https://docs.mitigator.ru/v26.04/tags/configuration/ Recent content in Configuration on BIFIT Mitigator Hugo -- gohugo.io ru https://docs.mitigator.ru/v26.04/maintenance/reconfig/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/maintenance/reconfig/ Применить правки любых файлов конфигурации в /srv/mitigator: systemctl reload mitigator При этом могут быть перезапущены релевантные компоненты MITIGATOR. После смены сетевых портов (редактирования файла /etc/systemd/system/mitigator.service.d/nics.conf) выполните: systemctl daemon-reload && \ systemctl restart mitigator При этом MITIGATOR будет полностью выключен и заново включен. Похожие статьи Graphite на отдельном сервере Возврат к предыдущей версии Документация pgfailover Доступ к интерфейсу Grafana Задачи администратора Изменение конфигурационных параметров ClickHouse Изоляция ядер для оптимизации производительности Использование единого Graphite для нескольких кластеров MITIGATOR Настройка времени хранения метрик в Graphite Настройка системы для карт Mellanox (NVIDIA) https://docs.mitigator.ru/v26.04/kb/graphite/grafana/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/graphite/grafana/ MITIGATOR в своей поставке включает Grafana, которую можно использовать для создания кастомизированных дашбордов. Обратитесь к документации Grafana, как именно это делать. Для получения доступа к веб-интерфейсу Grafana необходимо поднять сервис, который отключен по-умолчанию. Временно это можно сделать следующей командой: docker-compose up -d --scale grafana=1 grafana Чтобы включить grafana на постоянной основе, необходимо в docker-compose.yml изменить scale c 0 на 1. services: ... grafana: ... scale: 1 ... После настройки необходимо поднять контейнер Grafana: https://docs.mitigator.ru/v26.04/kb/isolcpus/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/isolcpus/ По умолчанию ядра CPU, работающие с сетевыми портами, используются и другими подсистемами. Это может снижать производительность и вызывать всплески Input Errors pps/bps на графиках Port extX/intX. Можно снять часть нагрузки с этих ядер, запретив некритичным подсистемам выполняться на них. Для этого: В опциях ядра пропишите изоляцию ядер обработчика пакетов через параметры isolcpus=... и rcu_nocbs=.... Также рекомендуется добавить mitigations=off для отключения патчей безопасности ядра. В .env добавьте параметры: DATA_PLANE_CPUS — список ядер, выделенных под обработчик пакетов (dataplane); CONTROL_PLANE_CPUS — список ядер, выделенных под остальные подсистемы (все остальные ядра). https://docs.mitigator.ru/v26.04/kb/graphite/grafbase/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/graphite/grafbase/ Перенос Graphite на отдельный сервер позволяет разделить нагрузку на два сервера. До переноса архива метрик, в интерфейсе MITIGATOR можно будет наблюдать только новые графики. Дальше по тексту Server1 – сервер с MITIGATOR, Server2 – сервер, на который выполняется перенос. Предполагается, что на Server2 уже установлен Docker и docker-compose и имеется способ доставки файловой базы с Server1 на Server2 (объем данных может составлять более 100 ГБ в зависимости от количества политик). https://docs.mitigator.ru/v26.04/kb/graphite/clickhouse-conf/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/graphite/clickhouse-conf/ Конфигурационные параметры ClickHouse делятся на пользовательские и серверные. Узнать про структуру файлов и их расположение можно в официальной документации. При конфигурации модуля хранения метрик в MITIGATOR нужно учитывать следующее: корневой элемент конфигурационных файлов — <yandex> пользовательские файлы конфигураций следует размещать в /etc/clickhouse-server/users.d внутри контейнера clickhouse файлы конфигурации сервера следует размещать в /etc/clickhouse-server/config.d внутри контейнера clickhouse Как сконфигурировать ClickHouse на примере ограничения используемой оперативной памяти сервером до 50Гб: Создать файл custom.xml с необходимыми параметрами https://docs.mitigator.ru/v26.04/kb/graphite/ext-grafana/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/graphite/ext-grafana/ Чтобы внешняя Grafana могла получать данные с Graphite нужно пробросить порт 3080 из контейнера, для чего: Cоздать, либо дополнить docker-compose.override.yml следующим: services: gateway: ports: - "13080:3080" Перезапустить MITIGATOR: docker-compose down && docker-compose up -d В Web-интерфейсе Grafana добавить источник данных: Выбрать тип Graphite и указать внешний адрес: Похожие статьи Graphite на отдельном сервере Доступ к интерфейсу Grafana Использование единого Graphite для нескольких кластеров MITIGATOR Настройка времени хранения метрик в Graphite Изменение конфигурационных параметров ClickHouse Экспорт метрик в Prometheus Анализатор логов Web-сервера Внешнее отказоустойчивое хранилище Внутреннее отказоустойчивое хранилище Гибридные схемы внедрения https://docs.mitigator.ru/v26.04/kb/pgfailover/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/pgfailover/ pgfailover наблюдает за состоянием кластера PostgreSQL и выступает для клиентов как TCP-прокси к текущему Primary. При смене Primary pgfailover разрывает соединения с клиентами, и они должны переподключиться. Параметры подключения задаются через переменные окружения с