准备安装环境中需要的依赖。
准备基础镜像
- 登录准备安装ICS-Manager的设备环境。
- 执行以下命令,获取基础镜像。
docker pull ubuntu:22.04
手动删除该镜像会导致容器无法正常拉起。
准备开源系统
- 对于用户集成的开源和第三方软件,漏洞和问题请自行跟踪社区并及时进行修复;可以并且不限于通过CVE(通用漏洞字典)官网确认对应开源软件版本的已知漏洞,并通过版本升级、使用patch补丁包更新等方式修复。
- 开源软件和第三方软件存在支持不安全的密码算法套件(如含CBC对称密码算法的加密套件等)、支持TLS1.0、TLS1.1等不安全协议、服务存在全零侦听等不安全项,请用户使用之前进行严格的安全加固,并且修复相关问题。
环境中需要安装以下开源系统:
- Docker版本18.09,具体安装操作请参见Docker官网。
- K8s版本1.19.16,具体安装操作请参见Kubernetes官网。
准备命令依赖
环境中需要存在以下依赖。
对于用户集成的开源和第三方依赖软件,漏洞和问题请自行跟踪社区并及时进行修复;建议通过版本升级、使用patch补丁包更新等方式修复。
依赖 |
说明 |
检查安装需要的命令依赖 |
|---|---|---|
sh |
用于执行sh命令。 |
系统自带命令。若损坏则需手动更换二进制文件,确保该命令可用。 |
cp |
命令主要用于复制文件或目录。 |
系统自带命令。若损坏则需手动更换二进制文件,确保该命令可用。 |
uname |
命令用于显示系统信息。 |
通过执行uname命令进行确认,如果uname命令存在表示已安装uname,无需再安装。 |
cut |
命令截取文件内容。 |
通过执行cut命令进行确认,如果cut命令存在表示已安装cut,无需再安装。 |
sed |
命令用于替换、删除,更新文件中的内容。 |
通过执行sed命令进行确认,如果sed命令存在表示已安装sed,无需再安装。 |
grep |
命令用于查找文件里符合条件的字符串。 |
通过执行grep命令进行确认,如果grep命令存在表示已安装grep,无需再安装。 |
useradd |
命令用于建立用户帐号。 |
通过执行useradd命令进行确认,如果useradd命令存在表示已安装useradd,无需再安装。 |
(可选)haveged |
KMC(key management CBB)加密依赖随机数,为防止随机数耗尽,推荐安装haveged。 |
通过执行ps -axu | grep haveged命令进行确认,如果回显中存在havaged,表示已安装,无需再安装。 |
- 以root用户登录准备安装ICS-Manager的设备环境。
- 修改用户创建inotify实例和观察的最大数量。
sysctl fs.inotify.max_user_instances=12800 sysctl fs.inotify.max_user_watches=6553600
- inotify是Linux内核提供的一种文件系统监管机制,可以监管文件或目录的变化并触发相应的事件。
- “fs.inotify.max_user_instances”是Linux内核参数,用于限制每个用户能够创建的inotify实例的数量,默认值为128。
- “fs.inotify.max_user_watches”是Linux系统内核参数,用于限制一个用户能够监视的文件或目录的数量,默认值为8192。
- 参数具体大小请用户根据实际情况进行配置。