Kubernetes CLI を使用したインフラストラクチャの可視性のインストール

このページでは、クラスタエージェントオペレータがインストールされている Kubernetes クラスタにマシンエージェントとネットワークエージェントをインストールする方法について説明します。

クラスタエージェントオペレータは、InfraViz というカスタムリソース定義を提供します。InfraViz を使用すると、マシンエージェントとネットワークエージェントを daemonset として Kubernetes クラスタに簡単に展開できます。さらに、クラスタエージェントオペレータを必要としない daemonset YAML を作成することで、これらのエージェントを展開できます。詳細については、これらの例を参照してください。

分析エージェントを Kubernetes クラスタ内の daemonset として展開するには、「c_saas_migration_install_agent_side_components_in_kubernetes」を参照してください。

注: この展開では、Windows コンテナはサポートされていません。

要件

開始する前に、次のことを確認します。

kubectl 1.16 以上がインストールされていること
クラスタエージェント 21.3.1 以上
「クラスターエージェントの要件およびサポート対象環境」に記載されている要件が満たされていること
サーバの可視性が必要な場合は、クラスタ内のワーカーノードの数に基づいて十分なサーバの可視性ライセンスがあること
Splunk AppDynamics コントローラでサーバーを表示する権限

設置手順

クラスターエージェントをインストールします。この Alpine Linux の例から次の手順を実行します。
1. クラスタエージェントバンドルをダウンロードします。
2. クラスタエージェントバンドルを解凍します。
3. 適切な Kubernetes および OpenShift バージョンを指定する CLI を使用してクラスターエージェントオペレータを展開します（該当する場合）。
```
unzip appdynamics-cluster-agent-alpine-linux-<version>.zip
kubectl create namespace appdynamics
```
  Kubernetes 1.16 以上
  kubectl create -f cluster-agent-operator.yaml
  OpenShift と Kubernetes 1.16 以上
  kubectl create -f cluster-agent-operator-openshift.yaml
  OpenShift と Kubernetes 1.15 以下
  kubectl create -f cluster-agent-operator-openshift-1.15-or-less.yaml
  注: OpenShift クラスタの OpenShift OperatorHub からクラスタエージェントオペレータをインストールすることもできます。
コントローラに接続するマシンエージェントアクセスキーを使用して、クラスタエージェントシークレットを作成します。cluster-agent-secret が存在しない場合は、作成する必要があります。「Kubernetes CLI を使用したクラスターエージェントのインストール」を参照してください。
```
kubectl -n appdynamics create secret generic cluster-agent-secret --from-literal=controller-key=<access-key>
```
（オプション）キーストアのログイン情報を使用して、インフラストラクチャの可視性のシークレットを作成します。
1. 次のコマンドを実行して、custom-ssl.pem ファイルから CA 証明書をインポートします。
```
keytool -import -alias rootCA -file custom-ssl.pem -keystore cacerts.jks -storepass <your-password>
```
2. キーストアファイルシークレットを作成します。
```
kubectl -n appdynamics create secret generic <cacertinfraviz> --from-file=cacerts.jks
```
3. キーストアパスワードシークレットの作成
```
kubectl -n appdynamics create secret generic <kspassinfraviz> --from-literal=keystore-password="<your-password>"
```
  ここで、cacertinfraviz はキーストアのファイル名、kspassinfraviz はインフラストラクチャの可視性のキーストアパスワードです。
  注: ここで指定するキーストアファイルとパスワードは、カスタム SSL 構成を適用するために infraviz.yaml ファイルに含める必要があります。次に例を示します。
```
keyStoreFileSecret: cacertinfraviz
keystorePasswordSecret: kspassinfraviz
```
infraviz.yaml ファイルを更新して、コントローラの [ライセンス（License）] ページの情報に基づいて controllerUrlおよび account の値を設定します。サーバーの可視性を有効にするには、 enableServerViz を true に設定します（ infraviz.yaml の設定例に示します）。マシンサーバーの可視性が有効になっていないエージェントで、 enableServerViz を falseに設定します。
サーバーの可視性が有効になっている infraviz.yaml 構成ファイル
```
apiVersion: v1
kind: ServiceAccount
metadata:
  name: appdynamics-infraviz
  namespace: appdynamics
---
apiVersion: cluster.appdynamics.com/v1alpha1
kind: InfraViz
metadata:
  name: appdynamics-infraviz
  namespace: appdynamics
spec:
  controllerUrl: "https://mycontroller.saas.appdynamics.com"
  image: "docker.io/appdynamics/machine-agent:latest"
  account: "<your-account-name>"
  globalAccount: "<your-global-account-name>"
  enableContainerHostId: true
  enableServerViz: true
  resources:
    limits:
      cpu: 500m
      memory: "1G"
    requests:
      cpu: 200m
      memory: "800M"
```
infraviz.yaml 構成ファイルの例では、クラスター内のノードごとに単一のポッドを実行する daemonset を展開します。各ポッドは、マシンエージェント、またはサーバの可視性エージェントが実行される単一のコンテナを実行します。

