Das aktuelle Release von Nubus für Kubernetes verbessert die Observability: Ein neuer API-Endpunkt stellt Metriken für Operator-Dashboards bereit, und zusätzliche Informationen in der Management UI geben Operatoren und Administratoren einfachen Zugriff auf Informationen, die bei der Vermeidung oder Analyse von Incidents helfen.
Inhaltsverzeichnis
Univention Directory Manager Metrics
Die REST API des Univention Directory Managers (UDM) enthält jetzt einen neuen Endpunkt, der Metriken über die Nubus-Deployment bereitstellt. Die API wurde so entwickelt, dass sie optimal mit Prometheus zusammenarbeitet – der am häufigsten eingesetzten Lösung zum Sammeln und Speichern von Metriken sowie zur Bereitstellung für Dashboard-Lösungen wie Grafana.
Im initialen Release liefert der Metrics-Endpunkt der UDM REST API die folgenden Metriken:
- Anzahl registrierter Benutzer
- Anzahl lizenzierter Benutzer
- Nubus-Domainname und Domain-Identifier
- Detaillierte Informationen über das Nubus-Release, einschließlich Softwareversion, Patchlevel und Plattforminformationen (ob es auf Kubernetes oder UCS läuft)
Operatoren können einfach erkennen, wenn das Benutzerwachstum kritische Werte erreicht, Lizenzgrenzen überschreitet oder die installierte Nubus-Version veraltet ist. Dank der Domain-Informationen lassen sich außerdem mehrere Nubus-Deployments in größeren Umgebungen einfach voneinander unterscheiden. Detaillierte Informationen finden sich im Metrics-Kapitel des Nubus Manuals.
Detaillierte Backend-Informationen für alle Directory Objects
Bei der Analyse von Konfigurationsproblemen oder End-User-Incidents ist es häufig notwendig, auf technische Informationen aus den Backends zuzugreifen, beispielsweise auf den mit Nubus for Kubernetes 1.10 eingeführten Univention Object Identifier. Um Administratoren die Zuordnung zwischen Klarnamen und technischen Identifikatoren von Benutzern, Gruppen und anderen im Directory Service gespeicherten Informationen zu erleichtern, stellt Univention Nubus diese Identifier jetzt auch in der Web UI bereit.
Dies ist in mehreren Szenarien hilfreich: Wenn in einem Backend-Service eine Warnung oder Fehlermeldung mit einem technischen Identifier wie dem Univention Object Identifier protokolliert wird, können Administratoren jetzt direkt in der Web UI von Univention Nubus nach diesem Identifier suchen und einfach auf die vollständigen Informationen über den betroffenen Benutzer zugreifen. Meldet ein Benutzer ein Problem beim End-User-Helpdesk, können Administratoren die technischen Identifier nun einfach aus der Nubus Web UI abrufen und damit gezielt in Logmeldungen suchen.
Zusätzlich stehen weitere Informationen wie die LDAP DN sowie Zeitstempel und ausführende Akteure für Erstellung und letzte Änderung zur Verfügung, ebenso wie OpenLDAP-interne Informationen wie die entryUUID. Diese Informationen stehen für jedes im Directory Service gespeicherte Objekt sowohl in der Web UI als auch in der UDM REST API zur Verfügung. Da diese Informationen nicht für die tägliche Administration benötigt werden, befinden sich die UI-Elemente im Bereich „Advanced settings“ innerhalb eines neuen Abschnitts „Technical Information“.
Bits & Pieces
Wie bei jedem Release gibt es zahlreiche kleinere Änderungen. Besonders hervorzuheben ist die zunehmende Anzahl sicherheitsrelevanter Fixes, die wir für Upstream-Komponenten in Univention Nubus bereitstellen. Wir gehen davon aus, dass KI-basierte Analysen von Open-Source-Software auch Auswirkungen auf die in Nubus enthaltene Software haben, und verfolgen daher das Ziel, gepatchte Versionen möglichst schnell bereitzustellen – beispielsweise für kritische Findings in Keycloak, die bereits Teil des Patchlevel-Releases Nubus 1.19.1 waren. Dank der Infrastruktur, die wir zum Schutz vor Supply-Chain-Angriffen eingeführt haben, können wir diese Probleme schnell identifizieren und beheben.
Eine kostensparende Verbesserung für Betreiber größerer Deployments ist die neu eingeführte Konfigurationsoption für die beiden Datenvolumes der LDAP-Container-Images. Eines dieser Volumes speichert die LDAP-Datenbank mit allen gespeicherten Objekten und benötigt daher größeren und schnelleren Storage, während das andere lediglich Runtime-Daten speichert und nur ein kleines Volume mit durchschnittlicher Performance benötigt. In vorherigen Releases war es nicht möglich, unterschiedliche Storage-Klassen und Größen für diese Volumes zu konfigurieren, wodurch Runtime-Daten ebenfalls auf großem, schnellem und damit kostenintensivem Storage abgelegt wurden. Dank der neuen Konfigurationsoptionen ist es nun möglich, unterschiedliche Storage-Klassen auszuwählen und dadurch Kosten zu reduzieren.
Wie immer enthalten die Release Notes alle Details, und die Installation ist im Nubus Operations Manual beschrieben.
