Google GKE-Cluster verbinden | Trend Micro Service Central

Ansichten:

Container Security unterstützt den Schutz von verbundenen Google GKE-Containern.

Wichtig

Stellen Sie sicher, dass Ihre Kubernetes-Umgebungen die notwendigen Anforderungen für Container Security erfüllen.
Für Benutzer, die das Isolieren Container-Aufgabe verwenden möchten, müssen Sie sicherstellen, dass Ihr Cluster die Calico-Netzwerkrichtlinie implementiert.

Prozedur

Navigieren Sie zu Cloud Security → Container Security → Inventory/Overview.
Wählen Sie den Knoten Kubernetes in der Hierarchie aus.
Klicken Sie auf Add Cluster.

Das Fenster Protect Cluster wird angezeigt.

Geben Sie einen eindeutigen Namen für den Cluster ein.

Hinweis

Clusternamen dürfen keine Leerzeichen enthalten und unterstützen nur alphanumerische Zeichen, Unterstriche (_) und Punkte (.).
Sie können den Clusternamen nach der Erstellung des Clusters nicht ändern.

Wenn Sie weitere Details zum Zweck des Clusters angeben möchten, verwenden Sie das Feld Beschreibung.
Wenn Sie möchten, dass Container Security Daten an Cloud Risk Management sendet und CREM Risk Insights empfängt, wählen Sie Map to cloud account.
1. Wählen Sie im Dropdown-Menü GCP aus.
2. Öffnen Sie in einem anderen Browser-Tab das Google Cloud-Konto, das den Cluster hostet, und kopieren Sie die folgenden Werte in den Container Security - Protect Cluster-Bildschirm.
  - Project ID: Gehen Sie zu {project_id} und kopieren Sie das Project ID.
  - GCP "Cluster region": Gehen Sie zu Kubernetes Engine → Clusters → {your_cluster} und kopieren Sie die Cluster region.
  - GCP "Cluster name": Gehen Sie zu Kubernetes Engine → Clusters → {your_cluster} und kopieren Sie die Cluster name.
Wenn Sie bereits eine Richtlinie erstellt haben, die Sie zum Schutz des Kubernetes-Clusters verwenden möchten, wählen Sie den Richtliniennamen aus der Richtlinie-Dropdown-Liste aus.

Sie können eine Kubernetes-Richtlinie erstellen und die Richtlinie nach dem Verbinden des Clusters zuweisen.
Um sicherzustellen, dass Container Security keine der folgenden Kubernetes-Managementsysteme beeinträchtigt, wählen Sie die Systeme im Namespace Exclusions-Dropdown-Menü aus.
- Calico System
- Istio System
- Kube System
- OpenShift
Wenn Ihr Cluster einen Proxy-Server benötigt, aktivieren Sie Use Proxy und konfigurieren Sie die folgenden Einstellungen:
- Protokoll: Wählen Sie HTTP, HTTPS oder SOCKS5.
- Proxy address: Geben Sie die IP-Adresse des Proxy-Servers an.
- Port: Geben Sie die Portnummer des Proxy-Servers an.
- Require authentication credentials: Wählen und geben Sie den Konto und Kennwort des Proxy-Servers an.
- Use self-signed certificate: Wählen Sie aus Host file, Secret oder ConfigMap und geben Sie dann die Zertifikatsinformationen ein.
Wenn Sie bereits wissen, welche Sicherheitsfunktionen Sie im Cluster aktivieren möchten, aktivieren Sie die gewünschten Funktionen.
- Runtime Security: Bietet Einblick in alle Aktivitäten Ihrer laufenden Container, die gegen eine anpassbare Regelmenge verstoßen.
- Runtime Vulnerability Scanning: Bietet Einblick in Betriebssystem- und Open-Source-Code-Schwachstellen, die Teil von Containern sind, die in Clustern ausgeführt werden.
- Runtime Malware Scanning: Bietet Erkennung von Malware in Ihren laufenden Containern, sodass Sie Malware-Bedrohungen identifizieren und darauf reagieren können, die nach der Bereitstellung eingeführt wurden.
Klicken Sie auf Weiter.

Die Informationen des Helm-Bereitstellungsskripts werden auf dem Bildschirm angezeigt.

Für Benutzer, die zum ersten Mal Container Security-Schutz bereitstellen:

Um die Konfigurationseigenschaften von Container Security in Ihrem Kubernetes-Cluster zu definieren, erstellen Sie eine YAML-Datei (zum Beispiel: overrides.yaml) und kopieren Sie den Inhalt des ersten Eingabefelds in die Datei.

Warnung

Die YAML-Datei enthält einen eindeutigen API-Schlüssel, der erforderlich ist, um den angegebenen Cluster mit Container Security zu verbinden. Der API-Schlüssel wird nur einmal angezeigt und Sie sollten eine Kopie für zukünftige Upgrades erstellen. Trend Micro kann den API-Schlüssel nicht erneut abrufen, sobald Sie den Bildschirm schließen.

Um die automatisierte Clusterregistrierung zu aktivieren, erstellen Sie einen API-Schlüssel und geben Sie true für clusterRegistrationKey ein, wie im folgenden Beispiel gezeigt.

Hinweis

Sie können den Schutz des Clusters konfigurieren, indem Sie clusterName, clusterNamePrefix, policyId, groupId im Abschnitt policyOperator angeben.

Beispieldatei überschreiben:

visionOne:
    clusterRegistrationKey: true
    endpoint: https://api.xdr.trendmicro.com/external/v2/direct/vcs/external/vcs
    exclusion: 
        namespaces: [kube-system]
    inventoryCollection:
        enabled: true
    complianceScan:
        enabled: false
    policyOperator:
        clusterName: xxxx (optional. A random name will be used if not specified)
        clusterNamePrefix: xxxx (optional)
        policyId: xxxx (optional)
        groupId: xxxx (required)

Kopieren Sie das gesamte helm install-Skript in das zweite Eingabefeld.
Fügen Sie das helm install-Skript in einen Editor ein und ändern Sie Folgendes:
- --values overrides.yaml \ - Verwenden Sie den relativen Pfad zu der overrides.yaml, die Sie im vorherigen Schritt gespeichert haben.
- exclusion: > namespaces- Stellen Sie sicher, dass Sie die folgenden Ausschlüsse zur Liste hinzufügen: kube-system, gmp-system, autoneg-system

Für Benutzer, die eine bestehende Bereitstellung aktualisieren, kopieren Sie das gesamte helm get values --namespace trendmicro-system trendmicro | helm upgrade \-Skript in das letzte Eingabefeld und führen Sie das Helm-Skript auf Ihrem Cluster aus.

Hinweis

In Zukunft können Sie die Helm-Bereitstellung aktualisieren, ohne Änderungen zu überschreiben, indem Sie das Helm-Argument verwenden:

--reuse-values.