Documentation Oracle Cloud Infrastructure

Utiliser des points d'observation dédiés

Vous pouvez configurer un point d'observation dédié pour définir un emplacement dans votre propre location afin d'exécuter vos moniteurs en toute sécurité.

Vous pouvez utiliser un point d'observation dédié pour surveiller les applications derrière un pare-feu ou dans un environnement réseau d'entreprise, auquel un point d'observation public ne peut pas accéder. Le point d'observation dédié ne peut pas être utilisé par des personnes extérieures à votre location et vous avez un contrôle total sur les paramètres réseau. De cette façon, vous pouvez faire d'un point d'observation dédié une partie de votre réseau d'entreprise et surveiller les adresses qui ne sont pas accessibles au public.

Un point d'observation dédié est une ressource Application Performance Monitoring, qui peut être configurée dans une location à l'aide du modèle de point d'observation dédié fourni par Oracle et disponible dans le service Oracle Cloud Infrastructure Resource Manager. Un modèle est une configuration Terraform prédéfinie utilisée pour déployer des ressources cloud dans un scénario courant. Le modèle Point d'observation dédié de la surveillance de la disponibilité APM peut être utilisé pour provisionner l'infrastructure et les prérequis d'un point d'observation dédié dans Application Performance Monitoring. Pour plus d'informations sur Resource Manager, reportez-vous à Présentation de Resource Manager.

Voici un diagramme d'architecture qui présente un point d'observation dédié au sein d'un réseau sécurisé comprenant un réseau cloud virtuel (VCN) et la façon dont il envoie les données des exécutions de moniteur à Application Performance Monitoring :

Architecture dédiée de Vantage Point

La liste suivante décrit le flux de données dans le diagramme :

  • A - Mesures, fichiers HAR (HTTP Archive) et captures d'écran envoyés au domaine APM
  • B - Flux des fichiers de configuration de surveillance et des modifications entre le gestionnaire de déploiement et le domaine APM
  • C - Traces, étendues et mesures envoyées au domaine APM

Rubriques :

Effectuer les tâches préliminaires de point d'observation dédié

Voici les tâches prérequises à effectuer avant de configurer un point d'observation dédié.

Tâche Informations supplémentaires
Assurez-vous que vous disposez d'un quota suffisant pour les ressources requises afin de créer une pile à l'aide du modèle Point d'observation dédié de surveillance de la disponibilité APM.

Pour vérifier le quota de ressource dans le compartiment dans lequel le point d'observation dédié sera configuré, procédez comme suit :

  1. Ouvrez le menu de navigation et cliquez sur Gouvernance et administration. Sous Gouvernance, cliquez sur Limites, quotas et utilisation.
  2. Sur la page Limites, quotas et utilisation, sélectionnez les services suivants dans la liste déroulante Services et vérifiez la disponibilité du quota :
    • Streaming : au moins 1 partition doit être disponible.
    • Compute : au moins 2 instances de calcul doivent être disponibles pour la forme sélectionnée, chacune disposant de 2 coeurs. Les formes de calcul prises en charge sont VM.Standard.E3.Flex et VM.Standard.E4.Flex.
    • Container Engine : au moins 1 cluster et 2 noeuds doivent être disponibles.
    • Gestion des clés : si vous voulez utiliser le service Oracle Cloud Infrastructure Vault, le quota du type de ressource virtual-vault-count doit être disponible dans le compartiment requis.
    • Resource Management/Adresses privées : lorsque vous utilisez des adresses privées, au moins une adresse private-endpoint-count doit être disponible.
Pour plus d'informations sur les quotas dans Oracle Cloud Infrastructure, reportez-vous à Quotas de compartiment.
Assurez-vous que l'utilisateur qui configure le point d'observation dédié dispose des droits d'accès au service Resource Manager, créez une pile (type de ressource : orm-stacks) et visualisez les travaux (type de ressource : orm-jobs), puis créez et accédez aux ressources suivantes.
  • Référentiel Container Registry (resource-type : repos)
  • Ressources du service Networking (types de ressource : vcns, subnets, private-ips, public-ips, vnics)
  • Instances de calcul (resource-type : instance-family)
  • Clusters Kubernetes (type de ressource : clusters)
  • Streams (type de ressource : streams)
  • Ressources IAM (types de ressource : policies, tag-namespaces, dynamic-groups)
  • Ressources du service Vault (types de ressource : vaults, keys)
  • Journalisation des ressources de service (types de ressource : log-groups, unified-configuration)

