5.11. 보안 PCP 연결 설정
보안 PCP 프로토콜 교환에 참여하도록 PCP 수집기 및 모니터링 구성 요소를 구성할 수 있습니다.
5.11.1. 보안 PCP 연결
PCP(Performance Co-Pilot) 수집기와 모니터링 구성 요소 간에 보안 연결을 설정할 수 있습니다. PCP 수집기 구성 요소는 다른 소스에서 성능 데이터를 수집하고 추출하는 PCP의 일부입니다. PCP 모니터 구성 요소는 PCP 수집기 구성 요소가 설치된 호스트 또는 아카이브에서 수집된 데이터를 표시하는 PCP의 일부입니다. 이러한 구성 요소 간 보안 연결을 설정하면 인증되지 않은 당사자가 수집 및 모니터링되는 데이터에 액세스하거나 수정하는 것을 방지할 수 있습니다.
성능 지표 수집기 데몬(pmcd
)과의 모든 연결은 TCP/IP 기반 PCP 프로토콜을 사용하여 수행됩니다. 프로토콜 프록시 및 PCP REST API는 pmproxy
데몬에서 제공합니다. REST API는 HTTPS를 통해 액세스할 수 있으므로 보안 연결을 보장할 수 있습니다.
pmcd
및 pmproxy
데몬은 단일 포트에서 TLS 및 비 TLS 통신을 동시에 수행할 수 있습니다. pmcd
의 기본 포트는 pmproxy
의 경우 44321 및 44322입니다. 즉, PCP 수집기 시스템의 TLS 또는 비 TLS 통신 중에서 선택할 필요가 없으며 둘 다 동시에 사용할 수 있습니다.
5.11.2. PCP 수집기 구성 요소에 대한 보안 연결 구성
모든 PCP 수집기 시스템에는 보안 PCP 프로토콜 교환에 참여하려면 유효한 인증서가 있어야 합니다.
pmproxy
데몬은 TLS 관점에서 클라이언트와 서버로 작동합니다.
사전 요구 사항
- PCP가 설치되어 있습니다. 자세한 내용은 PCP 설치 및 활성화를 참조하십시오.
개인 클라이언트 키는
/etc/pcp/tls/client.key
파일에 저장됩니다. 다른 경로를 사용하는 경우 절차의 해당 단계를 조정합니다.개인 키 및 CSR(인증서 서명 요청) 생성 및 CA(인증 기관)에서 인증서를 요청하는 방법에 대한 자세한 내용은 CA 문서를 참조하십시오.
-
TLS 클라이언트 인증서는
/etc/pcp/tls/client.crt
파일에 저장됩니다. 다른 경로를 사용하는 경우 절차의 해당 단계를 조정합니다. -
CA 인증서는
/etc/pcp/tls/ca.crt
파일에 저장됩니다. 다른 경로를 사용하는 경우 절차의 해당 단계를 조정합니다. 또한pmproxy
데몬의 경우 다음을 수행합니다. -
개인 서버 키는
/etc/pcp/tls/server.key
파일에 저장됩니다. 다른 경로를 사용하는 경우 프로세스의 해당 단계를 조정합니다. -
TLS 서버 인증서는
/etc/pcp/tls/server.crt
파일에 저장됩니다. 다른 경로를 사용하는 경우 절차의 해당 단계를 조정합니다.
절차
CA 발행 인증서를 사용하여 보안 연결을 설정하도록 수집기 시스템에서 PCP TLS 구성 파일을 업데이트합니다.
# cat > /etc/pcp/tls.conf << END tls-ca-cert-file = /etc/pcp/tls/ca.crt tls-key-file = /etc/pcp/tls/server.key tls-cert-file = /etc/pcp/tls/server.crt tls-client-key-file = /etc/pcp/tls/client.key tls-client-cert-file = /etc/pcp/tls/client.crt END
PCP 수집기 인프라를 다시 시작합니다.
# systemctl restart pmcd.service # systemctl restart pmproxy.service
검증
TLS 구성을 확인합니다.
pmcd
서비스에서 다음을 수행합니다.# grep 'Info:' /var/log/pcp/pmcd/pmcd.log [Tue Feb 07 11:47:33] pmcd(6558) Info: OpenSSL 3.0.7 setup
pmproxy
서비스에서 다음을 수행합니다.# grep 'Info:' /var/log/pcp/pmproxy/pmproxy.log [Tue Feb 07 11:44:13] pmproxy(6014) Info: OpenSSL 3.0.7 setup
5.11.3. PCP 모니터링 구성 요소에 대한 보안 연결 구성
보안 PCP 프로토콜 교환에 참여하도록 PCP 모니터링 구성 요소를 구성합니다.
사전 요구 사항
- PCP가 설치되어 있습니다. 자세한 내용은 PCP 설치 및 활성화를 참조하십시오.
개인 클라이언트 키는
~/.pcp/tls/client.key
파일에 저장됩니다. 다른 경로를 사용하는 경우 절차의 해당 단계를 조정합니다.개인 키 및 CSR(인증서 서명 요청) 생성 및 CA(인증 기관)에서 인증서를 요청하는 방법에 대한 자세한 내용은 CA 문서를 참조하십시오.
-
TLS 클라이언트 인증서는
~/.pcp/tls/client.crt
파일에 저장됩니다. 다른 경로를 사용하는 경우 절차의 해당 단계를 조정합니다. -
CA 인증서는
/etc/pcp/tls/ca.crt
파일에 저장됩니다. 다른 경로를 사용하는 경우 절차의 해당 단계를 조정합니다.
절차
다음 정보를 사용하여 TLS 구성 파일을 생성합니다.
$ home=
echo ~
$ cat > ~/.pcp/tls.conf << END tls-ca-cert-file = /etc/pcp/tls/ca.crt tls-key-file = $home/.pcp/tls/client.key tls-cert-file = $home/.pcp/tls/client.crt END보안 연결을 설정합니다.
$ export PCP_SECURE_SOCKETS=enforce $ export PCP_TLSCONF_PATH=~/.pcp/tls.conf
검증
보안 연결이 구성되었는지 확인합니다.
$ pminfo --fetch --host pcps://localhost kernel.all.load kernel.all.load inst [1 or "1 minute"] value 1.26 inst [5 or "5 minute"] value 1.29 inst [15 or "15 minute"] value 1.28