Déployer Cyberwatch avec Swarm sur un environnement durci

Sur les environnements durcis, plusieurs problèmes peuvent empêcher le bon fonctionnement de Cyberwatch, selon les configurations de la machine.

Cette documentation décrit les méthodes de durcissement classiques pouvant entraver le fonctionnement de Docker et comment les désactiver/adapter le cas échéant.

SELinux

L’activation de SELinux peut poser des problèmes au fonctionnement de Docker.

Il est possible de désactiver SELinux en positionnant dans le fichier /etc/selinux/config la ligne suivante :

SELINUX=disabled

Si SELinux doit être activé, il est possible de configurer le tout de sorte à ne pas impacter Docker à l’aide de la documentation suivante : configurer SELinux avec Swarm

Paramètres sysctl

La désactivation du paramètre net.ipv4.ip_forward peut empêcher Docker de relayer le trafic réseau vers les conteneurs. Dans ce cas, activer le paramètre net.ipv4.ip_forward en modifiant le fichier /etc/sysctl.conf :

net.ipv4.ip_forward = 1

Exécution sur /var/lib/docker/

Le répertoire /var/lib/docker/, répertoire par défaut dédié à Docker, doit disposer de l’option exec.

Pour autoriser l’exécution sur ce répertoire, utiliser la commande :

mount -o remount,exec

Modules noyaux

Les modules noyau suivants doivent être activés via modprobe :

• overlay
• br_netfilter
• vxlan

Cela peut se fait à l’aide des commandes suivantes :

cat <<EOL >> /etc/sysconfig/modules/prerequis_docker.modules
#!/bin/bash
modprobe overlay
modprobe br_netfilter
modprobe vxlan

exit 0
EOL

chmod +x /etc/sysconfig/modules/prerequis_docker.modules

Les commandes ci-dessus vont créer un fichier /etc/sysconfig/modules/prerequis_docker.modules contenant les paramètres nécessaires et ajouter des droits d’exécution sur ce fichier.

Firewalld

Le service firewalld peut également poser des problèmes de communication entre les conteneurs, ou entre les conteneurs et Internet.

L’arrêt et désactivation du service firewalld sont donc recommandés :

systemctl stop firewalld
systemctl disable firewalld

Mises à jour système

Nous recommandons que le système hébergeant l’application Cyberwatch dispose des dernières mises à jour système et applicatives disponibles.

Cela s’applique particulièrement aux systèmes durcis qui peuvent ne pas avoir été mis à jour depuis longtemps.

Vérifications

Plusieurs ressources permettent de vérifier la compatibilité entre le kernel et sa configuration avec l’exécution de conteneurs :

• script shell clé en main permettant de vérifier la compatibilité du système
• article décrivant comment utiliser le script ci-dessus