Ansichten:

Container Security unterstützt den Schutz von verbundenen Alibaba Cloud ACK-Containern.

Wichtig
Wichtig

Prozedur

  1. Navigieren Sie zu Cloud SecurityContainer SecurityInventory/Overview.
  2. Wählen Sie den Knoten Kubernetes in der Hierarchie aus.
  3. Klicken Sie auf Deploy protection to a Kubernetes cluster oder Add Cluster, wenn Sie bereits Cluster bereitgestellt haben.
    Das Fenster Protect Cluster wird angezeigt.
  4. Geben Sie einen eindeutigen Namen für den Cluster ein.
    Hinweis
    Hinweis
    • Clusternamen dürfen keine Leerzeichen enthalten und unterstützen nur alphanumerische Zeichen, Unterstriche (_) und Punkte (.).
    • Sie können den Clusternamen nach der Erstellung des Clusters nicht ändern.
  5. Wenn Sie weitere Details zum Zweck des Clusters angeben möchten, verwenden Sie das Feld Beschreibung.
  6. Wenn Sie möchten, dass Container Security Daten an Cloud Risk Management sendet und CREM Risk Insights empfängt, wählen Sie Map to cloud account.
    1. Wählen Sie im Dropdown-Menü Alibaba Cloud aus.
    2. Öffnen Sie in einem anderen Browser-Tab die Alibaba Cloud und melden Sie sich bei dem Konto an, das den Cluster hostet.
    3. Kopieren Sie die Regions-ID, die Konto-ID und die Cluster-ID für den Cluster, den Sie schützen möchten, und geben Sie die entsprechenden Werte unter Map to cloud account ein.
  7. Wenn Sie bereits eine Richtlinie erstellt haben, die Sie zum Schutz des Kubernetes-Clusters verwenden möchten, wählen Sie den Richtliniennamen aus dem Dropdown-Menü Richtlinie aus.
    Sie können eine Kubernetes-Richtlinie erstellen und die Richtlinie nach dem Verbinden des Clusters zuweisen.
  8. Um sicherzustellen, dass Container Security keine der folgenden Kubernetes-Managementsysteme beeinträchtigt, wählen Sie die Systeme im Dropdown-Menü Namespace Exclusions aus.
  9. Wenn Ihr Cluster einen Proxy-Server benötigt, aktivieren Sie Use Proxy und konfigurieren Sie die folgenden Einstellungen:
    • Protokoll: Wählen Sie HTTP, HTTPS oder SOCKS5.
    • Proxy address: Geben Sie die IP-Adresse des Proxy-Servers an.
    • Port: Geben Sie die Portnummer des Proxy-Servers an.
    • Require authentication credentials: Wählen und geben Sie den Konto und Kennwort des Proxy-Servers an.
    • Use self-signed certificate: Wählen Sie aus Host file, Secret oder ConfigMap und geben Sie dann die Zertifikatsinformationen ein.
  10. Wenn Sie bereits wissen, welche Sicherheitsfunktionen Sie im Cluster aktivieren möchten, aktivieren Sie die gewünschten Funktionen.
    • Runtime Security: Bietet Einblick in alle Aktivitäten Ihrer laufenden Container, die gegen eine anpassbare Regelmenge verstoßen.
    • Runtime Vulnerability Scanning: Bietet Einblick in Betriebssystem- und Open-Source-Code-Schwachstellen, die Teil von Containern sind, die in Clustern ausgeführt werden.
    • Runtime Malware Scanning: Bietet Erkennung von Malware in Ihren laufenden Containern, sodass Sie Malware-Bedrohungen identifizieren und darauf reagieren können, die nach der Bereitstellung eingeführt wurden.
  11. Klicken Sie auf Weiter.
    Die Informationen des Helm-Bereitstellungsskripts werden auf dem Bildschirm angezeigt.
  12. Für Benutzer, die zum ersten Mal Container Security-Schutz im Cluster bereitstellen:
    1. Um die Konfigurationseigenschaften von Container Security in Ihrem Kubernetes-Cluster zu definieren, erstellen Sie eine YAML-Datei (zum Beispiel: overrides.yaml) und kopieren Sie den Inhalt des ersten Eingabefelds in die Datei.
      Warnung
      Warnung
      Die YAML-Datei enthält einen eindeutigen API-Schlüssel, der erforderlich ist, um den angegebenen Cluster mit Container Security zu verbinden. Der API-Schlüssel wird nur einmal angezeigt und Sie sollten eine Kopie für zukünftige Upgrades erstellen. Trend Micro kann den API-Schlüssel nicht erneut abrufen, sobald Sie den Bildschirm schließen.
    2. Um die automatische Clusterregistrierung zu aktivieren, erstellen Sie einen API-Schlüssel und geben Sie true für clusterRegistrationKey ein, wie im folgenden Beispiel gezeigt.
      Hinweis
      Hinweis
      Sie können den Schutz des Clusters konfigurieren, indem Sie clusterName, clusterNamePrefix, policyId, groupId im Abschnitt policyOperator angeben.
      Beispieldatei überschreiben: 
      visionOne:
    clusterRegistrationKey: true
    endpoint: https://api.xdr.trendmicro.com/external/v2/direct/vcs/external/vcs
    exclusion: 
        namespaces: [kube-system]
    inventoryCollection:
        enabled: true
    complianceScan:
        enabled: false
    policyOperator:
        clusterName: xxxx (optional. A random name will be used if not specified)
        clusterNamePrefix: xxxx (optional)
        policyId: xxxx (optional)
        groupId: xxxx (required)
    3. Kopieren Sie das gesamte helm install-Skript in das zweite Eingabefeld und führen Sie das Helm-Skript auf Ihrem Cluster aus.
      Hinweis
      Hinweis
      Ändern Sie den --values overrides.yaml \-Parameter, um den relativen Pfad zu dem overrides.yaml zu verwenden, den Sie im vorherigen Schritt gespeichert haben.
  13. Für Benutzer, die eine bestehende Bereitstellung aktualisieren, kopieren Sie das gesamte helm get values --namespace trendmicro-system trendmicro | helm upgrade \-Skript in das letzte Eingabefeld und führen Sie das Helm-Skript auf Ihrem Cluster aus.
    Hinweis
    Hinweis
    In Zukunft können Sie die Helm-Bereitstellung aktualisieren, ohne Änderungen zu überschreiben, indem Sie das Helm-Argument verwenden:
    --reuse-values.