第17章 FlowCollector API リファレンス

agent

object

フローを抽出するためのエージェント設定。

consolePlugin

object

consolePlugin は、利用可能な場合、OpenShift Container Platform コンソールプラグインに関連する設定を定義します。

deploymentModel

string

deploymentModel は、フロー処理に必要なデプロイメントのタイプを定義します。可能な値は次のとおりです。

- サービス (デフォルト) フロープロセッサーを Kubernetes サービスとしてリッスンさせ、スケーラブルなデプロイメントによってサポートします。

- Kafka の場合、プロセッサーによって消費される前にフローを Kafka パイプラインに送信します。

- フロープロセッサーが、DaemonSet をバックエンドとするホストネットワークを使用するエージェントから 直接 リッスンするようにします。15 ノード未満の小規模なクラスターにのみ推奨されます。

Kafka は、より優れたスケーラビリティー、回復力、および高可用性を提供できます (詳細は、https://www.redhat.com/en/topics/integration/what-is-apache-kafka を 参照してください)。

メモリー効率が低いため、大規模クラスターでは Direct 方式 は推奨されません。

exporters

array

exporters は、カスタム消費またはストレージ用の追加のオプションのエクスポーターを定義します。

kafka

object

Kafka 設定。Kafka をフローコレクションパイプラインの一部としてブローカーとして使用できます。この設定を利用できるのは、spec.deploymentModel が Kafka の場合です。

loki

object

loki (フローストア) のクライアント設定。

namespace

string

Network Observability Pod がデプロイされる namespace。

networkPolicy

object

networkPolicy は、Network Observability のコンポーネントを分離するためのネットワークポリシー設定を定義します。

processor

object

processor は、エージェントからフローを受信してエンリッチし、メトリクスを生成して Loki 永続化レイヤーや利用可能なエクスポーターに転送するコンポーネントの設定を定義します。

prometheus

object

prometheus は、コンソールプラグインからメトリクスを取得するために使用されるクエリー設定などの Prometheus 設定を定義します。

ebpf

object

ebpf は、spec.agent.type が eBPF に設定されている場合、eBPF ベースのフローレポーターに関連する設定を示します。

type

string

type [非推奨 (*)] では、フロートレースエージェントを選択します。以前は、このフィールドでは eBPF または IPFIX を選択できました。現在、eBPF のみが許可されているため、このフィールドは非推奨であり、API の今後のバージョンで削除される予定です。

advanced

object

advanced を使用すると、eBPF エージェントの内部設定のいくつかの側面を設定できます。このセクションは、GOGC や GOMAXPROCS 環境変数などのデバッグと詳細なパフォーマンスの最適化を主な目的としています。これらの値はお客様の責任のもと設定してください。このセクションでは、デフォルトの Linux ケイパビリティーをオーバーライドすることもできます。

cacheActiveTimeout

string

cacheActiveTimeout は、エージェントがフローを送信する前に集約する期間です。cacheMaxFlows と cacheActiveTimeout を増やすと、ネットワークトラフィックのオーバーヘッドと CPU 負荷を減らすことができますが、メモリー消費量が増え、フローコレクションのレイテンシーが増加することが予想されます。

cacheMaxFlows

integer

cacheMaxFlows は、集約におけるフローの最大数です。この値に達すると、レポーターはフローを送信します。cacheMaxFlows と cacheActiveTimeout を増やすと、ネットワークトラフィックのオーバーヘッドと CPU 負荷を減らすことができますが、メモリー消費量が増え、フローコレクションのレイテンシーが増加することが予想されます。

excludeInterfaces

array (string)

excludeInterfaces には、フロートレースから除外するインターフェイス名を含めます。/br-/ など、スラッシュで囲まれたエントリーは正規表現として照合されます。それ以外は、大文字と小文字を区別する文字列として照合されます。

features

array (string)

有効にする追加機能のリスト。これらはデフォルトですべて無効になっています。追加機能を有効にすると、パフォーマンスに影響が出る可能性があります。可能な値は次のとおりです。

- PacketDrop: パケットドロップフローのロギング機能を有効にします。この機能を使用するには、カーネルデバッグファイルシステムをマウントする必要があるため、eBPF エージェント Pod を spec.agent.ebpf.privileged を介して特権付き Pod として実行する必要があります。

- DNSTracking: DNS 追跡機能を有効にします。

- FlowRTT: eBPF エージェントで TCP トラフィックからのフロー遅延 (sRTT) 抽出を有効にします。

- NetworkEvents: フローやネットワークポリシーの相関付けなどのネットワークイベント監視機能を有効にします。この機能を使用するには、カーネルデバッグファイルシステムをマウントする必要があるため、eBPF エージェント Pod を spec.agent.ebpf.privileged を介して特権付き Pod として実行する必要があります。Observability 機能を備えた OVN-Kubernetes ネットワークプラグインを使用する必要があります。重要: この機能はテクノロジープレビューとして提供されています。

- PacketTranslation: Service NAT などのパケット変換情報を使用してフローをエンリッチできるようにします。

- EbpfManager: [サポートされていません (*)]。eBPF Manager を使用して、Network Observability eBPF プログラムを管理します。前提条件として、eBPF Manager Operator (またはアップストリームの bpfman Operator) がインストールされている必要があります。

- UDNMapping: ユーザー定義ネットワーク (UDN) へのインターフェイスのマッピングを有効にします。

この機能を使用するには、カーネルデバッグファイルシステムをマウントする必要があるため、eBPF エージェント Pod を spec.agent.ebpf.privileged を介して特権付き Pod として実行する必要があります。Observability 機能を備えた OVN-Kubernetes ネットワークプラグインを使用する必要があります。

- IPSec: IPsec 暗号化を使用してノード間のフローを追跡します。

flowFilter

object

flowFilter は、フローフィルタリングに関する eBPF エージェント設定を定義します。

imagePullPolicy

string

imagePullPolicy は、上で定義したイメージの Kubernetes プルポリシーです。

interfaces

array (string)

interfaces には、フローの収集元であるインターフェイスの名前を含めます。空の場合、エージェントは excludeInterfaces にリストされているものを除いて、システム内のすべてのインターフェイスを取得します。/br-/ など、スラッシュで囲まれたエントリーは正規表現として照合されます。それ以外は、大文字と小文字を区別する文字列として照合されます。

kafkaBatchSize

integer

kafkaBatchSize は、パーティションに送信される前のリクエストの最大サイズをバイト単位で制限します。Kafka を使用しない場合は無視されます。デフォルト: 1 MB。

logLevel

string

logLevel は、Network Observability eBPF Agent のログレベルを定義します。

metrics

object

metrics は、メトリクスに関する eBPF エージェント設定を定義します。

privileged

boolean

eBPF Agent コンテナーの特権モード。true に設定すると、エージェントが、セカンダリーインターフェイスからのトラフィックも含め、より多くのトラフィックをキャプチャーできるようになります。無視されるか false に設定されていると、Operator がコンテナーに詳細なケイパビリティー (BPF、PERFMON、NET_ADMIN) を設定します。パケットドロップの追跡 (features を参照) や SR-IOV サポートなど、一部のエージェント機能には特権モードが必要です。

resources

object

resources は、このコンテナーが必要とするコンピューティングリソースです。詳細は、https://kubernetes.io/docs/concepts/configuration/manage-resources-containers/ を参照してください。

sampling

integer

eBPF プローブのサンプリング間隔。100 を指定すると、100 分の 1 のパケットが送信されます。0 または 1 を指定すると、すべてのパケットがサンプリングされます。

capOverride

array (string)

