Функционал проверки целостности виртуальных машин¶

Настройка проверки целостности виртуальных машин¶

Примечание

Для работы данного функционала необходимо корректно настроить службу afick.

Примечание

Функционал проверки целостности поддерживается только на версии модулей AccentOS CE.

Необходимо установить и настроить aos-agent на всех узлах, где планируется проверка целостности.

В случае, если служба agent на ВУ, где включен контроль целостности будет недоступна, то по истечении времени, заданного в конфигурационном файле в секции sig_validation гипервизор и все его ВМ получат статусы «Возможно скомпрометировано».
Для корректной работы необходимо для всех ВУ с aos-agent в файле nova.conf добавить секцию:
```
[oslo_messaging_notifications]
driver = messagingv2
```
Для включения работы проверки целостности необходмо перейти на вкладку «Гипервизоры»:

Вкладка «Гипервизоры»¶
Выбрать действие «Поставить на контроль»:

Постановка гипервизора на контроль¶
После этого все виртуальные машины данного гипервизора заблокируются (будет видно по иконке «замочек»):

Заблокированная виртуальная машина¶

Обычный пользователь не может выполнять никакие действия над заблокированной виртуальной машины (действия будут доступны, но при попытке выполнения появится сообщение о том, что выполнить невозможно).
Состояние подписанной виртуальной машины можно увидеть на вкладке Администратор – Виртуальные машины:

Состояние подписанной виртуальной машины¶

Зеленый - целостность не нарушена;

Красный - целостность нарушена;

Желтый - целостность возможно нарушена (в случае, если недоступен aos-agent, после эвакуации).
В случае, если для виртуальной машины выявляется нарушение целостности, она будет принудительно отключена:

Нарушение целостности машины¶
Также при постановке гипервизора на контроль проверяются папки с BIOS, служащие для запуска виртуальных машин.
В случае, если в одной из папок с BIOS выявляется нарушение целостности, то такой вычислительный узел будет переведен в режим обслуживания, что будет препятствовать запуску новых виртуальных машин на этом узле.
Для отключения проверки целостности необходмо перейти в гипервизоры и выбрать действие «Снять с контроля». В этом случае все виртуальные машины гипревизора разблокируются:

Возвращение гипервизора после нарушения целостности¶

Для возвращения гипервизора после нарушения целостности нужно произвести следующие действия:

Снять гипервизор с контроля:

Снятие гипервизора с контроля¶
Восстановить исходное состояние виртуальных биосов.
Запустить службу узла:

Запуск службы узла¶
Вернуть контроль:

Постановка гипервизора на контроль¶

Для возвращения виртуальной машины после нарушения целостности над ней необходимо выполните действие «Пересчитать состояние».

Миграция/Живая миграция¶

Важно

Все действия необходимо выполнять в пределах одной зоны доступности!

При миграции с подписанной ноды на подписанную постановка на контроль происходит автоматически.
При миграции с неподписанной на подписанную постановка на контроль происходит автоматически.
При миграции с подписанной на неподписанную снятие с контроля происходит автоматически.

Эвакуация¶

Важно

Все действия необходимо выполнять в пределах одной зоны доступности!

Поддерживается возможность эвакуации только с подписанной ноды на подписанную.
После эвакуации ВМ получит статус «Возможно скомпрометировано».
Необходимо выполнить действие над ВМ «Пересчет состояния», после чего ВМ будут взяты на контроль, они получат статус «Целостность возможно нарушена». Для таких виртуальных машин необходимо выполнить обновление состояния целостности, для чего Администратор облака должен выполнить действие «Пересчитать состояние»:

Обновление состояния целостности¶

Важно

В случае, если целостность виртуальной машины нарушена, повторный ее запуск не представляется возможным. В таком случае рекомендуется пересоздать машину.