Notez que le VCN doit être créé manuellement et que les autres ressources répertoriées ci-dessus sont créées dans le cadre de la pile Resource Manager.

Adresses privées OKE : en plus de l'accès aux ressources ci-dessus, assurez-vous que l'utilisateur dispose des droits d'accès nécessaires pour créer une adresse privée de gestionnaire de ressources,(resource-type: orm-private-endpoints)

 Pour plus d'informations sur les stratégies, voir :

Pour obtenir des exemples de stratégies à créer afin d'accorder à un utilisateur non administrateur les droits d'accès requis pour créer la pile Resource Manager, reportez-vous à perform-oracle-cloud-infrastructure-prerequisite-tasks.html#GUID-6F390B5F-DCF5-4299-A9E5-0C7F81A75E61__SECTION_ZG4_VW2_HTB.

Créez un VCN et ajoutez les règles de sécurité suivantes :

Pour l'adresse publique Oracle Kubernetes Engine (OKE), procédez comme suit :

  • Règles entrantes pour l'adresse publique de l'API Oracle Kubernetes Engine (adresse publique d'API Kubernetes) dans une liste de sécurité du sous-réseau public où l'adresse publique est hébergée. Le CIDR des noeuds de processus actif est la plage CIDR du sous-réseau privé hébergeant les noeuds de processus actif de cluster.
    • Etat : avec conservation de statut, Source : CIDR VCN, Protocol/Dest.Port : ICMP 3, Description : communication d'adresse d'API VCN vers Kubernetes
    • Etat : avec conservation de statut, Source : CIDR des noeuds de processus actif, Protocol/Dest.Port : TCP/12250, Description : processus actif Kubernetes pour contrôler la communication de plan
    • Etat : avec conservation de statut, Source : CIDR des noeuds de processus actif, Protocol/Dest.Port : ICMP 3,4, Description : Repérage de chemin
    • Etat : avec conservation de statut, Source : 0.0.0.0/0 ou des sous-réseaux spécifiques, Protocol/Dest.Port : TCP/6443, Description : accès client à l'adresse d'API Kubernetes, inclut

      Source : CIDR des noeuds de processus actif : pour la communication entre le processus actif Kubernetes et l'adresse d'API Kubernetes

      Source : 0.0.0.0/0- Pour le déploiement de graphique Helm

  • Règles sortantes pour l'adresse publique d'API Kubernetes dans une liste de sécurité du sous-réseau public où l'adresse publique est hébergée. Le CIDR des noeuds de processus actif est la plage CIDR du sous-réseau privé hébergeant les noeuds de processus actif de cluster.
    • Etat : avec conservation de statut, Destination : tous les services <region> dans Oracle Services Network, Protocol/Dest.Port : TCP/443, Description : permettent au plan de contrôle Kubernetes de communiquer avec OKE
    • Etat : avec conservation de statut, Destination : CIDR des noeuds de processus actif, Protocol/Dest.Port : TCP/ALL, Description : tout le trafic vers les noeuds de processus actif
    • Etat : avec conservation de statut, Destination : CIDR des noeuds de processus actif, Protocol/Dest.Port : ICMP 3,4, Description : Repérage de chemin
  • Règles entrantes dans la liste de sécurité du sous-réseau privé où les noeuds de processus actif seront hébergés :
    • Etat : avec conservation de statut, Source : CIDR VCN, Protocol/Dest.Port : TCP/22, Description : autoriser SSH
    • Etat : avec conservation de statut, Source : CIDR VCN, Protocol/Dest.Port : ICMP 3,4, Description : détection de chemin
    • Etat : avec conservation de statut, Source : CIDR VCN, Protocol/Dest.Port : UDP/ALL, Description : prévention des problèmes d'hôte inconnus et exécution plus rapide du moniteur
  • Règles sortantes dans la liste de sécurité du sous-réseau privé où les noeuds de processus actif seront hébergés :
    • Etat : avec conservation de statut, Destination : 0.0.0.0/0, Protocol/Dest.Port : tous les protocoles, Description : tout le trafic pour tous les ports