特権モードで実行されていない場合に、Linux ケイパビリティーをオーバーライドします。デフォルトのケイパビリティーは、BPF、PERFMON、NET_ADMIN です。

env

object (string)

env を使用すると、カスタム環境変数を基礎となるコンポーネントに渡すことができます。GOGC や GOMAXPROCS など、非常に具体的なパフォーマンスチューニングオプションを渡すのに役立ちます。これらのオプションは、エッジのデバッグ時かサポートを受ける場合にのみ有用なものであるため、FlowCollector 記述子の一部として公開しないでください。

scheduling

object

scheduling は、Pod がノードでどのようにスケジュールされるかを制御します。

affinity

object

指定した場合、Pod のスケジューリング制約。ドキュメントは、https://kubernetes.io/docs/reference/kubernetes-api/workload-resources/pod-v1/#scheduling を参照してください。

nodeSelector

object (string)

nodeSelector を使用すると、指定した各ラベルを持つノードにのみ Pod をスケジュールできます。ドキュメントは、https://kubernetes.io/docs/concepts/configuration/assign-pod-node/ を参照してください。

priorityClassName

string

指定した場合、Pod の優先度を示します。ドキュメントは、https://kubernetes.io/docs/concepts/scheduling-eviction/pod-priority-preemption/#how-to-use-priority-and-preemption を参照してください。指定されていない場合はデフォルトの優先度が使用され、デフォルトの優先度がない場合は 0 が使用されます。

tolerations

array

tolerations は、一致する taint を持つノードに Pod がスケジュールできるようにする toleration のリストです。ドキュメントは、https://kubernetes.io/docs/reference/kubernetes-api/workload-resources/pod-v1/#scheduling を参照してください。

action

string

action は、フィルターに一致するフローに対して実行するアクションを定義します。使用可能なオプションは、Accept (デフォルト) と Reject です。

cidr

string

cidr は、フローのフィルタリングに使用する IP CIDR を定義します。たとえば、10.10.10.0/24 または 100:100:100:100::/64 です。

destPorts

integer-or-string

destPorts は、フローのフィルタリングに使用する宛先ポートを定義します (任意)。単一のポートをフィルタリングするには、単一のポートを整数値として設定します。たとえば、destPorts: 80 です。ポートの範囲をフィルタリングするには、文字列形式の "開始 - 終了" 範囲を使用します。たとえば、destPorts: "80-100" です。2 つのポートをフィルタリングするには、文字列形式の "port1,port2" を使用します。たとえば、ports: "80,100" です。

direction

string

direction は、フローのフィルタリングに使用する方向を定義します (任意)。使用可能なオプションは Ingress と Egress です。

enable

boolean

eBPF フローのフィルタリング機能を有効にするには、enable を true に設定します。

icmpCode

integer

icmpCode は、Internet Control Message Protocol (ICMP) トラフィックの場合に、フローのフィルタリングに使用する ICMP コードを定義します (任意)。

icmpType

integer

icmpType は、ICMP トラフィックの場合に、フローのフィルタリングに使用する ICMP タイプを定義します (任意)。

peerCIDR

string

peerCIDR は、フローをフィルタリングする Peer IP CIDR を定義します。たとえば、10.10.10.0/24 または 100:100:100:100::/64 です。

peerIP

string

peerIP は、フローのフィルタリングに使用するリモート IP アドレスを定義します (任意)。たとえば、10.10.10.10 です。

pktDrops

boolean

pktDrops は、パケットドロップを含むフローのみをフィルタリングします (任意)。

ports

integer-or-string

ports は、フローのフィルタリングに使用するポートを定義します (任意)。これは送信元ポートと宛先ポートの両方に使用されます。単一のポートをフィルタリングするには、単一のポートを整数値として設定します。たとえば、ports: 80 です。ポートの範囲をフィルタリングするには、文字列形式の "開始 - 終了" 範囲を使用します。たとえば、ports: "80-100" です。2 つのポートをフィルタリングするには、文字列形式の "port1,port2" を使用します。たとえば、ports: "80,100" です。

protocol

string

protocol は、フローのフィルタリングに使用するプロトコルを定義します (任意)。使用可能なオプションは、TCP、UDP、ICMP、ICMPv6、SCTP です。

rules

array

rules は、eBPF エージェントのフィルタリングルールのリストを定義します。フィルタリングが有効になっている場合、どのルールにも一致しないフローはデフォルトで拒否されます。デフォルトを変更するには、すべてを受け入れるルール ({ action: "Accept", cidr: "0.0.0.0/0" }) を定義してから拒否ルールで調整します。

sampling

integer

sampling は、マッチしたパケットのサンプリング間隔であり、spec.agent.ebpf.sampling で定義されたグローバルサンプリングをオーバーライドします。

sourcePorts

integer-or-string

sourcePorts は、フローのフィルタリングに使用する送信元ポートを定義します (任意)。単一のポートをフィルタリングするには、単一のポートを整数値として設定します。たとえば、sourcePorts: 80 です。ポートの範囲をフィルタリングするには、文字列形式の "開始 - 終了" 範囲を使用します。たとえば、sourcePorts: "80-100" です。2 つのポートをフィルタリングするには、文字列形式の "port1,port2" を使用します。たとえば、ports: "80,100" です。

tcpFlags

string

tcpFlags は、フローのフィルタリングに使用するための TCP フラグを定義します (任意)。標準のフラグ (RFC-9293) に加えて、SYN-ACK、FIN-ACK、RST-ACK の 3 つの組み合わせのいずれかを使用してフィルタリングすることもできます。

action

string

action は、フィルターに一致するフローに対して実行するアクションを定義します。使用可能なオプションは、Accept (デフォルト) と Reject です。

cidr

string

cidr は、フローのフィルタリングに使用する IP CIDR を定義します。たとえば、10.10.10.0/24 または 100:100:100:100::/64 です。

destPorts

integer-or-string

destPorts は、フローのフィルタリングに使用する宛先ポートを定義します (任意)。単一のポートをフィルタリングするには、単一のポートを整数値として設定します。たとえば、destPorts: 80 です。ポートの範囲をフィルタリングするには、文字列形式の "開始 - 終了" 範囲を使用します。たとえば、destPorts: "80-100" です。2 つのポートをフィルタリングするには、文字列形式の "port1,port2" を使用します。たとえば、ports: "80,100" です。

direction

string

direction は、フローのフィルタリングに使用する方向を定義します (任意)。使用可能なオプションは Ingress と Egress です。

icmpCode

integer

icmpCode は、Internet Control Message Protocol (ICMP) トラフィックの場合に、フローのフィルタリングに使用する ICMP コードを定義します (任意)。

icmpType

integer

icmpType は、ICMP トラフィックの場合に、フローのフィルタリングに使用する ICMP タイプを定義します (任意)。

peerCIDR

string

peerCIDR は、フローをフィルタリングする Peer IP CIDR を定義します。たとえば、10.10.10.0/24 または 100:100:100:100::/64 です。

peerIP

string

peerIP は、フローのフィルタリングに使用するリモート IP アドレスを定義します (任意)。たとえば、10.10.10.10 です。

pktDrops

boolean

pktDrops は、パケットドロップを含むフローのみをフィルタリングします (任意)。

ports

integer-or-string

ports は、フローのフィルタリングに使用するポートを定義します (任意)。これは送信元ポートと宛先ポートの両方に使用されます。単一のポートをフィルタリングするには、単一のポートを整数値として設定します。たとえば、ports: 80 です。ポートの範囲をフィルタリングするには、文字列形式の "開始 - 終了" 範囲を使用します。たとえば、ports: "80-100" です。2 つのポートをフィルタリングするには、文字列形式の "port1,port2" を使用します。たとえば、ports: "80,100" です。

protocol

string

protocol は、フローのフィルタリングに使用するプロトコルを定義します (任意)。使用可能なオプションは、TCP、UDP、ICMP、ICMPv6、SCTP です。

sampling

integer

sampling は、マッチしたパケットのサンプリング間隔であり、spec.agent.ebpf.sampling で定義されたグローバルサンプリングをオーバーライドします。

sourcePorts

integer-or-string

sourcePorts は、フローのフィルタリングに使用する送信元ポートを定義します (任意)。単一のポートをフィルタリングするには、単一のポートを整数値として設定します。たとえば、sourcePorts: 80 です。ポートの範囲をフィルタリングするには、文字列形式の "開始 - 終了" 範囲を使用します。たとえば、sourcePorts: "80-100" です。2 つのポートをフィルタリングするには、文字列形式の "port1,port2" を使用します。たとえば、ports: "80,100" です。

tcpFlags

string

tcpFlags は、フローのフィルタリングに使用するための TCP フラグを定義します (任意)。標準のフラグ (RFC-9293) に加えて、SYN-ACK、FIN-ACK、RST-ACK の 3 つの組み合わせのいずれかを使用してフィルタリングすることもできます。

disableAlerts

array (string)

disableAlerts は、無効にする必要があるアラートのリストです。可能な値は次のとおりです。

NetObservDroppedFlows は、eBPF エージェントでパケットまたはフローが欠落している場合にトリガーされます。たとえば、eBPF の HashMap がビジー状態または満杯の場合や、容量制限がトリガーされている場合などです。

enable

boolean

eBPF エージェントのメトリクス収集を無効にするには、enable を false に設定します。これは、デフォルトで有効になっています。

server

object

Prometheus スクレイパーのメトリクスサーバーエンドポイント設定。

port

integer

メトリクスサーバーの HTTP ポート。

tls

object

TLS 設定。

insecureSkipVerify

boolean

insecureSkipVerify を使用すると、提供された証明書に対するクライアント側の検証をスキップできます。true に設定すると、providedCaFile フィールドが無視されます。

