Microsoft AKS-Cluster verbinden

Prozedur

1. Navigieren Sie zu Cloud Security → Container Security → Inventory/Overview.
2. Wählen Sie den Knoten Kubernetes in der Hierarchie aus.
3. Klicken Sie auf Add Cluster.
   Das Fenster Protect Cluster wird angezeigt.
4. Geben Sie einen eindeutigen Namen für den Cluster ein.

   Hinweis Clusternamen dürfen keine Leerzeichen enthalten und unterstützen nur alphanumerische Zeichen, Unterstriche (_) und Punkte (.). Sie können den Clusternamen nach der Erstellung des Clusters nicht ändern.

5. Wenn Sie weitere Details zum Zweck des Clusters angeben möchten, verwenden Sie das Feld Beschreibung.
6. Wenn Sie möchten, dass Container Security Daten an Cloud Risk Management sendet und CREM Risk Insights empfängt, wählen Sie Map to cloud account.
   1. Wählen Sie im Dropdown-Menü Azure aus.
   2. Öffnen Sie in einem anderen Browser-Tab die Azure-Anmeldung für das Konto, das den Cluster hostet.
   3. Navigieren Sie zum Kubernetes services.
   4. Klicken Sie auf den Clusternamen, den Sie mit Container Security schützen möchten.
   5. Klicken Sie auf Eigenschaften und kopieren Sie den Resource ID-Wert für den Cluster.
   6. Zurück im Container Security Protect Cluster-Bildschirm, fügen Sie den Wert in das Feld Resource ID ein.
7. Wenn Sie bereits eine Richtlinie erstellt haben, die Sie zum Schutz des Kubernetes-Clusters verwenden möchten, wählen Sie den Richtliniennamen aus der Dropdown-Liste Richtlinie aus.
   Sie können eine Kubernetes-Richtlinie erstellen und die Richtlinie nach dem Verbinden des Clusters zuweisen.
8. Um sicherzustellen, dass Container Security keine der folgenden Kubernetes-Managementsysteme beeinträchtigt, wählen Sie die Systeme im Dropdown-Menü Namespace Exclusions aus.
   • Calico System
   • Istio System
   • Kube System
   • OpenShift
9. Wenn Ihr Cluster einen Proxy-Server benötigt, aktivieren Sie Use Proxy und konfigurieren Sie die folgenden Einstellungen:
   • Protokoll: Wählen Sie HTTP oder SOCKS5.
   • Proxy address: Geben Sie die IP-Adresse des Proxy-Servers an.
   • Port: Geben Sie die Portnummer des Proxy-Servers an.
   • Require authentication credentials: Wählen und geben Sie den Konto und Kennwort des Proxy-Servers an.
   • Use self-signed certificate: Wählen Sie aus Host file, Secret oder ConfigMap und geben Sie dann die Zertifikatsinformationen ein.
10. Wenn Sie bereits wissen, welche Sicherheitsfunktionen Sie im Cluster aktivieren möchten, aktivieren Sie die gewünschten Funktionen.
    • Runtime Security: Bietet Einblick in jede Aktivität Ihrer laufenden Container, die gegen eine anpassbare Reihe von Regeln verstößt.
    • Runtime Vulnerability Scanning: Bietet Einblick in Betriebssystem- und Open-Source-Code-Schwachstellen, die Teil von Containern sind, die in Clustern ausgeführt werden.
    • Runtime Malware Scanning: Bietet Erkennung von Malware in Ihren laufenden Containern, sodass Sie Malware-Bedrohungen identifizieren und darauf reagieren können, die nach der Bereitstellung eingeführt wurden.
11. Klicken Sie auf Weiter.
    Die Informationen des Helm-Bereitstellungsskripts werden auf dem Bildschirm angezeigt.
12. Für Benutzer, die zum ersten Mal Container Security-Schutz im Cluster bereitstellen:
    1. Um die Konfigurationseigenschaften von Container Security in Ihrem Kubernetes-Cluster zu definieren, erstellen Sie eine YAML-Datei (zum Beispiel: overrides.yaml) und kopieren Sie den Inhalt des ersten Eingabefelds in die Datei.

       Warnung Die YAML-Datei enthält einen eindeutigen API-Schlüssel, der erforderlich ist, um den angegebenen Cluster mit Container Security zu verbinden. Der API-Schlüssel wird nur einmal angezeigt und Sie sollten eine Kopie für zukünftige Upgrades erstellen. Trend Micro kann den API-Schlüssel nicht erneut abrufen, sobald Sie den Bildschirm schließen.

    2. Um die automatische Clusterregistrierung zu aktivieren, erstellen Sie einen API-Schlüssel und geben Sie true für clusterRegistrationKey ein, wie im folgenden Beispiel gezeigt.

       Hinweis Sie können den Schutz des Clusters konfigurieren, indem Sie clusterName, clusterNamePrefix, policyId, groupId im Abschnitt policyOperator angeben.

       Beispieldatei überschreiben:

       visionOne:
           clusterRegistrationKey: true
           endpoint: https://api.xdr.trendmicro.com/external/v2/direct/vcs/external/vcs
           exclusion: 
               namespaces: [kube-system]
           inventoryCollection:
               enabled: true
           complianceScan:
               enabled: false
           policyOperator:
               clusterName: xxxx (optional. A random name will be used if not specified)
               clusterNamePrefix: xxxx (optional)
               policyId: xxxx (optional)
               groupId: xxxx (required)

    3. Kopieren Sie das gesamte helm install-Skript in das zweite Eingabefeld und führen Sie das Helm-Skript auf Ihrem Cluster aus.

       Hinweis Ändern Sie den --values overrides.yaml \-Parameter, um den relativen Pfad zu dem overrides.yaml zu verwenden, den Sie im vorherigen Schritt gespeichert haben.

13. Für Benutzer, die eine bestehende Bereitstellung aktualisieren, kopieren Sie das gesamte helm get values --namespace trendmicro-system trendmicro | helm upgrade \-Skript in das letzte Eingabefeld und führen Sie das Helm-Skript auf Ihrem Cluster aus.

    Hinweis In Zukunft können Sie die Helm-Bereitstellung aktualisieren, ohne Änderungen zu überschreiben, indem Sie das Helm-Argument verwenden: --reuse-values.