ネットワークの可視性エージェントを同じポッド内の 2 番目のコンテナで実行できるようにするには、次の構成ファイルの例に示すように、netVizImage と netVizPort のキーと値を追加します。

単一ポッド内の 2 番目のコンテナが含まれた infraviz.yaml 構成ファイル

apiVersion: v1
kind: ServiceAccount
metadata:
  name: appdynamics-infraviz
  namespace: appdynamics
---
apiVersion: cluster.appdynamics.com/v1alpha1
kind: InfraViz
metadata:
  name: appdynamics-infraviz
  namespace: appdynamics
spec:
  controllerUrl: "https://mycontroller.saas.appdynamics.com"
  image: "docker.io/appdynamics/machine-agent:latest"
  account: "<your-account-name>"
  enableContainerHostId: true
  enableServerViz: true
  netVizImage: appdynamics/machine-agent-netviz:latest
  netVizPort: 3892
  resources:
    limits:
      cpu: 500m
      memory: "1G"
    requests:
      cpu: 200m
      memory: "800M"

kubectl を使用して infraviz.yaml を展開します。
注:
- Kubernetes が 1.25 以降の環境では、PodSecurityPolicy は Kubernetes 1.25 以降から削除されます（https://kubernetes.io/blog/2022/08/23/kubernetes-v1-25-release/#pod-security-changes）。ポッドのセキュリティ制限は、ポッドセキュリティ標準レベルを使用して名前空間レベル（https://kubernetes.io/docs/concepts/security/pod-security-admission/）で適用されるようになりました。そのため、インフラストラクチャの可視性ポッドが実行されている名前空間については、レベルを [Privileged] として設定する必要があります。
- Kubernetes のバージョンが 1.25 よりも前で、PodSecurityPolicies が特権ポッドなど、特定のポッドセキュリティコンテキスト設定をブロックする環境では、infraviz.yaml ファイルを編集する前に infraviz-pod-security-policy.yaml を展開する必要があります。PodSecurityPolicy を appdynamics-infraviz サービスアカウントに明示的にアタッチする必要があります。
- OpenShift SecurityContextConstraints が特権ポッドなど、特定のポッドセキュリティコンテキスト設定をブロックする環境では、infraviz.yaml ファイルを編集する前に infraviz-security-context-constraint-openshift.yaml を展開する必要があります。
Kubernetes
```
kubectl create -f infraviz.yaml
```
ポッドセキュリティポリシーを使用した Kubernetes（1.25 より前のバージョン）
```
kubectl create -f infraviz-pod-security-policy.yaml
kubectl create -f infraviz.yaml
```
ポッドセキュリティアドミッションを使用した Kubernetes（1.25 以降のバージョン）
1. インフラストラクチャの可視性がインストールされている名前空間に次の Kubernetes ラベルを指定します。
  
  pod-security.kubernetes.io/<MODE>: <LEVEL>（必須）
  
  pod-security.kubernetes.io/<MODE>-version: <VERSION>（オプション）詳細については、https://kubernetes.io/docs/tasks/configure-pod-container/enforce-standards-namespace-labels/ を参照してください。
  
  sample-namespace.yaml
  
  apiVersion: v1 kind: Namespace metadata: name: appdynamics labels: pod-security.kubernetes.io/enforce: privileged pod-security.kubernetes.io/enforce-version: v1.27 pod-security.kubernetes.io/audit: privileged pod-security.kubernetes.io/audit-version: v1.27 pod-security.kubernetes.io/warn: privileged pod-security.kubernetes.io/warn-version: v1.27
2. 以下のコマンドを実行します：
  