provided

object

type が Provided に設定されている場合の TLS 設定。

providedCaFile

object

type が Provided に設定されている場合の CA ファイルへの参照。

type

string

TLS 設定のタイプを選択します。

- Disabled (デフォルト) は、エンドポイントに TLS を設定しません。- Provided は、証明書ファイルとキーファイルを手動で指定します [サポート対象外 (*)]。- Auto は、アノテーションを使用して OpenShift Container Platform の自動生成証明書を使用します。

certFile

string

certFile は、config map またはシークレット内の証明書ファイル名へのパスを定義します。

certKey

string

certKey は、config map またはシークレット内の証明書秘密鍵ファイル名へのパスを定義します。キーが不要な場合は省略します。

name

string

証明書を含む config map またはシークレットの名前。

namespace

string

証明書を含む config map またはシークレットの namespace省略した場合、デフォルトでは、Network Observability がデプロイされているのと同じ namespace が使用されます。namespace が異なる場合は、必要に応じてマウントできるように、config map またはシークレットがコピーされます。

type

string

証明書参照のタイプ (configmap または secret)。

file

string

config map またはシークレット内のファイル名。

name

string

ファイルを含む config map またはシークレットの名前。

namespace

string

ファイルを含む config map またはシークレットの namespace。省略した場合、デフォルトでは、Network Observability がデプロイされているのと同じ namespace が使用されます。namespace が異なる場合は、必要に応じてマウントできるように、config map またはシークレットがコピーされます。

type

string

ファイル参照のタイプ (configmap または secret)。

limits

integer-or-string

limits は、許可されるコンピュートリソースの最大量を示します。詳細は、https://kubernetes.io/docs/concepts/configuration/manage-resources-containers/ を参照してください。

requests

integer-or-string

requests は、必要なコンピュートリソースの最小量を示します。コンテナーで Requests が省略される場合、明示的に指定される場合にデフォルトで Limits に設定されます。指定しない場合は、実装定義の値に設定されます。リクエストは制限を超えることはできません。詳細は、https://kubernetes.io/docs/concepts/configuration/manage-resources-containers/ を参照してください。

advanced

object

advanced を使用すると、コンソールプラグインの内部設定のいくつかの側面を設定できます。このセクションは、GOGC や GOMAXPROCS 環境変数などのデバッグと詳細なパフォーマンスの最適化を主な目的としています。これらの値はお客様の責任のもと設定してください。

autoscaler

object

autoscaler [非推奨 (*)] プラグインデプロイメント用にセットアップする水平 Pod オートスケーラーの仕様。非推奨のお知らせ: マネージドオートスケーラーは将来のバージョンで削除されます。代わりに、お好みのオートスケーラーを設定し、spec.consolePlugin.unmanagedReplicas を true に設定することもできます。HorizontalPodAutoscaler のドキュメント (自動スケーリング/v2) を参照してください。

enable

boolean

コンソールプラグインのデプロイメントを有効にします。

imagePullPolicy

string

imagePullPolicy は、上記で定義されたイメージに対する Kubernetes のプルポリシーです。

logLevel

string

コンソールプラグインバックエンドの ログレベル。

portNaming

object

portNaming は、 ポート番号とサービス名の変換設定を定義します。

quickFilters

array

quickFilters は、コンソールプラグイン用のクイックフィルタープリセットを設定します。外部トラフィック用のフィルターは、サブネットラベルが内部トラフィックと外部トラフィックを区別するように設定されていることを前提としています (spec.processor.subnetLabels を 参照)。

replicas

integer

replicas は、開始するレプリカ (Pod) の数を定義します。

resources

object

resources (コンピューティングリソースから見た場合にコンテナーに必要)。詳細は、https://kubernetes.io/docs/concepts/configuration/manage-resources-containers/ を参照してください。

スタンドアロン

boolean

OpenShift Container Platform Console のプラグインとしてではなく、スタンドアロンのコンソールとしてデプロイします。OpenShift Container Platform と併用する場合は、統合されたエクスペリエンスが提供されないため、推奨されません。[サポート対象外 (*)]

管理されていないレプリカ

boolean

unmanagedReplicas が true の場合、オペレーターは レプリカ を調整しません。これは、Pod オートスケーラーを使用する場合に便利です。

args

array (string)

args を使用すると、カスタム引数を基礎となるコンポーネントに渡すことができます。URL や設定パスなど、一部のパラメーターをオーバーライドする場合に有用です。これらのパラメーターは、エッジのデバッグ時かサポートを受ける場合にのみ有用なものであるため、FlowCollector 記述子の一部として公開しないでください。

env

object (string)

env を使用すると、カスタム環境変数を基礎となるコンポーネントに渡すことができます。GOGC や GOMAXPROCS など、非常に具体的なパフォーマンスチューニングオプションを渡すのに役立ちます。これらのオプションは、エッジのデバッグ時かサポートを受ける場合にのみ有用なものであるため、FlowCollector 記述子の一部として公開しないでください。

port

integer

port はプラグインサービスポートです。メトリクス用に予約されている 9002 は使用しないでください。

register

boolean

register を true に設定すると、提供されたコンソールプラグインを OpenShift Container Platform Console Operator に自動的に登録できます。false に設定した場合でも、oc patch console.operator.openshift.io cluster --type='json' -p '[{"op": "add", "path": "/spec/plugins/-", "value": "netobserv-plugin"}]' コマンドで console.operator.openshift.io/cluster を編集することにより、手動で登録できます。

scheduling

object

scheduling は、Pod がノードでどのようにスケジュールされるかを制御します。

affinity

object

指定した場合、Pod のスケジューリング制約。ドキュメントは、https://kubernetes.io/docs/reference/kubernetes-api/workload-resources/pod-v1/#scheduling を参照してください。

nodeSelector

object (string)

nodeSelector を使用すると、指定した各ラベルを持つノードにのみ Pod をスケジュールできます。ドキュメントは、https://kubernetes.io/docs/concepts/configuration/assign-pod-node/ を参照してください。

priorityClassName

string

指定した場合、Pod の優先度を示します。ドキュメントは、https://kubernetes.io/docs/concepts/scheduling-eviction/pod-priority-preemption/#how-to-use-priority-and-preemption を参照してください。指定されていない場合はデフォルトの優先度が使用され、デフォルトの優先度がない場合は 0 が使用されます。

tolerations

array

tolerations は、一致する taint を持つノードに Pod がスケジュールできるようにする toleration のリストです。ドキュメントは、https://kubernetes.io/docs/reference/kubernetes-api/workload-resources/pod-v1/#scheduling を参照してください。

enable

boolean

コンソールプラグインのポートからサービス名への変換を有効にします。

portNames

object (string)

portNames は、コンソールで使用する追加のポート名を定義します (例: portNames: {"3100": "loki"})。

default

boolean

default は、このフィルターをデフォルトで有効にするかどうかを定義します。

filter

object (string)

filter は、このフィルターが選択されたときに設定されるキーと値のセットです。各キーは、コンマ区切りの文字列を使用して値のリストに関連付けることができます (例: filter: {"src_namespace": "namespace1,namespace2"})。

name

string

コンソールに表示されるフィルターの名前

limits

integer-or-string

limits は、許可されるコンピュートリソースの最大量を示します。詳細は、https://kubernetes.io/docs/concepts/configuration/manage-resources-containers/ を参照してください。

requests

integer-or-string

requests は、必要なコンピュートリソースの最小量を示します。コンテナーで Requests が省略される場合、明示的に指定される場合にデフォルトで Limits に設定されます。指定しない場合は、実装定義の値に設定されます。リクエストは制限を超えることはできません。詳細は、https://kubernetes.io/docs/concepts/configuration/manage-resources-containers/ を参照してください。

ipfix

object

エンリッチされた IPFIX フローの送信先の IP アドレスやポートなどの IPFIX 設定。

kafka

object

エンリッチされたフローの送信先のアドレスやトピックなどの Kafka 設定。

openTelemetry

object

エンリッチされたログやメトリクスの送信先の IP アドレスやポートなどの OpenTelemetry 設定。

type

string

type は、エクスポーターのタイプを選択します。使用可能なオプションは、Kafka、IPFIX、OpenTelemetry です。

エンタープライズ ID

integer

企業 ID、または民間企業番号 (PEN)。現在、ネットワークオブザーバビリティーには割り当て番号がないため、設定のために空いた状態になっています。PEN は、Kubernetes 名、RTT などの非標準データを収集するために必要です。

