O agente de infraestrutura para ambientes Linux pode ser executado como usuário raiz, com privilégios ou sem privilégios, conforme descrito abaixo:
Modo
Visão geral
Raiz
Instalado por padrão. Executa como root e tem acesso total a todas as métricas e inventário do sistema.
Privilegiado
É executado como um usuário sem privilégios chamado nri-agent, criado automaticamente durante o processo de instalação.
O usuário normal não possui READ acesso a todas as métricas do sistema, portanto o agente não poderá reportar todas as métricas do modo root. No entanto, o modo privilegiado pode coletar mais métricas do que o modo não privilegiado, incluindo a maior parte do inventário. Isso ocorre porque no momento da instalação, o executável /usr/bin/newrelic-infra recebe recursos de kernelCAP_SYS_PTRACE e CAP_DAC_READ_SEARCH.
Sem privilégios
É executado como um usuário sem privilégios chamado nri-agent, criado automaticamente durante o processo de instalação.
Este modo é o mais restrito. O usuário normal não possui READ acesso a todas as métricas do sistema, portanto o agente não poderá reportar todas as métricas dos modos root ou privilegiado.
Métrica e inventário fornecidos
O agente fornece diferentes métricas e inventário dependendo do modo de execução:
Inventário SELinux: depende do comando semodule, que requer acesso root.
Métrica do processo Docker : Não estão habilitadas por padrão. No entanto, você pode ativá-los manualmente concedendo direitos de acesso ao usuário nri-agent .
Sem privilégios
Todos os valores do modo privilegiado, exceto:
Process samples não informe essas métricas:
Contagem de descritores de arquivo
I/O lê bytes por segundo
Contagem de leituras de I/O por segundo
Total de bytes lidos de I/O
Contagem total de leituras de I/O
Total de bytes de gravação de I/O
Contagem total de gravações de I/O
Bytes de gravação de I/O por segundo
Contagem de gravação de I/O por segundo
Os seguintes inventory sources não são relatados:
config/sshd
kernel/sysctl
packages/rpm
packages/dpkg
services/pidfile em distribuições baseadas em SysV
Execute integração
Como root, a integração funcionará normalmente. Ao rodar como usuário privilegiado ou não privilegiado, a integração será executada corretamente, embora alguma integração personalizada (por exemplo, construída por clientes ou pessoal técnico de vendas) que dependa de acesso root possa necessitar de configuração adicional.
Em geral, a integração no host será executada com o agente não raiz, desde que nri-agent tenha permissões nos arquivos de cache de integração.
O caminho padrão onde os arquivos de cache de integração são armazenados é /tmp. Para alterar o caminho, defina a variável de ambiente NRIA_CACHE_PATH. Nessa situação, use as instruções a seguir para destinar a pasta do caminho do cache fornecida em vez de /tmp.
Se sua integração personalizada não exigir privilégios de root, ela será compatível com o modo sem root. Para executá-lo, basta alterar o owner:group do arquivo de cache conforme explicado acima.
Se sua integração precisar ser executada com um usuário privilegiado, você poderá usar o argumento integration_user na integração de configuração.
Defina o modo de execução do seu agente
Dica
Ao decidir qual modo de execução usar, considere a quantidade de dados que você deseja coletar e analisar ou a quantidade de dados que deseja restringir.
Para instalação padrão e assistida, você pode definir o modo de execução incluindo a variável de ambiente NRIA_MODE definida como ROOT, PRIVILEGED ou UNPRIVILEGED.
Para instalação manual, siga as instruções descritas em nossa documentação.
Alternar modos de execução
Para alternar o modo de execução from root to privileged or unprivileged, siga as instruções de instalação/atualização neste documento.
Para alterar o modo de execução from privileged or unprivileged to any other mode:
Siga esses passos:
Debian/Ubuntu
bash
$
dpkg --purge newrelic-infra
OU
bash
$
sudoapt-get remove --purge newrelic-infra
Centos/Suse/RedHat/Amazon
bash
$
rpm-e newrelic-infra
OU
bash
$
sudo yum remove newrelic-infra
OU
bash
$
sudozypperrm newrelic-infra
Depois de certificar-se de que o agente foi completamente removido, reinstale o agente com o modo selecionado.