Desplegar Cyberwatch con Swarm en un entorno endurecido

En entornos endurecidos, varios problemas pueden impedir el correcto funcionamiento de Cyberwatch, según las configuraciones de la maquina.

Esta documentación describe los métodos de endurecimiento clasicos que pueden obstaculizar el funcionamiento de Docker y como desactivarlos/adaptarlos en caso necesario.

SELinux

La activación de SELinux puede causar problemas en el funcionamiento de Docker.

Es posible desactivar SELinux configurando en el archivo /etc/selinux/config la siguiente linea:

SELINUX=disabled

Si SELinux debe estar activado, es posible configurar todo de forma que no impacte Docker mediante la siguiente documentación: configurar SELinux con Swarm

Parámetros sysctl

La desactivacion del parámetro net.ipv4.ip_forward puede impedir que Docker reenvie el trafico de red hacia los contenedores. En este caso, activar el parámetro net.ipv4.ip_forward modificando el archivo /etc/sysctl.conf:

net.ipv4.ip_forward = 1

Ejecución en /var/lib/docker/

El directorio /var/lib/docker/, directorio por defecto dedicado a Docker, debe disponer de la opción exec.

Para autorizar la ejecución en este directorio, use el comando:

mount -o remount,exec

Modulos del kernel

Los siguientes modulos del kernel deben estar activados mediante modprobe:

• overlay
• br_netfilter
• vxlan

Esto puede hacerse con los comandos siguientes:

cat <<EOL >> /etc/sysconfig/modules/prerequis_docker.modules
#!/bin/bash
modprobe overlay
modprobe br_netfilter
modprobe vxlan

exit 0
EOL

chmod +x /etc/sysconfig/modules/prerequis_docker.modules

Los comandos anteriores crearan un archivo /etc/sysconfig/modules/prerequis_docker.modules que contiene los parámetros necesarios y agregaran permisos de ejecución a este archivo.

Firewalld

El servicio firewalld también puede causar problemas de comunicación entre los contenedores o entre los contenedores e Internet.

Se recomienda detener y desactivar el servicio firewalld:

systemctl stop firewalld
systemctl disable firewalld

Actualizaciones del sistema

Recomendamos que el sistema que aloja la aplicación Cyberwatch disponga de las ultimas actualizaciones del sistema y de aplicaciones disponibles.

Esto se aplica especialmente a los sistemas endurecidos que pueden no haber sido actualizados desde hace tiempo.

Verificaciones

Varios recursos permiten verificar la compatibilidad entre el kernel y su configuración con la ejecución de contenedores:

• script shell llave en mano para verificar la compatibilidad del sistema