見出し画像

Sysdig インストール方法

『IT自動化の力でビジネス加速を全ての企業に』

”IT自動化の専門会社”、リアルグローブ・オートメーティッド(RGA)の技術ブログ編集部の水谷です。本日もRGAの技師がまとめた技術情報を読者の皆様にお届けしていきます!

皆さんはSysdigというサービスをご存じでしょうか? これは、コンテナのセキュリティや稼働状況の監視・分析用ツールとして、とても便利なサービスでして、もちろん OpenShift などのコンテナアプリケーション開発・実行プラットフォームなどを扱っている RGA としても、注目しているサービスの1つであります。

そこで、今回から3回にわけて、Sysdig の導入方法についての記事をお届けしたいと思います。初回の今回は Sysdig の基本的なインストール方法についての記事をお届けします。

――――――――――――――――――――――――――――――――――

Sysdig とは

まず最初に、今回紹介する Sysdig がどのようなものか簡単に書いておきます。Sysdig は、Sysdig 社が開発したサービスで、Kubernetes や OpenShift のホストから様々なメトリクスを取得し、セキュリティチェックも行い、まとめてモニタリングすることを可能にしてくれるものです。

また、Kubernetes や OpenShiftなどを使ったコンテナ環境などにおいて、セキュアな DevOps ワークフローを構築するのに使えるツールの1つでもあります。

Sysdig 製品について

sysdig は、3つのツールで構成されています。監視したい対象にインストールする sysdig agent と、コンテナイメージのセキュリティスキャンや脆弱性チェックを行う sysdig secure、そして収集したメトリクスやセキュリティインシデントの可視化を行う sysdig monitor です。

本ブログでは、これらツールを使用するにあたって必要なインストール方法などを記述しています(インストール後の使用方法等については、後日記事を公開する予定です)。

SaaS として Sysdig を利用する場合、OpenShift(Kubernetes)クラスタに対するSysdig Agentのインストールのみが必要です。そのため、このドキュメントでは sysddig agent のインストール作業のみを記述します。

また、少しややこしいですが sysdig secure と sysdig monitor は同名でクラウドサービスとしても展開されています。都度、これらを区別するように表記しますが混同に注意してください。

Sysdig のインストール方法

今回は、OpenShift を使用する前提で進めていきます。また、すでに OpenShift がインストールされているものとします(OpenShift のクラスターを管理する形でインストールする方針で、本記事は進めていきます)。

sysdig agent のデプロイ

インストール方法については,基本的にこちらのページ(Steps for OpenShift)を参考にしています。

これによると、インストールには以下の準備が必要となっています。

・sysdig agent の token
・sysdig agent の設定用 yaml ファイル
  ・sysdig-agent-daemonset-v2.yaml
  ・sysdig-agent-configmap.yaml

sysdig agent の token は sysdig のサービスのアカウントを作成後に取得できます。アカウント作成がまだの場合は、以下でフリートライアル version のアカウントが作れます(Start Free Trial)。

作成後、sysdig secure か sysdig monitor にログインし、token を取得します。今回は sysdig secure にログインしたものとして、取得方法を書きます。
sysdig secure にログインしてください。

ページ左サイドの下部にユーザーのアイコンマークがあります。そこをクリックし、開かれるメニューの "settings" を開いてください(下図参照)。

画像1

設定画面が開かれるので、左のメニューから "Agent Installation" を選び、 "Your access key" に表示される token を控えておいてください。

画像2

必要なものは以上ですが、もしインストールがうまくいかない場合は kernel headers で問題が起きている場合がありますので、以下のコマンドを試してみてください。

・Debian 系 (apt)

sudo apt-get -y install linux-headers-$(uname -r)

・RHEL 系 (yum)

sudo yum -y install linux-headers-$(uname -r)

インストール方法
openshift のクラスターにインストールしたい場合、適宜 project の名前など変えたい場合は変える(今回は ”sysdig-agent” としました)程度で、基本的な作業は以下のコピペで問題ありません。

作業用ディレクトリが必要そうであれば、各自で作成してください。
ここでは sysdig agent の token を '\$SYSDIGAGENTTOKEN' とします。

# requirements
export SYSDIGAGENTTOKEN=<sysdig agent token>
wget https://raw.githubusercontent.com/draios/sysdig-cloud-scripts/master/agent_deploy/kubernetes/sysdig-agent-daemonset-v2.yaml
wget https://raw.githubusercontent.com/draios/sysdig-cloud-scripts/master/agent_deploy/kubernetes/sysdig-agent-configmap.yaml

# configure for OpenShift
oc adm new-project sysdig-agent --node-selector='app=sysdig-agent'
oc label node --all "app=sysdig-agent"
oc project sysdig-agent
oc create serviceaccount sysdig-agent
oc adm policy add-scc-to-user privileged -n sysdig-agent -z sysdig-agent
oc adm policy add-cluster-role-to-user cluster-reader -n sysdig-agent -z sysdig-agent

# deploy sysdig agent
oc create secret generic sysdig-agent --from-literal=access-key=${SYSDIGAGENTTOKEN} -n sysdig-agent
oc apply -f sysdig-agent-configmap.yaml -n sysdig-agent
oc apply -f sysdig-agent-daemonset-v2.yaml -n sysdig-agent

これらの作業によって、sysdig agent がデプロイされます。openshit の web コンソールなどで、デプロイがうまくいっているかを確認してください。

また、token が正しく入力された状態でデプロイできているかを sysdig cloud で確認してください。成功すると、例えば下図のようにイベントが捕捉されるといった感じで sysdig agent の情報が送られています。

画像3

リソース状況に気を付けよう

sysdig agent をデプロイするにあたって、公式マニュアルでの yaml に定義されている内容では消費するリソースは多めです。

適切なリソースがないと sysdig agent でエラーが起き、立ち上がりません。
こういったトラブルが起きた場合は、インスタンスのサイズを大きくするといった方法なので対処をしてください。

次回は Sysdig インストール option 編をお届けする予定です。

執筆者:株式会社リアルグローブ・オートメーティッド技師 合屋

――――――――――――――――――――――――――――――――――

執筆者プロフィール:合屋 純
九州大学大学院理学府修士卒 大学院で物理学を専攻し、数値計算プログラムに触れたことをキッカケにエンジニアリングに興味を持つ。
現在はリアルグローブ・オートメーティッドにて、コンテナ関連技術や自動化ツールの導入業務に従事。

【ご案内】
ITシステム開発やITインフラ運用の効率化、高速化、品質向上、その他、情シス部門の働き方改革など、IT自動化導入がもたらすメリットは様々ございます。
IT業務の自動化にご興味・ご関心ございましたら、まずは一度、IT自動化の専門家リアルグローブ・オートメーティッド(RGA)にご相談ください!

お問合せは以下の窓口までお願いいたします。

【お問い合わせ窓口】
株式会社リアルグローブ・オートメーティッド
代表窓口:info@rg-automated.jp
URL:https://rg-automated.jp

画像4