Pour l'adresse privée OKE (Oracle Kubernetes Engine) :

  • Règles entrantes dans la liste de sécurité du sous-réseau privé où les noeuds de processus actif seront hébergés :
    • Etat : avec conservation de statut, Source : CIDR VCN, Protocol/Dest.Port : TCP/22, Description : Autoriser SSH
    • Etat : avec conservation de statut, Source : CIDR VCN, Protocol/Dest.Port : ICMP 3,4, Description : détection de chemin
    • Etat : avec conservation de statut, Source : CIDR VCN, Protocol/Dest.Port : UDP/ALL, Description : prévention des problèmes d'hôte inconnus et accélération de l'exécution du moniteur
    • Etat : avec conservation de statut, Source : CIDR des noeuds de processus actif, Protocol/Dest.Port : TCP/ALL, Description : autorise le gestionnaire de ressources à communiquer avec OKE lors de l'utilisation de l'adresse privée OKE.
  • Règles sortantes dans la liste de sécurité du sous-réseau privé où les noeuds de processus actif seront hébergés :
    • Etat : avec conservation de statut, Destination : 0.0.0.0/0, Protocol/Dest.Port : tous les protocoles, Description : tout le trafic pour tous les ports
Pour plus d'informations sur la création d'un VCN, reportez-vous à la section To create a VCN.

Pour plus d'informations sur les règles de sécurité de l'adresse d'API Kubernetes, reportez-vous à Configuration de règles de sécurité dans les listes de sécurité et/ou les groupes de sécurité réseau.

Assurez-vous qu'un domaine APM est créé et générez une clé de données privée pour le point d'observation dédié. Le point d'observation dédié sera inscrit dans le domaine APM et la clé de données privée est requise pour s'assurer qu'Application Performance Monitoring accepte les mesures de surveillance et les données collectées par le point d'observation dédié. Il est recommandé d'utiliser le format suivant pour le nom de la clé de données privée :

dvp_<dvp name>_<region>

 Pour plus d'informations sur la création d'un domaine APM et la génération de clés de données, reportez-vous à la section Create an APM Domain.
Générez un jeton d'authentification pour extraire les artefacts de point d'observation dédiés à partir du registre de conteneur. Pour plus d'informations sur la génération d'un jeton d'authentification, reportez-vous à Obtention d'un jeton d'authentification.

Configuration d'un point d'observation dédié

Pour configurer un point d'observation dédié à l'aide de Resource Manager, vous devez créer une pile à l'aide du modèle Point d'observation dédié de surveillance de la disponibilité APM.

Avant de configurer un point d'observation dédié, vous devez effectuer toutes les tâches prérequises pour obtenir les droits d'accès et garantir la disponibilité des ressources requises. Pour plus d'informations sur les tâches prérequises, reportez-vous à Exécution de tâches prérequises de point d'observation dédié.
Pour configurer un point d'observation dédié :
  1. Cliquez sur Services de développeur dans le menu de navigation. Sous Gestionnaire de ressources, cliquez sur Piles.
  2. Dans le panneau de gauche, sélectionnez le compartiment dans lequel configurer le point d'observation dédié.
  3. Cliquez sur Créer une pile.
    L'assistant Créer une pile s'affiche.
  4. Dans la page Informations sur la pile, procédez comme suit :
    1. Sélectionnez Modèle.
    2. Cliquez sur Sélectionner un modèle.
    3. Dans la boîte de dialogue Parcourir les modèles, cliquez sur l'onglet Services, sélectionnez Point d'observation dédié de surveillance de la disponibilité APM, puis cliquez sur Sélectionner un modèle.