префиксом PGFAILOVER_: export PGFAILOVER_BIND_ADDRESS=":5432" export PGFAILOVER_SERVERS="postgres://repuser@pg0.example.com/database?sslmode=disable&connect_timeout=5 postgres://repuser@pg1.example.com/database?sslmode=disable&connect_timeout=5" ./pgfailover Роль сервера (Primary/Standby) проверяется pg_is_in_recovery() по умолчанию раз в 5 секунд (PGFAILOVER_INTERVAL), количество попыток подключения регулируется переменной PGFAILOVER_ATTEMPTS (по умолчанию 1). pgfailover может автоматически переводить локальный PostgreSQL в Primary. https://docs.mitigator.ru/v26.04/kb/graphite/onegraphite/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/graphite/onegraphite/ Использование единого Graphite для нескольких MITIGATOR позволяет снизить нагрузку на вычислительные ресурсы комплексов обработки трафика, упростить администрирование, настроить сложный мониторинг. Настройка Настройка сходна с переносом Graphite на отдельный сервер. Если имеется хост с настроенным Graphite, необходимо перейти к этапу настройки MITIGATOR для работы с внешним общим Graphite. Создайте директорию под сервисы: mkdir -p /opt/mitigator-graphite Скачайте docker-compose.yml: wget https://docs.mitigator.ru/v26.04/dist/grafbase/docker-compose.yml \ -O /opt/mitigator-graphite/docker-compose.yml Скачайте файл сервиса: wget https://docs.mitigator.ru/v26.04/dist/grafbase/docker-compose@.service \ -O /etc/systemd/system/docker-compose@.service Активируйте службу: https://docs.mitigator.ru/v26.04/kb/graphite/retention/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/graphite/retention/ MITIGATOR хранит данные графиков в Graphite-ClickHouse. Свежие данные хранятся с меньшим разрежением, затем прореживаются: Срок Разрежение меньше суток 5 секунд от суток до недели 10 секунд от недели до месяца 1 минута от месяца до 145 дней 5 минут свыше 145 дней 10 минут Времена хранения не суммируются, то есть данные за последний день последней недели хранятся с разрежением 5 секунд, а следующие 6 дней (не 7) хранятся с разрежением 10 секунд. https://docs.mitigator.ru/v26.04/kb/mellanox/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/mellanox/ Подготовка системы Работа с картами Mellanox (NVIDIA) требует актуальной версии драйвера и прошивки устройства NVIDIA MLNX_OFED. По указанной ссылке в разделе Download в таблице Current Versions выбрать актуальную версию MLNX_OFED для нужного дистрибутива операционной системы. При отсутствии нужной версии ОС выбрать ближайшую по старшинству. При отсутствии нужной ОС в списке MLNX_OFED не устанавливать. Проверена работа на Debian 10+ и Ubuntu 20.04+. Скачать .tgz-архив пакета MLNX_OFED. Распаковать архив и запустить установку. В процессе установки произойдёт обновление прошивки всех сетевых карт Mellanox (NVIDIA), обнаруженных в системе. https://docs.mitigator.ru/v26.04/kb/echelon/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/echelon/ Наибольшую эффективность при защите от DDoS-атак показывают схемы эшелонированной обороны, где тонкой очисткой трафика, поступающего в защищаемую сеть, занимается on-premise устройство на границе сети, а защитные механизмы на уровне вышестоящего оператора связи позволяют предотвратить переполнение канала. Постоянно включенная защита на стороне оператора связи может вызывать проблемы и оказывать негативное влияние на легитимный трафик, поэтому она должна активироваться только по необходимости. Для этого сценария требуется настроить взаимодействие между эшелонами защиты — облачную сигнализацию. https://docs.mitigator.ru/v26.04/kb/dataplane.conf/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/dataplane.conf/ Обработчик пакетов настраивается через файл dataplane.conf. Файл необходимо поместить в рабочий каталог MITIGATOR и добавить в него настройки, которые требуется изменить. Для незаданных настроек используются значения по умолчанию. Комментарии задаются через #, // или /* */. Доступные параметры (указаны значения по умолчанию): # IP-адрес сокета управления приложением. control_address: 0.0.0.0 # TCP-порт сокета управления приложением. # [1, 65535] control_port: 8888 # TCP-порт отладочного сокета управления приложением. # [1, 65535] debug_port: 8889 # TCP-порт gRPC-сокета управления приложением. https://docs.mitigator.ru/v26.04/kb/incidents/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/incidents/ Период обновления графиков инцидентов по умолчанию равен 60 секундам. Для удобства работы с графиками инцидентов может потребоваться изменить период их обновления: Создать файл incident.yml и поместить в него: services: backend: environment: INCIDENT_UPDATE_PERIOD: "30" Здесь 30 – значение периода обновления в секундах. В файле .env задать переменную incident.yml: COMPOSE_FILE=docker-compose.yml:docker-compose.override.yml:incident.yml Перезапустить MITIGATOR: systemctl restart mitigator Похожие статьи Graphite на отдельном сервере Документация pgfailover Доступ к интерфейсу Grafana Изменение конфигурационных параметров ClickHouse Изоляция ядер для оптимизации производительности Использование единого Graphite для нескольких кластеров MITIGATOR Настройка времени хранения метрик в Graphite Настройка системы для карт Mellanox (NVIDIA) Настройка эшелонированной защиты на базе MITIGATOR Настройки обработчика пакетов