targetHost

string

IPFIX 外部レシーバーのアドレス。

targetPort

integer

IPFIX 外部レシーバー用のポート。

transport

string

IPFIX 接続に使用されるトランスポートプロトコル (TCP または UDP)。デフォルトは TCP です。

address

string

Kafka サーバーのアドレス

sasl

object

SASL 認証の設定。[サポート対象外 (*)]。

tls

object

TLS クライアント設定。TLS を使用する場合は、アドレスが TLS に使用される Kafka ポート (通常は 9093) と一致することを確認します。

topic

string

使用する Kafka トピック。これは必ず存在する必要があります。Network Observability はこれを作成しません。

clientIDReference

object

クライアント ID を含むシークレットまたは config map への参照

clientSecretReference

object

クライアントシークレットを含むシークレットまたは config map への参照

type

string

使用する SASL 認証のタイプ。SASL を使用しない場合は Disabled

file

string

config map またはシークレット内のファイル名。

name

string

ファイルを含む config map またはシークレットの名前。

namespace

string

ファイルを含む config map またはシークレットの namespace。省略した場合、デフォルトでは、Network Observability がデプロイされているのと同じ namespace が使用されます。namespace が異なる場合は、必要に応じてマウントできるように、config map またはシークレットがコピーされます。

type

string

ファイル参照のタイプ (configmap または secret)。

file

string

config map またはシークレット内のファイル名。

name

string

ファイルを含む config map またはシークレットの名前。

namespace

string

ファイルを含む config map またはシークレットの namespace。省略した場合、デフォルトでは、Network Observability がデプロイされているのと同じ namespace が使用されます。namespace が異なる場合は、必要に応じてマウントできるように、config map またはシークレットがコピーされます。

type

string

ファイル参照のタイプ (configmap または secret)。

caCert

object

caCert は、認証局の証明書の参照を定義します。

enable

boolean

TLS を有効にします。

insecureSkipVerify

boolean

insecureSkipVerify を使用すると、サーバー証明書のクライアント側の検証をスキップできます。true に設定すると、caCert フィールドが無視されます。

userCert

object

userCert は、ユーザー証明書の参照を定義し、mTLS に使用されます。一方向 TLS を使用する場合は、このプロパティーを無視できます。

certFile

string

certFile は、config map またはシークレット内の証明書ファイル名へのパスを定義します。

certKey

string

certKey は、config map またはシークレット内の証明書秘密鍵ファイル名へのパスを定義します。キーが不要な場合は省略します。

name

string

証明書を含む config map またはシークレットの名前。

namespace

string

証明書を含む config map またはシークレットの namespace省略した場合、デフォルトでは、Network Observability がデプロイされているのと同じ namespace が使用されます。namespace が異なる場合は、必要に応じてマウントできるように、config map またはシークレットがコピーされます。

type

string

証明書参照のタイプ (configmap または secret)。

certFile

string

certFile は、config map またはシークレット内の証明書ファイル名へのパスを定義します。

certKey

string

certKey は、config map またはシークレット内の証明書秘密鍵ファイル名へのパスを定義します。キーが不要な場合は省略します。

name

string

証明書を含む config map またはシークレットの名前。

namespace

string

証明書を含む config map またはシークレットの namespace省略した場合、デフォルトでは、Network Observability がデプロイされているのと同じ namespace が使用されます。namespace が異なる場合は、必要に応じてマウントできるように、config map またはシークレットがコピーされます。

type

string

証明書参照のタイプ (configmap または secret)。

fieldsMapping

array

OpenTelemetry 準拠の形式にマッピングされるカスタムフィールド。デフォルトでは、Network Observability の形式の提案 (https://github.com/rhobs/observability-data-model/blob/main/network-observability.md#format-proposal) が使用されます。L3 または L4 エンリッチ化ネットワークログは、現在、受け入れられている標準が存在しないため、デフォルトを独自の形式で自由にオーバーライドできます。

headers

object (string)

メッセージに追加するヘッダー (任意)。

logs

object

ログの OpenTelemetry 設定。

metrics

object

メトリクスの OpenTelemetry 設定。

protocol

string

OpenTelemetry 接続のプロトコル。使用可能なオプションは http と grpc です。

targetHost

string

OpenTelemetry レシーバーのアドレス。

targetPort

integer

OpenTelemetry レシーバーのポート。

tls

object

TLS クライアント設定。

input

string

multiplier

integer

output

string

enable

boolean

ログを OpenTelemetry レシーバーに送信するには、enable を true に設定します。

enable

boolean

メトリクスを OpenTelemetry レシーバーに送信するには、enable を true に設定します。

pushTimeInterval

string

メトリクスをコレクターに送信する頻度を指定します。

caCert

object

caCert は、認証局の証明書の参照を定義します。

enable

boolean

TLS を有効にします。

insecureSkipVerify

boolean

insecureSkipVerify を使用すると、サーバー証明書のクライアント側の検証をスキップできます。true に設定すると、caCert フィールドが無視されます。

userCert

object

userCert は、ユーザー証明書の参照を定義し、mTLS に使用されます。一方向 TLS を使用する場合は、このプロパティーを無視できます。

certFile

string

certFile は、config map またはシークレット内の証明書ファイル名へのパスを定義します。

certKey

string

certKey は、config map またはシークレット内の証明書秘密鍵ファイル名へのパスを定義します。キーが不要な場合は省略します。

name

string

証明書を含む config map またはシークレットの名前。

namespace

string

証明書を含む config map またはシークレットの namespace省略した場合、デフォルトでは、Network Observability がデプロイされているのと同じ namespace が使用されます。namespace が異なる場合は、必要に応じてマウントできるように、config map またはシークレットがコピーされます。

type

string

証明書参照のタイプ (configmap または secret)。

certFile

string

certFile は、config map またはシークレット内の証明書ファイル名へのパスを定義します。

certKey

string

certKey は、config map またはシークレット内の証明書秘密鍵ファイル名へのパスを定義します。キーが不要な場合は省略します。

name

string

証明書を含む config map またはシークレットの名前。

namespace

string

証明書を含む config map またはシークレットの namespace省略した場合、デフォルトでは、Network Observability がデプロイされているのと同じ namespace が使用されます。namespace が異なる場合は、必要に応じてマウントできるように、config map またはシークレットがコピーされます。

type

string

証明書参照のタイプ (configmap または secret)。

address

string

Kafka サーバーのアドレス

sasl

object

SASL 認証の設定。[サポート対象外 (*)]。

tls

object

TLS クライアント設定。TLS を使用する場合は、アドレスが TLS に使用される Kafka ポート (通常は 9093) と一致することを確認します。

topic

string

使用する Kafka トピック。これは必ず存在する必要があります。Network Observability はこれを作成しません。

clientIDReference

object

クライアント ID を含むシークレットまたは config map への参照

clientSecretReference

object

クライアントシークレットを含むシークレットまたは config map への参照

type

string

使用する SASL 認証のタイプ。SASL を使用しない場合は Disabled

file

string

config map またはシークレット内のファイル名。

name

string

ファイルを含む config map またはシークレットの名前。

namespace

string

ファイルを含む config map またはシークレットの namespace。省略した場合、デフォルトでは、Network Observability がデプロイされているのと同じ namespace が使用されます。namespace が異なる場合は、必要に応じてマウントできるように、config map またはシークレットがコピーされます。

type

string

ファイル参照のタイプ (configmap または secret)。

file

string

config map またはシークレット内のファイル名。

name

string

ファイルを含む config map またはシークレットの名前。

namespace

string

ファイルを含む config map またはシークレットの namespace。省略した場合、デフォルトでは、Network Observability がデプロイされているのと同じ namespace が使用されます。namespace が異なる場合は、必要に応じてマウントできるように、config map またはシークレットがコピーされます。

type

string

ファイル参照のタイプ (configmap または secret)。

caCert

object

caCert は、認証局の証明書の参照を定義します。

enable

boolean

TLS を有効にします。

insecureSkipVerify

boolean

insecureSkipVerify を使用すると、サーバー証明書のクライアント側の検証をスキップできます。true に設定すると、caCert フィールドが無視されます。

userCert

object

userCert は、ユーザー証明書の参照を定義し、mTLS に使用されます。一方向 TLS を使用する場合は、このプロパティーを無視できます。

certFile

string

certFile は、config map またはシークレット内の証明書ファイル名へのパスを定義します。

certKey

string

certKey は、config map またはシークレット内の証明書秘密鍵ファイル名へのパスを定義します。キーが不要な場合は省略します。

name

string

証明書を含む config map またはシークレットの名前。

namespace

string

証明書を含む config map またはシークレットの namespace省略した場合、デフォルトでは、Network Observability がデプロイされているのと同じ namespace が使用されます。namespace が異なる場合は、必要に応じてマウントできるように、config map またはシークレットがコピーされます。

type

string

証明書参照のタイプ (configmap または secret)。

certFile

string

certFile は、config map またはシークレット内の証明書ファイル名へのパスを定義します。

certKey

string

certKey は、config map またはシークレット内の証明書秘密鍵ファイル名へのパスを定義します。キーが不要な場合は省略します。

name

string

証明書を含む config map またはシークレットの名前。

namespace

string

証明書を含む config map またはシークレットの namespace省略した場合、デフォルトでは、Network Observability がデプロイされているのと同じ namespace が使用されます。namespace が異なる場合は、必要に応じてマウントできるように、config map またはシークレットがコピーされます。