      Les champs de la page Informations sur la pile sont mis à jour avec les détails de point d'observation dédié. Vous pouvez modifier le nom et la description, sélectionner un autre compartiment dans lequel créer une pile, etc.

    4. Cliquez sur Suivant.
  5. Sur la page Configurer des variables, configurez les variables pour les ressources d'infrastructure que la pile créera lors de la configuration du point d'observation dédié.
    • Nom de point d'observation dédié
      1. Nom de point d'observation dédié : entrez un nom unique pour le point d'observation dédié. Ce nom sera utilisé pour inscrire le point d'observation dédié auprès d'un domaine APM et sera ajouté en préfixe aux ressources d'infrastructure créées par la pile.
    • Configuration VCN

      Notez que les valeurs sélectionnées dans les champs Configuration VCN ne peuvent pas être modifiées ultérieurement.

      1. Utiliser l'adresse d'API Kubernetes privée : sélectionnez cette option pour créer un cluster OKE sur un sous-réseau privé.
      2. Compartiment réseau : sélectionnez le compartiment dans lequel réside le VCN.
      3. VCN : sélectionnez le VCN que le point d'observation dédié utilisera.
      4. Sous-réseau de noeuds de processus actif de cluster : sélectionnez le sous-réseau utilisé par les noeuds de processus actif dans le cluster de points d'observation dédiés.
      5. Sous-réseau d'adresse d'API Kubernetes public : sélectionnez le sous-réseau public pour héberger l'adresse publique d'API Kubernetes.
      6. Sous-réseau d'adresse d'API Kubernetes privé : sélectionnez le même sous-réseau que celui utilisé dans la puce d. Sous-réseau des noeuds de processus actif du cluster.
    • Configuration du domaine
      1. Jeton d'authentification de l'utilisateur exécutant la pile : entrez le jeton d'authentification de l'utilisateur exécutant la pile. Le jeton d'authentification est requis pour extraire les artefacts de point d'observation dédiés à partir du registre de conteneur.
      2. Clés de données privées de domaine : entrez la clé de données privées de domaine APM générée pour le point d'observation dédié au format suivant :
        {"domainOcid":"<domain_OCID_value>" "domainDataKey":"<domain_private_datakey_value>" "domainRegion":"<domain_region_name>"}

        Par exemple :