  kubectl create -f infraviz.yaml
OpenShift
```
kubectl create -f infraviz-security-context-constraint-openshift.yaml
kubectl create -f infraviz.yaml
```
appdynamics-infraviz ポッドが実行中で、マシンエージェント、サーバーの可視性エージェント、およびネットワークエージェントのコンテナの準備が完了していることを確認します。
```
kubectl -n appdynamics get pods
NAME                                    READY   STATUS    RESTARTS   AGE
appdynamics-infraviz-shkhj                     2/2     Running   0          18s
```
エージェントがコントローラに登録されていることを確認するには、ログを確認し、エージェントがコントローラ管理 UI の Agents Dashboard に表示されることを確認します。コントローラでサーバーの可視性が有効になっている場合、ノードは Controller > Servers の下に表示されます。
```
kubectl -n appdynamics logs appdynamics-infraviz-shkhj -c appd-infra-agent
...
Started Machine Agent Successfully
```

InfraVizConfiguration の設定

インフラストラクチャの可視性を設定するには、ダウンロードパッケージに含まれている infraviz.yaml ファイルの次のパラメータを変更します。ファイルを変更したら、InfraViz 展開を削除して再作成し、変更を適用します。

パラメータ説明必須/任意デフォルト

account

Splunk AppDynamics アカウント名

必須

N/A

appName クラスタ名としてコントローラ UI に表示されるクラスタの名前。この設定によって、master、worker、infra、worker-infra ロールに基づいてクラスターのノードがグループ化され、メトリックブラウザに表示されます。オプション N/A

args コマンド引数のリストオプション N/A

controllerUrl

Splunk AppDynamics コントローラの URL

必須

N/A

enableContainerd

Containerd 可視性の有効化true または false のいずれかを指定します。

オプション

false

enableContainerHostId コンテナ名の導出方法を決定するフラグ。true または false を指定します。必須 true

enableMasters デフォルトでは、ワーカーノードのみがモニタされます。true に設定すると、マスターノードに対してサーバーの可視性が提供されます。管理対象の Kubernetes プロバイダーの場合、マスタープレーンにアクセスできないため、フラグは無効です。オプション false

enableServerViz サーバの可視性の有効化必須 false

enableDockerViz Docker の可視性の有効化必須 false

env 環境変数のリストオプション N/A

eventServiceUrl イベントサービスエンドポイントオプション N/A

globalAccount グローバルアカウント名オプション N/A

image マシンエージェントイメージの最新バージョンを取得します。オプション appdynamics/machine-agent:latest

imagePullPolicy

InfraViz ポッドのイメージプルポリシー。

オプション

imagePullPolicy: Always

imagePullSecret プルシークレットイメージの名前オプション N/A

logLevel ロギングの冗長性のレベル。有効なオプションは、info または debug です。オプション info

metricsLimit マシンエージェントがコントローラに送信するメトリックの最大数。オプション N/A

netVizImage ネットワークエージェントイメージの最新バージョンを取得します。オプション appdynamics/machine-agent-netviz:latest

netVizPort 0 より大きい場合、ネットワークエージェントはマシンエージェントとともにサイドカーに展開されます。デフォルトでは、ネットワークの可視性エージェントはポート 3892 で動作します。オプション 3892

netVizSecurityContext

securityContext の下に次のパラメータを含めることができます。

runAsGroup：アプリケーションコンテナを非ルートユーザーとして構成した場合は、対応するグループの groupId を提供します。

これにより、エージェントアーティファクトに適切なファイル権限が設定されます。

この値は、インストゥルメント化されたすべてのリソースに適用されます。

デフォルトのインストゥルメンテーション用に設定されている runAsGroup のデフォルト値を上書きする必要がある場合、またはこのルールを満たすリソースに特定の値が必要な場合は、このパラメータを追加します。

オプション

N/A

runAsUser：アプリケーションコンテナを非ルートユーザーとして構成した場合は、対応するユーザーの userId を提供します。

これにより、エージェントアーティファクトに適切なファイル権限が設定されます。

この値は、インストゥルメント化されたすべてのリソースに適用されます。

デフォルトのインストゥルメンテーション用に設定されている runAsUser のデフォルト値を上書きする必要がある場合、またはこのルールを満たすリソースに特定の値が必要な場合は、このパラメータを追加します。

オプション

N/A

allowPrivilegeEscalation：プロセスが親プロセスよりも多くの権限を取得できるかどうかを制御します。次のコンテナとして実行されている場合、この値は true です。

特権コンテナ
CAP_SYS_ADMIN

このパラメータを設定しない場合、Helm はデフォルト値 true を使用します。

注:

このパラメータは、spec.os.name が Windows の場合は使用できません。
このパラメータは、現在、Deployment および DeploymentConfig モードで使用できます。