type

string

証明書参照のタイプ (configmap または secret)。

advanced

object

advanced を使用すると、Loki クライアントの内部設定のいくつかの側面を設定できます。このセクションは、デバッグと詳細なパフォーマンスの最適化を主な目的としています。

enable

boolean

Loki にフローを保存するには、enable を true に設定します。コンソールプラグインは、メトリクスのデータソースとして Loki または Prometheus、またはその両方を使用できます (spec.prometheus.querier も参照してください)。すべてのクエリーを Loki から Prometheus に転送できるわけではありません。したがって、Loki が無効になっている場合、Pod ごとの情報の取得や raw フローの表示など、プラグインの一部の機能も無効になります。Prometheus と Loki の両方が有効になっている場合は、Prometheus が優先され、Prometheus が処理できないクエリーのフォールバックとして Loki が使用されます。両方とも無効になっている場合、コンソールプラグインはデプロイされません。

lokiStack

object

LokiStack モードの Loki 設定。これは、Loki Operator を簡単に設定するのに役立ちます。他のモードでは無視されます。

manual

object

Manual モードの Loki 設定。これは最も柔軟な設定です。他のモードでは無視されます。

microservices

object

Microservices モードの Loki 設定。このオプションは、Loki がマイクロサービスデプロイメントモード (https://grafana.com/docs/loki/latest/fundamentals/architecture/deployment-modes/#microservices-mode) を使用してインストールされている場合に使用します。他のモードでは無視されます。

mode

string

mode は、Loki のインストールモードに応じて設定する必要があります。

- Loki が Loki Operator を使用して管理されている場合は、LokiStack を使用します。

- Loki がモノリシックなワークロードとしてインストールされている場合は、Monolithic を使用します。

- Loki がマイクロサービスとしてインストールされているが、Loki Operator がない場合は、Microservices を使用します。

- 上記のオプションが、いずれもお使いのセットアップに合わない場合は、Manual を使用します。

monolithic

object

Monolithic モードの Loki 設定。このオプションは、Loki がモノリシックデプロイメントモード (https://grafana.com/docs/loki/latest/fundamentals/architecture/deployment-modes/#monolithic-mode) を使用してインストールされている場合に使用します。他のモードでは無視されます。

readTimeout

string

readTimeout は、コンソールプラグインの loki クエリーの合計時間上限です。タイムアウトがゼロの場合は、タイムアウトしません。

writeBatchSize

integer

writeBatchSize は、送信前に蓄積する Loki ログの最大バッチサイズ (バイト単位) です。

writeBatchWait

string

writeBatchWait は、Loki バッチを送信するまでに待機する最大時間です。

writeTimeout

string

writeTimeout は、Loki の接続/リクエスト時間の上限です。タイムアウトがゼロの場合は、タイムアウトしません。

excludeLabels

array (string)

excludeLabels は、Loki ラベルのリストから除外するフィールドのリストです [サポートされていません (*)]。

staticLabels

object (string)

staticLabels は、Loki ストレージ内の各フローに設定する共通ラベルのマップです。

writeMaxBackoff

string

writeMaxBackoff は、Loki クライアント接続の再試行間の最大バックオフ時間です。

writeMaxRetries

integer

writeMaxRetries は、Loki クライアント接続の最大再試行回数です。

writeMinBackoff

string

writeMinBackoff は、Loki クライアント接続の再試行間の初期バックオフ時間です。

name

string

使用する既存の LokiStack リソースの名前。

namespace

string

この LokiStack リソースが配置される namespace。省略した場合は、spec.namespace と同じであるとみなされます。

authToken

string

authToken は、Loki に対して認証するためのトークンを取得する方法を示します。

- Disabled の場合、リクエストとともにトークンが送信されません。

- Forward の場合、認可のためにユーザートークンを転送します。

- Host [非推奨 (*)] - ローカル Pod サービスアカウントを使用して Loki に認証します。

Loki Operator を使用する場合、Forward に設定する必要があります。

ingesterUrl

string

ingesterUrl は、フローのプッシュ先となる既存の Loki インジェスターサービスのアドレスです。Loki Operator を使用する場合は、パスに network テナントが設定された Loki ゲートウェイサービスに設定します (例: https://loki-gateway-http.netobserv.svc:8080/api/logs/v1/network)。

querierUrl

string

querierUrl は、Loki クエリアーサービスのアドレスを指定します。Loki Operator を使用する場合は、パスに network テナントが設定された Loki ゲートウェイサービスに設定します (例: https://loki-gateway-http.netobserv.svc:8080/api/logs/v1/network)。

statusTls

object

Loki ステータス URL の TLS クライアント設定。

statusUrl

string

statusUrl は、Loki クエリアー URL と異なる場合に備えて、Loki /ready、/metrics、/config エンドポイントのアドレスを指定します。空の場合、querierUrl の値が使用されます。これは、フロントエンドでエラーメッセージやコンテキストを表示するのに便利です。Loki Operator を使用する場合は、Loki HTTP クエリーフロントエンドサービス (例 : https://loki-query-frontend-http.netobserv.svc:3100/) に設定します。statusTLS 設定は、statusUrl が設定されている場合に使用されます。

tenantID

string

tenantID は、各リクエストのテナントを識別する Loki X-Scope-OrgID です。Loki Operator を使用する場合は、特別なテナントモードに対応する network に設定します。

tls

object

Loki URL の TLS クライアント設定。

caCert

object

caCert は、認証局の証明書の参照を定義します。

enable

boolean

TLS を有効にします。

insecureSkipVerify

boolean

insecureSkipVerify を使用すると、サーバー証明書のクライアント側の検証をスキップできます。true に設定すると、caCert フィールドが無視されます。

userCert

object

userCert は、ユーザー証明書の参照を定義し、mTLS に使用されます。一方向 TLS を使用する場合は、このプロパティーを無視できます。

certFile

string

certFile は、config map またはシークレット内の証明書ファイル名へのパスを定義します。

certKey

string

certKey は、config map またはシークレット内の証明書秘密鍵ファイル名へのパスを定義します。キーが不要な場合は省略します。

name

string

証明書を含む config map またはシークレットの名前。

namespace

string

証明書を含む config map またはシークレットの namespace省略した場合、デフォルトでは、Network Observability がデプロイされているのと同じ namespace が使用されます。namespace が異なる場合は、必要に応じてマウントできるように、config map またはシークレットがコピーされます。

type

string

証明書参照のタイプ (configmap または secret)。

certFile

string

certFile は、config map またはシークレット内の証明書ファイル名へのパスを定義します。

certKey

string

certKey は、config map またはシークレット内の証明書秘密鍵ファイル名へのパスを定義します。キーが不要な場合は省略します。

name

string

証明書を含む config map またはシークレットの名前。

namespace

string

証明書を含む config map またはシークレットの namespace省略した場合、デフォルトでは、Network Observability がデプロイされているのと同じ namespace が使用されます。namespace が異なる場合は、必要に応じてマウントできるように、config map またはシークレットがコピーされます。

type

string

証明書参照のタイプ (configmap または secret)。

caCert

object

caCert は、認証局の証明書の参照を定義します。

enable

boolean

TLS を有効にします。

insecureSkipVerify

boolean

insecureSkipVerify を使用すると、サーバー証明書のクライアント側の検証をスキップできます。true に設定すると、caCert フィールドが無視されます。

userCert

object

userCert は、ユーザー証明書の参照を定義し、mTLS に使用されます。一方向 TLS を使用する場合は、このプロパティーを無視できます。

certFile

string

certFile は、config map またはシークレット内の証明書ファイル名へのパスを定義します。

certKey

string

certKey は、config map またはシークレット内の証明書秘密鍵ファイル名へのパスを定義します。キーが不要な場合は省略します。

name

string

証明書を含む config map またはシークレットの名前。

namespace

string

証明書を含む config map またはシークレットの namespace省略した場合、デフォルトでは、Network Observability がデプロイされているのと同じ namespace が使用されます。namespace が異なる場合は、必要に応じてマウントできるように、config map またはシークレットがコピーされます。

type

string

証明書参照のタイプ (configmap または secret)。

certFile

string

certFile は、config map またはシークレット内の証明書ファイル名へのパスを定義します。

certKey

string

certKey は、config map またはシークレット内の証明書秘密鍵ファイル名へのパスを定義します。キーが不要な場合は省略します。

name

string

証明書を含む config map またはシークレットの名前。

namespace

string

証明書を含む config map またはシークレットの namespace省略した場合、デフォルトでは、Network Observability がデプロイされているのと同じ namespace が使用されます。namespace が異なる場合は、必要に応じてマウントできるように、config map またはシークレットがコピーされます。

