機能の可用性
Fleet Control for Kubernetesクラスタは一般提供 (GA) されています。 ホスト上のエージェントの管理のサポートは現在パブリック プレビュー段階です。
サポートされているエージェントとその環境の完全なリストについては、エージェントのタイプの互換性に関するドキュメントを参照してください。
パブリック プレビュー機能は、弊社のプレリリース ポリシーに従って提供されます。
Fleet Control とその基盤となるコンポーネントである Agent Control は、多層セキュリティで設計されています。このページでは、主要なセキュリティ機能の概要を説明します。
重要: 保存データの保護
Kubernetes Secrets は base64 でのみエンコードされており、暗号化形式ではありません。秘密キーなどの機密情報を適切に保護するには、 Kubernetesクラスタの etcd データストアが保存時に暗号化されていることを確認することが重要です。
安全な接続と設定の整合性
転送中のデータを保護し、改ざんを防止するために、Fleet Control はすべての通信に複数の層のセキュリティを採用しています。
TLS 暗号化: Agent ControlとNew Relicバックエンド ( Fleet Controlエンドポイントを含む) 間のすべての通信は、安全な TLS 暗号化チャネル経由で送信されます。
暗号署名: TLS に加えて、 Fleet ControlからAgent Controlに配信されるすべての設定は、 New Relicによって暗号署名されます。 Agent Control 、設定を適用する前にこの署名を検証し、管理対象エンティティ上で本物の未変更の命令のみが実行されることを保証します。
認証と承認
Fleet Control は、安全で適切なアクセスを確保するために、さまざまなコンポーネントに個別の認証メカニズムを使用します。
Agent Control認証: Agent Controlコンポーネントは、キーペアとパスワード、またはクライアント ID とシークレットなどのシステム レベルの ID を使用して、 Fleet Controlバックエンドで認証を行います。 これにより、 Agent Controlの許可されたインスタンスのみが管理指示を受信できるようになります。
エージェント認証: Fleet Controlによる個々のエージェント デプロイ (インフラストラクチャ エージェントや OTel コレクターなど) は、標準のNew Relicライセンス キーを使用してNew Relicインジェスト エンドポイントで認証します。
ユーザー権限: Fleet Control UIおよびAPI内のすべてのユーザー アクションは、 New Relicのロールベースのアクセス制御によって管理されます。 フリートを作成または管理するには、ユーザーには組織管理者のロールまたは同等のフリート管理権限を持つカスタム ロールが必要です。
プロキシサポート
ネットワーク出力が制限されている環境では、 Agent Controlシステム レベルの HTTP および HTTPS プロキシを完全にサポートします。 ホスト上またはKubernetesクラスタ内で標準のHTTP_PROXYおよびHTTPS_PROXY環境変数を構成すると、 Agent Controlからのすべての送信通信は、指定されたプロキシを介して安全にルーティングされます。
パブリックリポジトリへのアクセス
インストールを簡素化し、セキュリティ上の摩擦を軽減するために、 Fleet Controlに必要なすべてのコンポーネントはパブリック リポジトリでホストされています。
Helm チャート: Agent Control をインストールおよび管理するための Helm チャートは、GitHub 上のパブリック New Relic リポジトリでホストされています。
コンテナー イメージ: Agent Controlとその管理対象エージェントのコンテナー イメージは、 Docker Hub でホストされます。