newrelic/infrastructure-fips

New Relic Infrastructure FIPS 镜像文档

1. 镜像概述和主要用途

1.1 镜像概述

New Relic Infrastructure FIPS 镜像是 New Relic 官方提供的符合 FIPS 140-2/3 加密标准的基础设施监控代理容器化版本。该镜像集成了经 FIPS 认证的加密模块，用于在需满足严格安全合规要求的环境中采集、加密并传输基础设施指标至 New Relic 平台。

1.2 主要用途

• 监控物理机、虚拟机、容器（Docker/Kubernetes）及云实例的系统指标（CPU、内存、磁盘、网络等）、进程状态及服务健康度。
• 在***、***、***等需严格合规的行业场景中，提供符合 FIPS 140-2/3 标准的数据加密传输能力，确保监控数据在采集、存储和传输过程中的安全性合规。
• 与 New Relic 平台无缝集成，支持可视化分析、告警配置及性能优化决策。

2. 核心功能和特性

3. 使用场景和适用范围

3.1 适用场景

• *****/*行业：需满足 PCI DSS、HIPAA 等合规要求的基础设施监控。
• ***/公共部门：需符合 FIPS 140-2/3 加密标准的政务云或私有部署环境。
• 企业内部合规：对数据加密有强制要求的企业私有云、混合云环境。

3.2 环境要求

• 宿主机操作系统：已启用 FIPS 模式的 Linux（如 RHEL/CentOS 8+、Ubuntu 20.04+ FIPS 版本）。
• 容器运行时：Docker 20.10+ 或兼容的 OCI 运行时（如 containerd）。
• 网络：容器需访问 New Relic 终端节点（https://infra-api.newrelic.com、https://log-api.newrelic.com）。

4. 使用方法和配置说明

4.1 前置条件

• 拥有 New Relic 账号及有效的 Ingest - License 密钥（可从 New Relic 控制台 Account settings > API keys 获取）。
• 宿主机已启用 FIPS 模式（验证方法：执行 cat /proc/sys/crypto/fips_enabled，返回 1 表示已启用）。

4.2 快速启动（Docker Run）

通过 docker run 命令直接部署，核心配置通过环境变量注入：

bash
docker run -d \
  --name newrelic-infra-fips \
  --privileged \
  --pid=host \
  -v /:/host:ro \
  -v /var/run/docker.sock:/var/run/docker.sock:ro \
  -e NRIA_LICENSE_KEY=<YOUR_INGEST_LICENSE_KEY> \
  -e NRIA_HOSTNAME=<CUSTOM_HOSTNAME> \
  -e NRIA_LOG_LEVEL=info \
  newrelic/infrastructure-fips:latest

参数说明：

• --privileged：启用特权模式，确保完整采集系统指标（FIPS 环境推荐）。
• --pid=host：共享主机 PID 命名空间，支持进程级监控。
• -v /:/host:ro：只读挂载主机根目录，用于采集系统级指标。
• -v /var/run/docker.sock:ro：只读挂载 Docker 套接字，用于采集容器指标。

4.3 Docker Compose 配置示例

适用于多容器环境统一管理，配置文件 docker-compose.yml 如下：

yaml
version: '3.8'
services:
  newrelic-infra-fips:
    image: newrelic/infrastructure-fips:latest
    container_name: newrelic-infra-fips
    restart: unless-stopped
    privileged: true
    pid: host
    volumes:
      - /:/host:ro
      - /var/run/docker.sock:/var/run/docker.sock:ro
      - ./newrelic-infra.yml:/etc/newrelic-infra.yml:ro  # 自定义配置文件（可选）
    environment:
      - NRIA_LICENSE_KEY=<YOUR_INGEST_LICENSE_KEY>  # 必需：New Relic 许可证密钥
      - NRIA_HOSTNAME=prod-fips-server-01           # 自定义主机名（New Relic 控制台显示）
      - NRIA_PROXY=http://proxy.example.com:8080    # 可选：代理服务器地址
      - NRIA_POLL_INTERVAL=60s                      # 可选：指标采集间隔（默认 60s）

4.4 核心配置说明

4.4.1 环境变量参数

4.4.2 配置文件（newrelic-infra.yml）

如需更复杂配置（如指标过滤、自定义标签），可通过挂载配置文件实现。示例：

yaml
license_key: <YOUR_INGEST_LICENSE_KEY>
hostname: prod-fips-server-01
log:
  level: info
  file: /var/log/newrelic-infra/newrelic-infra.log  # 日志输出路径
tags:  # 自定义标签（用于 New Relic 控制台筛选）
  environment: production
  team: devops
  compliance: fips-140-3
metrics:
  exclude:  # 排除不需要的指标
    - system.cpu.idle
    - system.memory.free
container_collection:
  enabled: true  # 启用容器指标采集

5. 部署验证与故障排查

5.1 验证部署

1. 查看容器状态：

   bash
   docker ps | grep newrelic-infra-fips  # 确认容器运行中
   

2. 检查日志：

   bash
   docker logs newrelic-infra-fips  # 日志中出现 "Connected to New Relic" 表示连接成功
   

3. New Relic 控制台验证：
   登录 New Relic 控制台，导航至 Infrastructure > Hosts，搜索自定义主机名（如 prod-fips-server-01），确认实例状态为“活跃”。

5.2 常见故障排查

• 连接失败：检查网络连通性（telnet infra-api.newrelic.com 443）、许可证密钥正确性及代理配置。
• 指标缺失：确认挂载路径（/host、/var/run/docker.sock）是否正确，或尝试启用 --privileged 模式。
• FIPS 加密错误：确保宿主机已启用 FIPS 模式（/proc/sys/crypto/fips_enabled 返回 1），否则加密模块无法加载。

6. 注意事项

• 安全最佳实践：避免将许可证密钥硬编码至配置文件，建议通过容器平台 secrets 管理工具（如 Kubernetes Secrets）注入。
• 权限控制：生产环境中可替代 --privileged 模式，通过添加最小权限 Linux capabilities（如 CAP_SYS_PTRACE、CAP_DAC_READ_SEARCH）实现合规性与安全性平衡。
• 镜像更新：定期更新镜像至最新版本（newrelic/infrastructure-fips:latest）以获取 FIPS 加密模块安全补丁及功能优化。