type

string

証明書参照のタイプ (configmap または secret)。

ingesterUrl

string

ingesterUrl は、フローのプッシュ先となる既存の Loki インジェスターサービスのアドレスです。

querierUrl

string

querierURL は、Loki クエリアーサービスのアドレスを指定します。

tenantID

string

tenantID は、各リクエストのテナントを識別する Loki X-Scope-OrgID ヘッダーです。

tls

object

Loki URL の TLS クライアント設定。

caCert

object

caCert は、認証局の証明書の参照を定義します。

enable

boolean

TLS を有効にします。

insecureSkipVerify

boolean

insecureSkipVerify を使用すると、サーバー証明書のクライアント側の検証をスキップできます。true に設定すると、caCert フィールドが無視されます。

userCert

object

userCert は、ユーザー証明書の参照を定義し、mTLS に使用されます。一方向 TLS を使用する場合は、このプロパティーを無視できます。

certFile

string

certFile は、config map またはシークレット内の証明書ファイル名へのパスを定義します。

certKey

string

certKey は、config map またはシークレット内の証明書秘密鍵ファイル名へのパスを定義します。キーが不要な場合は省略します。

name

string

証明書を含む config map またはシークレットの名前。

namespace

string

証明書を含む config map またはシークレットの namespace省略した場合、デフォルトでは、Network Observability がデプロイされているのと同じ namespace が使用されます。namespace が異なる場合は、必要に応じてマウントできるように、config map またはシークレットがコピーされます。

type

string

証明書参照のタイプ (configmap または secret)。

certFile

string

certFile は、config map またはシークレット内の証明書ファイル名へのパスを定義します。

certKey

string

certKey は、config map またはシークレット内の証明書秘密鍵ファイル名へのパスを定義します。キーが不要な場合は省略します。

name

string

証明書を含む config map またはシークレットの名前。

namespace

string

証明書を含む config map またはシークレットの namespace省略した場合、デフォルトでは、Network Observability がデプロイされているのと同じ namespace が使用されます。namespace が異なる場合は、必要に応じてマウントできるように、config map またはシークレットがコピーされます。

type

string

証明書参照のタイプ (configmap または secret)。

installDemoLoki

boolean

installDemoLoki を true に設定すると、Loki のデプロイメント、サービス、ストレージが自動的に作成されます。これは開発やデモの目的で役立ちます。本番環境では使用しないでください。[サポート対象外 (*)]

tenantID

string

tenantID は、各リクエストのテナントを識別する Loki X-Scope-OrgID ヘッダーです。

tls

object

Loki URL の TLS クライアント設定。

url

string

url は、インジェスターとクエリアーの両方を参照する既存の Loki サービスの一意のアドレスです。

caCert

object

caCert は、認証局の証明書の参照を定義します。

enable

boolean

TLS を有効にします。

insecureSkipVerify

boolean

insecureSkipVerify を使用すると、サーバー証明書のクライアント側の検証をスキップできます。true に設定すると、caCert フィールドが無視されます。

userCert

object

userCert は、ユーザー証明書の参照を定義し、mTLS に使用されます。一方向 TLS を使用する場合は、このプロパティーを無視できます。

certFile

string

certFile は、config map またはシークレット内の証明書ファイル名へのパスを定義します。

certKey

string

certKey は、config map またはシークレット内の証明書秘密鍵ファイル名へのパスを定義します。キーが不要な場合は省略します。

name

string

証明書を含む config map またはシークレットの名前。

namespace

string

証明書を含む config map またはシークレットの namespace省略した場合、デフォルトでは、Network Observability がデプロイされているのと同じ namespace が使用されます。namespace が異なる場合は、必要に応じてマウントできるように、config map またはシークレットがコピーされます。

type

string

証明書参照のタイプ (configmap または secret)。

certFile

string

certFile は、config map またはシークレット内の証明書ファイル名へのパスを定義します。

certKey

string

certKey は、config map またはシークレット内の証明書秘密鍵ファイル名へのパスを定義します。キーが不要な場合は省略します。

name

string

証明書を含む config map またはシークレットの名前。

namespace

string

証明書を含む config map またはシークレットの namespace省略した場合、デフォルトでは、Network Observability がデプロイされているのと同じ namespace が使用されます。namespace が異なる場合は、必要に応じてマウントできるように、config map またはシークレットがコピーされます。

type

string

証明書参照のタイプ (configmap または secret)。

additionalNamespaces

array (string)

additionalNamespaces には、Network Observability namespace への接続を許可する追加の namespace を含めます。これにより、ネットワークポリシー設定の柔軟性が向上しますが、より詳細な設定が必要な場合は、これを無効にして独自の設定をインストールできます。

enable

boolean

ネットワークオブザーバビリティーで使用される namespace (メインおよび特権付き) にネットワークポリシーをデプロイします。このネットワークポリシーにより、ネットワークオブザーバビリティーコンポーネントが適切に分離され、コンポーネントとの不要な接続が防止されます。OVNKubernetes で使用する場合、このオプションはデフォルトで有効になっており、それ以外の場合は無効になっています (他の CNI ではテストされていません)。無効になっている場合、ネットワークオブザーバビリティーコンポーネントのネットワークポリシーを手動で作成できます。

addZone

boolean

addZone は、フローの送信元ゾーンと宛先ゾーンをラベル付けすることで、アベイラビリティーゾーンの認識を可能にします。この機能を使用するには、ノードに "topology.kubernetes.io/zone" ラベルを設定する必要があります。

advanced

object

advanced を使用すると、フロープロセッサーの内部設定のいくつかの側面を設定できます。このセクションは、GOGC や GOMAXPROCS 環境変数などのデバッグと詳細なパフォーマンスの最適化を主な目的としています。これらの値はお客様の責任のもと設定してください。

clusterName

string

clusterName は、フローデータに表示されるクラスターの名前です。これは、マルチクラスターコンテキストで役立ちます。OpenShift Container Platform を使用する場合は、自動的に決定されるように空のままにします。

コンシューマー向けレプリカ

integer

consumerReplicas はflowlogs-pipeline で開始するレプリカ (Pod) の数を定義します。デフォルトは 3 です。spec.deploymentModel が Direct の場合、または spec.processor.unmanagedReplicas が true の場合、この設定は無視されます。

deduper

object

deduper を使用すると、重複として識別されたフローをサンプリングまたはドロップして、リソース使用量を節約できます。

filters

array

filters を使用すると、生成されるフローの量を制限するカスタムフィルターを定義できます。これらのフィルターは、Kubernetes namespace によるフィルター処理などを含め、eBPF エージェントフィルター (spec.agent.ebpf.flowFilter 内) よりも柔軟性が高くなりますが、パフォーマンスの向上は少なくなります。

imagePullPolicy

string

imagePullPolicy は、上で定義したイメージの Kubernetes プルポリシーです。

kafkaConsumerAutoscaler

object

kafkaConsumerAutoscaler [非推奨 (*)] は、Kafka メッセージを処理する flowlogs-pipeline-transformer 用にセットアップする水平 Pod オートスケーラーの仕様です。Kafka が無効になっている場合、この設定は無視されます。非推奨のお知らせ: マネージドオートスケーラーは将来のバージョンで削除されます。代わりに、お好みのオートスケーラーを設定し、spec.processor.unmanagedReplicas を true に設定することもできます。HorizontalPodAutoscaler のドキュメント (自動スケーリング/v2) を参照してください。

kafkaConsumerBatchSize

integer

kafkaConsumerBatchSize は、コンシューマーが受け入れる最大バッチサイズ (バイト単位) をブローカーに示します。Kafka を使用しない場合は無視されます。デフォルト: 10MB。

kafkaConsumerQueueCapacity

integer

kafkaConsumerQueueCapacity は、Kafka コンシューマークライアントで使用される内部メッセージキューの容量を定義します。Kafka を使用しない場合は無視されます。

kafkaConsumerReplicas

integer

kafkaConsumerReplicas [非推奨 (*)] は、Kafka メッセージを処理する flowlogs-pipeline-transformer の起動するレプリカ (Pod) の数を定義します。Kafka が無効になっている場合、この設定は無視されます。非推奨のお知らせ: 代わりに spec.processor.consumerReplicas を使用してください。

logLevel

string

プロセッサーランタイムの logLevel

logTypes

string

logTypes は、生成するレコードタイプを定義します。可能な値は次のとおりです。

- 通常のネットワークフローをエクスポートする場合は Flows。これはデフォルトです。

- Conversations は、開始した会話、終了した会話、および定期的な "ティック" 更新のイベントを生成します。このモードでは、長時間にわたる会話では Prometheus メトリクスが不正確になることに注意してください。