オプション

N/A

capabilities：実行中のコンテナの POSIX 機能を追加または削除します。これは、コンテナランタイムにデフォルトの機能セットを使用します。

注:

このパラメータは、spec.os.name が Windows の場合は使用できません。
このパラメータは、現在、Deployment および DeploymentConfig モードで使用できます。

オプション

["NET_ADMIN","NET_RAW"]

注: デフォルト値は、指定された値によって上書きされません。機能の値を指定すると、その値はデフォルト値とともに考慮されます。

privileged：ホストでのルートに相当する特権モードでコンテナを実行します。

このパラメータを設定しない場合、Helm はデフォルト値 true を使用します。

注:

このパラメータは、spec.os.name が Windows の場合は使用できません。
このパラメータは、現在、Deployment および DeploymentConfig モードで使用できます。

オプション

N/A

procMount：コンテナに使用する proc マウントのタイプ。

注: このパラメータは、現在、Deployment および DeploymentConfig モードで使用できます。

オプション

N/A

readOnlyRootFilesystem：このコンテナに読み取り専用のルートファイルシステムがあるかどうかを指定します。

注:

このパラメータは、spec.os.name が Windows の場合は使用できません。
このパラメータは、現在、Deployment および DeploymentConfig モードで使用できます。

オプション

N/A

runAsNonRoot：コンテナを非ルートユーザーとして実行する必要があるかどうかを指定します。

この値が true の場合、Kubelet は実行時にイメージを検証して、ルートとして実行したときにコンテナの開始が失敗することを確認します。このパラメータが指定されていない場合、または値が false の場合、検証は行われません。

注: このパラメータは、現在、Deployment および DeploymentConfig モードで使用できます。

オプション

N/A

seLinuxOptions：SELinux コンテキストをコンテナに適用します。このパラメータが指定されていない場合、コンテナランタイムは各コンテナにランダムな SELinux コンテキストを割り当てます。

注:

このパラメータは、spec.os.name が Windows の場合は使用できません。
このパラメータは、現在、Deployment および DeploymentConfig モードで使用できます。

オプション

N/A

seccompProfileコンテナで使用される seccomp オプションを指定します。ポッドレベルとコンテナレベルの両方で seccomp オプションが指定されている場合、コンテナオプションはポッドオプションをオーバーライドします。

注:

このパラメータは、spec.os.name が Windows の場合は使用できません。
このパラメータは、現在、Deployment および DeploymentConfig モードで使用できます。

オプション

N/A

windowsOptions：すべてのコンテナに Windows 固有のオプションを指定します。

注:

このパラメータは、spec.os.name が Windows の場合は使用できません。
このパラメータは、現在、Deployment および DeploymentConfig モードで使用できます。

オプション

N/A

nodeSelector daemonset ポッドのスケジューリング用のノードを識別する OS 固有のラベル。オプション linux

overrideVolumeMounts

volumeMounts のリスト。

オプション

overrideVolumeMounts:

- proc - sys - etc

priorityClassName

ポッドを削除する必要がある場合の優先順位を決定するプライオリティクラスの名前。

オプション

N/A

propertyBag その他のマシンエージェントパラメータを含む文字列オプション N/A

proxyUrl プロキシサーバの URL（protocol://domain:port）オプション N/A

proxyUser プロキシユーザのログイン情報（user@password）オプション N/A

resources

マシンエージェントのリソースと制限の定義

オプション

N/A

resourcesNetViz

ネットワークの可視性（NetViz）コンテナのリソースを設定

オプション

Request

CPU：100m
メモリ：150Mi

Limit

CPU：200m
メモリ：300Mi

runAsUser


コンテナプロセスのエントリポイントを実行する UID（ユーザー ID）。UID を指定しない場合、これはデフォルトで、イメージで指定されたユーザー ID になります。 `docker.io/appdynamics/machine-agent` `docker.io/appdynamics/machine-agent-analytics:latest` 他の UID で実行する必要がある場合は、グループ ID を変更せずに、runAsUser の UID を変更します。

注: このパラメータは廃止されます。runAsUser 子パラメータを

securityContext

パラメータの下で使用することを推奨します。

オプション


`UID: 1001` `Username: appdynamics`

いる

runAsGroup

コンテナプロセスのエントリポイントを実行する GID（グループ ID）。ID を指定しない場合、これはイメージで指定された UID を使用します。

docker.io/appdynamics/machine-agent

docker.io/appdynamics/machine-agent-analytics:latest

注: このパラメータは廃止されます。runAsGroup 子パラメータを

securityContext

パラメータの下で使用することを推奨します。

オプション

GID: 1001 Username: appdynamics

securityContext

注:

OpenShift バージョンが 4.14 以降の場合は、securityContext 内のすべての子パラメータが、セキュリティコンテキスト制約（SCC）で概説されている許容値に基づいて指定されていることを確認します。Red Hat OpenShift ドキュメントの「セキュリティコンテキスト上の制約」を参照してください。

たとえば、 RunAsUser プロパティを使用する場合、ユーザー ID（UID）は許容範囲である必要があります。UID の SCC の許容範囲は 1000 ～ 9001 です。したがって、RunAsUser 値はこの範囲内でのみ追加できます。他のセキュリティコンテキストパラメータについても同様です。

securityContext の下に次のパラメータを含めることができます。

runAsGroup：アプリケーションコンテナを非ルートユーザーとして構成した場合は、対応するグループの groupId を提供します。

これにより、エージェントアーティファクトに適切なファイル権限が設定されます。

この値は、インストゥルメント化されたすべてのリソースに適用されます。

securityContext の下に次のパラメータを含めることができます。

runAsGroup：アプリケーションコンテナを非ルートユーザーとして構成した場合は、対応するグループの groupId を提供します。

これにより、エージェントアーティファクトに適切なファイル権限が設定されます。

この値は、インストゥルメント化されたすべてのリソースに適用されます。

オプション

該当なし

runAsUser：アプリケーションコンテナを非ルートユーザーとして構成した場合は、対応するユーザーの userId を提供します。

これにより、エージェントアーティファクトに適切なファイル権限が設定されます。

この値は、インストゥルメント化されたすべてのリソースに適用されます。

オプション

該当なし

特権コンテナ
CAP_SYS_ADMIN

このパラメータを設定しない場合、Helm はデフォルト値 true を使用します。

注:

このパラメータは、spec.os.name が Windows の場合は使用できません。
このパラメータは、現在、Deployment および DeploymentConfig モードで使用できます。

オプション

true

capabilities：実行中のコンテナの POSIX 機能を追加または削除します。これは、コンテナランタイムにデフォルトの機能セットを使用します。

注:

このパラメータは、spec.os.name が Windows の場合は使用できません。
このパラメータは、現在、Deployment および DeploymentConfig モードで使用できます。

オプション

該当なし

privileged：ホストでのルートに相当する特権モードでコンテナを実行します。

このパラメータを設定しない場合、Helm はデフォルト値 true を使用します。

注:

このパラメータは、spec.os.name が Windows の場合は使用できません。
このパラメータは、現在、Deployment および DeploymentConfig モードで使用できます。

オプション

true

procMount：コンテナに使用する proc マウントのタイプ。

注: このパラメータは、現在、Deployment および DeploymentConfig モードで使用できます。

オプション

該当なし

readOnlyRootFilesystem：このコンテナに読み取り専用のルートファイルシステムがあるかどうかを指定します。

注:

このパラメータは、spec.os.name が Windows の場合は使用できません。
このパラメータは、現在、Deployment および DeploymentConfig モードで使用できます。

オプション

該当なし

runAsNonRoot：コンテナを非ルートユーザーとして実行する必要があるかどうかを指定します。

注: このパラメータは、現在、Deployment および DeploymentConfig モードで使用できます。

オプション

該当なし

注:

このパラメータは、spec.os.name が Windows の場合は使用できません。
このパラメータは、現在、Deployment および DeploymentConfig モードで使用できます。

オプション

該当なし

注:

このパラメータは、spec.os.name が Windows の場合は使用できません。
このパラメータは、現在、Deployment および DeploymentConfig モードで使用できます。

オプション

該当なし

windowsOptions：すべてのコンテナに Windows 固有のオプションを指定します。

注:

このパラメータは、spec.os.name が Windows の場合は使用できません。
このパラメータは、現在、Deployment および DeploymentConfig モードで使用できます。

オプション

該当なし

stdoutLogging ログをファイルに保存するか、コンソールにリダイレクトするかを決定します。オプション false

tolerations ノードに関連付けられている taint に基づく許容値のリスト。オプション N/A

uniqueHostId

Splunk AppDynamics の一意のホスト ID。有効なオプションは、spec.nodeName、status.hostIP です。

オプション

spec.nodeName