        {"domainOcid":"ocid1.apmdomain.oc1.phx.atrstahnenntlsundfserq8re3lfg6sw2dwedcfgthyuijk" "domainDataKey":"4WESK3ABCDE9LBTRUGSC9S2NG9STODRN" "domainRegion":"us-phoenix-1"}
    • Configuration OKE
      1. Version Kubernetes : sélectionnez la version Kubernetes des noeuds de processus actifs de cluster. La version antérieure de Kubernetes n'est pas prise en charge.
      2. Forme : sélectionnez la forme d'instance de calcul des noeuds de processus actif à créer dans le pool de noeuds Point d'observation dédié. Seuls VM.Standard.E3.Flex et VM.Standard.E4.Flex sont pris en charge.
      3. Taille du pool de noeuds : sélectionnez le nombre de noeuds de processus actif dans le pool de noeuds Point d'observation dédié.
      4. Clé SSH : indiquez éventuellement la clé publique SSH pour accéder aux noeuds de processus actif privés dans le cluster, en sélectionnant l'option Choisir un fichier de clés SSH et en téléchargeant le fichier de clés SSH (.pub), ou en sélectionnant l'option Coller la clé SSH et en collant la clé SSH. Notez que la clé ne sera appliquée qu'aux nouveaux noeuds.
    • Configuration du proxy
      1. Utiliser le proxy d'URL cible ? : sélectionnez cette option pour fournir des détails de proxy si les cibles surveillées se trouvent derrière un serveur proxy. Lorsque vous cochez cette case, les champs suivants s'affichent :
        1. Proxy HTTPS ? : sélectionnez cette option si l'accès proxy est sécurisé.
        2. URL proxy : entrez l'URL du serveur proxy cible. Par exemple, https://proxy.example.com.
        3. Port proxy : entrez le numéro de port du serveur proxy cible. Par exemple, 8080.
        4. Ignorer l'URL : entrez des noms de domaine séparés par des virgules pour ignorer les paramètres de proxy. Par exemple, example1.com et example2.com. Notez que vous devez éviter les caractères génériques tels qu'un astérisque (*).
        5. Type d'authentification : sélectionnez le type d'authentification pour le serveur proxy cible. L'option par défaut est NONE. Cependant, si vous sélectionnez BASIC dans la liste déroulante, vous devez indiquer le nom d'utilisateur et le mot de passe dans les champs Nom d'utilisateur et Mot de passe.
      2. Utiliser le proxy d'adresse de téléchargement de données de mesure ? : sélectionnez cette option pour fournir les détails du proxy permettant de télécharger les mesures surveillées. Lorsque vous cochez cette case, les champs suivants s'affichent :
        1. Proxy HTTPS ? : sélectionnez cette option si l'accès proxy est sécurisé.
        2. URL proxy : entrez l'URL du serveur proxy de l'adresse de téléchargement des données de mesure pour communiquer avec le collecteur APM. Par exemple, https://127.0.0.1.
        3. Port proxy : entrez le numéro de port du serveur proxy de l'adresse de téléchargement des données de mesure. Par exemple, 8080.
        4. Type d'authentification : sélectionnez le type d'authentification pour le serveur proxy de l'adresse de téléchargement des données de mesure. L'option par défaut est NONE. Cependant, si vous sélectionnez BASIC dans la liste déroulante, vous devez indiquer le nom d'utilisateur et le mot de passe dans les champs Nom d'utilisateur et Mot de passe.
    • Configuration du coffre
      1. Activer la prise en charge de Vault : sélectionnez cette option pour utiliser le service Oracle Cloud Infrastructure Vault afin de stocker les clés secrètes et de gérer les ressources cryptées. Si vous sélectionnez l'option permettant d'activer la prise en charge de Vault, l'option Utiliser un coffre existant ? apparaît. Vous pouvez sélectionner cette option pour utiliser un coffre existant afin de stocker les clés secrètes et de gérer les ressources cryptées. Si la case Activer la prise en charge du coffre ? est cochée et que la case Utiliser un coffre existant ? n'est pas cochée, un coffre est créé. L'option permettant de désactiver la prise en charge de Vault n'est actuellement pas disponible.
    • Configuration du journal
      1. Télécharger les journaux : sélectionnez cette option pour télécharger les journaux vers le service Oracle Cloud Infrastructure Logging.
    • Mise à niveau automatique des artefacts DVP
      1. Activer la mise à niveau automatique ? : sélectionnez cette option pour mettre à niveau automatiquement le gestionnaire de déploiement et les moniteurs de surveillance de disponibilité vers la dernière version.
  6. Sur la page Vérifier, vérifiez la configuration de la pile et effectuez l'une des actions suivantes :
    • Sélectionnez l'option Exécuter l'application sur la pile créée ? et provisionnez immédiatement les ressources définies dans la configuration Terraform en exécutant l'action Appliquer sur la nouvelle pile, puis cliquez sur Créer.
    • Cliquez sur Créer et éventuellement sur Plan sur la page Détails de la pile pour générer un plan d'exécution (exécuter un travail de plan) afin d'identifier les erreurs éventuelles. Vous pouvez ensuite cliquer sur Appliquer pour exécuter le travail d'application pour la pile.
      • Pour plus d'informations sur les concepts de Resource Manager tels que les plans et les travaux, reportez-vous à Concepts clés.
      • Pour plus d'informations sur les options disponibles sur la page Détails de la pile et sur les tâches pouvant être effectuées, reportez-vous à Gestion des piles et gestion des travaux.
Les ressources sont créées et attachées à la pile. Une fois la pile configurée, accédez à Surveillance de la disponibilité et cliquez sur Points d'observation dédiés dans le panneau de gauche. Le point d'observation dédié est répertorié sur la page Points d'observation dédiés. Pour vérifier si le point d'observation dédié est prêt à être utilisé, accédez à la page Moniteurs, cliquez sur Créer un moniteur et, sur la page Paramètres d'exécution de l'assistant Créer un moniteur, vérifiez que le point d'observation dédié nouvellement créé est répertorié dans la liste déroulante Points d'observation. Pour plus d'informations sur la création d'un moniteur, reportez-vous à Création d'un moniteur.