- EndedConversations は、終了した会話イベントのみを生成します。このモードでは、長時間にわたる会話では Prometheus メトリクスが不正確になることに注意してください。

- All は、ネットワークフローとすべての会話イベントの両方を生成します。リソースフットプリントへの影響があるため、推奨されません。

metrics

object

Metrics は、メトリクスに関するプロセッサー設定を定義します。

multiClusterDeployment

boolean

マルチクラスター機能を有効にするには、multiClusterDeployment を true に設定します。これにより、clusterName ラベルがフローデータに追加されます。

resources

object

resources は、このコンテナーが必要とするコンピューティングリソースです。詳細は、https://kubernetes.io/docs/concepts/configuration/manage-resources-containers/ を参照してください。

slicesConfig

object

FlowCollectorSlices のカスタムリソースを管理するグローバル設定。

subnetLabels

object

subnetLabels を 使用すると、サブネットや IP アドレスにカスタムラベルを定義したり、OpenShift Container Platform で認識されたサブネットの自動ラベル付けを有効にしたりできます。これは、クラスターの外部トラフィックを識別するために使用されます。サブネットがフローの送信元 IP または宛先 IP と一致する場合、対応するフィールド SrcSubnetLabel または DstSubnetLabel が追加されます。

管理されていないレプリカ

boolean

unmanagedReplicas が true の場合、オペレーターは consumerReplicas を 調整しません。これは、Pod オートスケーラーを使用する場合に便利です。

conversationEndTimeout

string

conversationEndTimeout は、ネットワークフローを受信した後、対話が終了したとみなされるまでの待機時間です。TCP フローの FIN パケットが収集される場合、この遅延は無視されます (代わりに、conversationTerminatingTimeout を使用します)。

conversationHeartbeatInterval

string

conversationHeartbeatInterval は、対話の "tick" イベント間の待機時間です。

conversationTerminatingTimeout

string

conversationTerminatingTimeout、FIN フラグが検知されてから対話が終了するまでの待機時間です。TCP フローにのみ関連します。

dropUnusedFields

boolean

dropUnusedFields [非推奨 (*)] この設定は、現在使用されていません。

enableKubeProbes

boolean

enableKubeProbes は、Kubernetes の liveness および readiness プローブを有効または無効にするフラグです。

env

object (string)

env を使用すると、カスタム環境変数を基礎となるコンポーネントに渡すことができます。GOGC や GOMAXPROCS など、非常に具体的なパフォーマンスチューニングオプションを渡すのに役立ちます。これらのオプションは、エッジのデバッグ時かサポートを受ける場合にのみ有用なものであるため、FlowCollector 記述子の一部として公開しないでください。

healthPort

integer

healthPort は、ヘルスチェック API を公開する Pod のコレクター HTTP ポートです。

port

integer

フローコレクターのポート (ホストポート)。慣例により、一部の値は禁止されています。1024 より大きい値とし、4500、4789、6081 は使用できません。

profilePort

integer

profilePort を使用すると、このポートをリッスンする Go pprof プロファイラーを設定できます

scheduling

object

scheduling は、Pod がノードでどのようにスケジュールされるかを制御します。

secondaryNetworks

array

リソース識別のためにチェックするセカンダリーネットワークを定義します。正確な識別を確実に行うために、インデックス値からクラスター全体で一意の識別子が形成されるようにする必要があります。同じインデックスが複数のリソースで使用されている場合、それらのリソースに誤ったラベルが付けられる可能性があります。

affinity

object

指定した場合、Pod のスケジューリング制約。ドキュメントは、https://kubernetes.io/docs/reference/kubernetes-api/workload-resources/pod-v1/#scheduling を参照してください。

nodeSelector

object (string)

nodeSelector を使用すると、指定した各ラベルを持つノードにのみ Pod をスケジュールできます。ドキュメントは、https://kubernetes.io/docs/concepts/configuration/assign-pod-node/ を参照してください。

priorityClassName

string

指定した場合、Pod の優先度を示します。ドキュメントは、https://kubernetes.io/docs/concepts/scheduling-eviction/pod-priority-preemption/#how-to-use-priority-and-preemption を参照してください。指定されていない場合はデフォルトの優先度が使用され、デフォルトの優先度がない場合は 0 が使用されます。

tolerations

array

tolerations は、一致する taint を持つノードに Pod がスケジュールできるようにする toleration のリストです。ドキュメントは、https://kubernetes.io/docs/reference/kubernetes-api/workload-resources/pod-v1/#scheduling を参照してください。

index

array (string)

index は、Pod のインデックス作成に使用するフィールドのリストです。これらのフィールドから、クラスター全体で一意の Pod 識別子が形成されるようにする必要があります。MAC、IP、Interface のいずれかを使用できます。'k8s.v1.cni.cncf.io/network-status' アノテーションに存在しないフィールドは、インデックスに追加しないでください。

name

string

name は、Pod のアノテーション 'k8s.v1.cni.cncf.io/network-status' に表示されるネットワーク名と一致する必要があります。

mode

string

プロセッサーの重複排除モードを設定します。エージェントは別々のノードから報告された同じフローを重複排除できないため、これはエージェントベースの重複排除に加えて設定されます。

- Drop を使用して重複と見なされるすべてのフローをドロップすると、リソース使用量をさらに節約できますが、ピアから使用されるネットワークインターフェイスやネットワークイベントなどの一部の情報が失われる可能性があります。

- 重複と見なされる 50 (デフォルト) のフローのうち 1 つだけランダムに保持するには、Sample を使用します。これは、すべての重複を排除する場合と、すべての重複を保持する場合の中間です。このサンプリングアクションは、エージェントベースのサンプリングに加えて実行されます。エージェントとプロセッサーの両方のサンプリング値が 50 の場合、結合されたサンプリングは 1:2500 になります。

- プロセッサーベースの重複排除をオフにするには、Disabled を使用します。

sampling

integer

sampling は、deduper の mode が Sample の場合のサンプリング間隔です。たとえば、値が 50 の場合、50 個中 1 個のフローがサンプリングされます。

outputTarget

string

指定されている場合、これらのフィルターのターゲットが、1 つの出力 (Loki、Metrics、または Exporters) に設定されます。デフォルトでは、すべての出力がターゲットになります。

query

string

保存するネットワークフローを選択するクエリー。このクエリー言語の詳細は、https://github.com/netobserv/flowlogs-pipeline/blob/main/docs/filtering.md を参照してください。

sampling

integer

sampling は、このフィルターに適用するオプションのサンプリング間隔です。たとえば、値が 50 の場合、50 個中 1 個のマッチしたフローがサンプリングされることを意味します。

disableAlerts

array (string)

disableAlerts は、デフォルトのアラートセットから無効にするアラートグループのリストです。指定可能な値は、NetObservNoFlows、NetObservLokiError、PacketDropsByKernel、PacketDropsByDevice、IPsecErrors、NetpolDenied、LatencyHighTrend、DNSErrors、DNSNxDomain、ExternalEgressHighTrend、ExternalIngressHighTrend、Ingress5xxErrors、IngressHTTPLatencyTrend です。アラートに関する詳細情報: https://github.com/netobserv/network- オブザーバビリティー -operator/blob/main/docs/HealthRules.md

健康ルール

array

healthRules は、Prometheus 用に作成されるヘルスルールのリストであり、テンプレートとバリアントごとに整理されています。各ヘルスルールは、モードフィールドに基づいて、アラートまたは記録ルールのいずれかを生成するように設定できます。ヘルスルールに関する詳細情報: https://github.com/netobserv/network- オブザーバビリティー -operator/blob/main/docs/HealthRules.md

includeList

array (string)

includeList は、生成するメトリクスを指定するためのメトリクス名のリストです。名前は、接頭辞を除いた Prometheus の名前に対応します。たとえば、namespace_egress_packets_total は、Prometheus では netobserv_namespace_egress_packets_total と表示されます。メトリクスを追加するほど、Prometheus ワークロードリソースへの影響が大きくなることに注意してください。デフォルトで有効になっているメトリクスは、namespace_flows_total、node_ingress_bytes_total、node_egress_bytes_total、workload_ingress_bytes_total、workload_egress_bytes_total、namespace_drop_packets_total (PacketDrop 機能が有効な場合)、namespace_rtt_seconds (FlowRTT 機能が有効な場合)、namespace_dns_latency_seconds (DNSTracking 機能が有効な場合)、namespace_network_policy_events_total (NetworkEvents 機能が有効な場合) です。利用可能なメトリクスの完全なリストを含む詳細情報は、https://github.com/netobserv/network-observability-operator/blob/main/docs/Metrics.md を参照してください。

