Перейти к основному содержимому
Версия: Privileged Access Manager 2.10

Включение перезапуска контейнеров сервисов прокси

Docker-контейнерам SSH Proxy и RDP Proxy требуется периодический перезапуск (ротация) для устранения эффектов утечки памяти, потоков и дескрипторов. В Indeed PAM это реализовано специальным скриптом, который запускается автоматически по расписанию. Остановка работы PAM при этом не происходит (сессии пользователей не прерываются).

По умолчанию перезапуск выключен. Чтобы его включить, нужно изменить значение параметра в файле конфигурации и перезапустить сервер доступа.

Включение перезапуска в файле конфигурации

  1. Откройте файл ./scripts/ansible/vars.yml.
  2. В секции proxy_recycling поменяйте значение параметра enabled с false на true.
  3. Переходите к перезапуску сервера доступа.
предупреждение

При использовании на сервере доступа SELinux в режиме Enforcing вам потребуется вручную добавить контекст для скрипта, вы увидите сообщение об этом:

TASK [Warn about SELinux mode] *************************

msg:

'Warning: SELinux is in enforcing mode. Add script context manually:'
semanage fcontext -a -t bin_t /etc/indeed/indeed-pam/scripts/recycle-proxy.sh && restorecon -Fv /etc/indeed/indeed-pam/scripts/recycle-proxy.sh

Поэтому выполните следующую команду:

semanage fcontext -a -t bin_t /etc/indeed/indeed-pam/scripts/recycle-proxy.sh && restorecon -Fv /etc/indeed/indeed-pam/scripts/recycle-proxy.sh

Дополнительные настройки

В файле ./scripts/ansible/vars.yml, в секции proxy_recycling есть еще несколько параметров. Укажите их значения (опционально) или используйте значения по умолчанию.

  • replicas — количество Master-реплик (активных реплик, которые принимают соединения). По умолчанию 1.
  • proxies — типы прокси, для которых будет выполняться перезапуск. Представляет из себя массив. По умолчанию [rdp,ssh].
  • rotation_hours — время ротации реплик в часах. По умолчанию 168.
  • session_hours — максимальная длительность сессии в часах для реплики в состоянии DRAIN (когда сервер не принимает новые соединения, но обрабатывает существующие). По умолчанию 24.

Перезапуск сервера доступа

предупреждение

Запускайте команды из папки /etc/indeed/indeed-pam.

Для перезапуска компонентов сервера доступа Indeed PAM используйте следующие команды:

sudo docker compose -f docker-compose.access-server.yml down
sudo docker compose -f docker-compose.access-server.yml up -d

или

sudo docker-compose -f docker-compose.access-server.yml down
sudo docker-compose -f docker-compose.access-server.yml up -d

Пример перезапуска компонента RDP Proxy

sudo docker compose -f docker-compose.access-server.yml up -d Pam.RdpProxy.Service --force-recreate

или

sudo docker-compose -f docker-compose.access-server.yml up -d Pam.RdpProxy.Service --force-recreate

Пример перезапуска компонента SSH Proxy

sudo docker compose -f docker-compose.access-server.yml up -d Pam.SshProxy.Service --force-recreate

или

sudo docker-compose -f docker-compose.access-server.yml up -d Pam.SshProxy.Service --force-recreate