Surveiller des points d'observation dédiés

Après avoir configuré un point d'observation dédié, vous pouvez surveiller ce point.

Pour surveiller un point d'observation dédié :

  1. Accédez à la page Surveillance de la disponibilité.
  2. Dans le panneau de gauche, cliquez sur Points d'observation dédiés, sélectionnez le compartiment dans lequel vous avez créé le point d'observation dédié et le domaine APM dans lequel il est inscrit.

    Le point d'observation dédié est répertorié.

  3. Cliquez sur le nom du point d'observation dédié.

    La page <Nom du point d'observation dédié> s'affiche.

Sur la page <Nom du point d'observation dédié>, vous pouvez :
  • Consultez des informations telles que la région, la date de création du point d'observation dédié, etc. Vous pouvez également effectuer des actions telles que l'ajout de balises ou la suppression du point d'observation dédié. Si vous supprimez le point d'observation dédié, tout moniteur exécuté uniquement sur le point d'observation dédié sera également supprimé. Si le moniteur est également exécuté sur d'autres points d'observation publics ou dédiés, il ne sera pas supprimé.
  • Faites défiler la page vers le bas pour afficher les mesures associées aux points d'observation dédiés.
  • Cliquez sur Surveillance sous Ressources dans le panneau de gauche pour afficher les moniteurs exécutés sur le point d'observation dédié, le cas échéant.

Mise à jour d'un point d'observation dédié existant

Vous pouvez mettre à jour un point d'observation dédié existant en mettant à jour la configuration de la pile de points d'observation dédiés dans Resource Manager.

Voici les étapes à effectuer pour mettre à jour un point d'observation dédié :

  1. Créez une pile à l'aide du dernier modèle de point d'observation dédié de surveillance de la disponibilité APM. Pour plus d'informations, reportez-vous à Configuration d'un point d'observation dédié.
  2. Sur la page Détails de la pile de la pile que vous venez de créer, cliquez sur Planifier pour générer un plan d'exécution (exécuter un travail de plan). Le nouveau travail de planification apparaît sous Tâches. Pour plus d'informations, reportez-vous à Procédure de génération d'un plan d'exécution (exécution d'un travail de plan) dans Gestion des piles et de la gestion des travaux.
  3. Sur la page Détails du travail du travail de plan, cliquez sur Télécharger la configuration Terraform pour télécharger le fichier de configuration Terraform .zip. Pour plus d'informations, reportez-vous à Procédure d'affichage des travaux et des détails de travail dans Gestion des piles et de la gestion des travaux.
  4. Accédez à la page Piles et, pour le point d'observation dédié à mettre à jour, cliquez sur l'option Modifier. Pour plus d'informations, reportez-vous à Procédure de modification d'une pile dans Gestion des piles et de la gestion des travaux.
  5. Sur la page Informations sur la pile de l'assistant Modifier la pile, mettez à jour la pile de configuration à l'aide du fichier .zip de configuration Terraform téléchargé à l'étape 3. Pour plus d'informations, reportez-vous à Procédure de mise à jour de la configuration d'une pile dans Gestion des piles et gestion des travaux.