server

object

Prometheus スクレイパーのメトリクスサーバーエンドポイント設定

mode

string

モードは、このヘルスルールをアラートとして生成するか、記録ルールとして生成するかを定義します。指定可能な値は、アラート (デフォルト)、録画 です。記録ルール違反は、Prometheus アラートを生成することなく、ネットワークヘルスダッシュボードに表示されます。これは、多数の新しいアラートを負担に感じる可能性のある SRE 管理者やクラスター管理者にとって、ヘルス情報を取得するための代替手段となる。

template

string

健康ルールテンプレート名。指定可能な値は、PacketDropsByKernel、PacketDropsByDevice、IPsecErrors、NetpolDenied、LatencyHighTrend、DNSErrors、DNSNxDomain、ExternalEgressHighTrend、ExternalIngressHighTrend、Ingress5xxErrors、IngressHTTPLatencyTrend です。注: NetObservNoFlows と NetObservLokiError はアラート専用であり、ヘルスルールとして使用することはできません。ヘルスルールに関する詳細情報: https://github.com/netobserv/network- オブザーバビリティー -operator/blob/main/docs/HealthRules.md

variants

array

このテンプレートのバリアントのリスト

groupBy

string

オプションのグループ化基準。指定可能な値は、Node、Namespace、Workload です。

lowVolumeThreshold

string

低ボリュームしきい値を使用すると、S/N 比を改善するために、トラフィック量が少なすぎるメトリクスを無視できます。これは絶対レート (コンテキストに応じて、1 秒あたりのバイト数または 1 秒あたりのパケット数) の形で指定します。指定した場合、浮動小数点数として解析可能である必要があります。

mode

string

このモードは、この特定のバリアントの健康ルールモードを上書きします。指定されていない場合は、親ヘルスルールのモードを継承します。指定可能な値は、アラート、録画 です。

thresholds

object

重症度ごとの健康ルールの閾値。これらの値は、アラートがトリガーされる基準となるエラーのパーセンテージとして表されます。浮動小数点数として解析可能である必要があります。アラートモードと録画モードの両方に必要

trendDuration

string

トレンド健康ルールの場合、基準値との比較のための期間間隔。たとえば、"2h" は 2 時間の平均と比較することを意味します。デフォルトは 2h です。

trendOffset

string

トレンド分析の健康ルールについては、基準値との比較のための時間オフセットを設定します。たとえば、"1d" は昨日と比較することを意味します。デフォルトは 1d です。

critical

string

重大度 critical のしきい値。重大なアラートを生成しない場合は空のままにします。

info

string

重大度 info のしきい値。情報提供アラートを生成しない場合は空白のままにします。

warning

string

重大度 warning のしきい値。警告アラートを生成しない場合は空のままにします。

port

integer

メトリクスサーバーの HTTP ポート。

tls

object

TLS 設定。

insecureSkipVerify

boolean

insecureSkipVerify を使用すると、提供された証明書に対するクライアント側の検証をスキップできます。true に設定すると、providedCaFile フィールドが無視されます。

provided

object

type が Provided に設定されている場合の TLS 設定。

providedCaFile

object

type が Provided に設定されている場合の CA ファイルへの参照。

type

string

TLS 設定のタイプを選択します。

- Disabled (デフォルト) は、エンドポイントに TLS を設定しません。- Provided は、証明書ファイルとキーファイルを手動で指定します [サポート対象外 (*)]。- Auto は、アノテーションを使用して OpenShift Container Platform の自動生成証明書を使用します。

certFile

string

certFile は、config map またはシークレット内の証明書ファイル名へのパスを定義します。

certKey

string

certKey は、config map またはシークレット内の証明書秘密鍵ファイル名へのパスを定義します。キーが不要な場合は省略します。

name

string

証明書を含む config map またはシークレットの名前。

namespace

string

証明書を含む config map またはシークレットの namespace省略した場合、デフォルトでは、Network Observability がデプロイされているのと同じ namespace が使用されます。namespace が異なる場合は、必要に応じてマウントできるように、config map またはシークレットがコピーされます。

type

string

証明書参照のタイプ (configmap または secret)。

file

string

config map またはシークレット内のファイル名。

name

string

ファイルを含む config map またはシークレットの名前。

namespace

string

ファイルを含む config map またはシークレットの namespace。省略した場合、デフォルトでは、Network Observability がデプロイされているのと同じ namespace が使用されます。namespace が異なる場合は、必要に応じてマウントできるように、config map またはシークレットがコピーされます。

type

string

ファイル参照のタイプ (configmap または secret)。

limits

integer-or-string

limits は、許可されるコンピュートリソースの最大量を示します。詳細は、https://kubernetes.io/docs/concepts/configuration/manage-resources-containers/ を参照してください。

requests

integer-or-string

requests は、必要なコンピュートリソースの最小量を示します。コンテナーで Requests が省略される場合、明示的に指定される場合にデフォルトで Limits に設定されます。指定しない場合は、実装定義の値に設定されます。リクエストは制限を超えることはできません。詳細は、https://kubernetes.io/docs/concepts/configuration/manage-resources-containers/ を参照してください。

コレクションモード

string

collectionMode は、FlowCollectorSlice カスタムリソースがフロー収集プロセスにどのように影響するかを決定します。

- AlwaysCollect に設定すると、FlowCollectorSlice の有無に関わらず、すべてのフローが収集されます。

- AllowList に設定すると、FlowCollectorSlice リソースが存在する名前空間、またはグローバル namespacesAllowList で設定された名前空間に関連するフローのみが収集されます。

enable

boolean

enable は、FlowCollectorSlice 機能が有効になっているかどうかを決定します。そうでない場合、FlowCollectorSlice という種類のリソースはすべて無視されます。

namespacesAllowList

array (string)

namespacesAllowList は、FlowCollectorSlice が存在するかどうかにかかわらず、常にフローが収集される名前空間のリストです。スラッシュで囲まれたエントリー (例: /openshift-.*/) は、正規表現としてマッチします。collectionMode が AllowList と異なる場合、この設定は無視されます。

customLabels

array

customLabels を 使用すると、サブネットや IP アドレスのラベル付けをカスタマイズして、クラスター外部のワークロードや Web サービスを識別することができます。デフォルトのクイックフィルターや提供されているメトリクス例を使用するには、外部サブネットには EXT: という接頭辞を付けるか、ラベルを付けないかのどちらかにする必要があります。

openShiftAutoDetect が 無効になっている場合、または OpenShift Container Platform を使用していない場合は、内部トラフィックと外部トラフィックを区別するために、クラスターサブネットのラベルを手動で設定することを推奨します。

openShiftAutoDetect が有効になっている場合、customLabels は 検出されたサブネットが重複する場合に、検出されたサブネットを上書きします。

openShiftAutoDetect

boolean

openShiftAutoDetect を true に設定すると、OpenShift Container Platform のインストール設定と Cluster Network Operator の設定に基づいて、マシン、Pod、およびサービスのサブネットを自動的に検出できます。これは間接的に外部トラフィックを正確に検出する方法です。つまり、これらのサブネットのラベルが付いていないフローは、クラスターの外部のものです。OpenShift Container Platform ではデフォルトで有効になっています。

cidrs

array (string)

["1.2.3.4/32"] などの CIDR のリスト。

name

string

マッチしたフローにフラグを設定するために使用するラベル名。デフォルトのクイックフィルターや提供されているメトリクス例を使用するには、外部サブネットには EXT: という接頭辞を付けるか、ラベルを付けないかのどちらかにする必要があります。

querier

object

コンソールプラグインで使用される、クライアント設定などの Prometheus クエリー設定。

enable

boolean

enable が true の場合、コンソールプラグインは、可能な場合は常に、Loki ではなく Prometheus からフローメトリクスをクエリーします。デフォルトでは有効になっています。この機能を無効にするには false に設定します。コンソールプラグインは、メトリクスのデータソースとして Loki または Prometheus、またはその両方を使用できます (spec.loki も参照してください)。すべてのクエリーを Loki から Prometheus に転送できるわけではありません。したがって、Loki が無効になっている場合、Pod ごとの情報の取得や raw フローの表示など、プラグインの一部の機能も無効になります。Prometheus と Loki の両方が有効になっている場合は、Prometheus が優先され、Prometheus が処理できないクエリーのフォールバックとして Loki が使用されます。両方とも無効になっている場合、コンソールプラグインはデプロイされません。

manual

object

Manual モードの Prometheus 設定。

mode

string

mode は、Network Observability メトリクスを保存する Prometheus インストールのタイプに応じて設定する必要があります。

- 自動設定を試行するには、Auto を使用します。OpenShift Container Platform では、OpenShift Container Platform Cluster Monitoring の Thanos クエリーを使用します。

手動で設定する場合は、手動 を使用してください。

timeout

string

timeout は、Prometheus へのコンソールプラグインクエリーの読み取りタイムアウトです。タイムアウトがゼロの場合は、タイムアウトしません。