/ca.crt
tls-key-file = $home/.pcp/tls/client.key
tls-cert-file = $home/.pcp/tls/client.crt
END
    Copy to Clipboard Toggle word wrap

  2. Établir la connexion sécurisée : 

    $ export PCP_SECURE_SOCKETS=enforce
$ export PCP_TLSCONF_PATH=~/.pcp/tls.conf
    Copy to Clipboard Toggle word wrap

Vérification

  • Vérifiez que la connexion sécurisée est configurée : 

    $ pminfo --fetch --host pcps://localhost kernel.all.load

kernel.all.load
    inst [1 or "1 minute"] value 1.26
    inst [5 or "5 minute"] value 1.29
    inst [15 or "15 minute"] value 1.28
    Copy to Clipboard Toggle word wrap
Retour au début
Red Hat logoGithubredditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance. Découvrez nos récentes mises à jour.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez le Blog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

Theme

© 2025 Red Hat