Google GKE-Cluster verbinden

Prozedur

1. Navigieren Sie zu Cloud Security → Container Security → Inventory/Overview.
2. Wählen Sie den Knoten Kubernetes in der Hierarchie aus.
3. Klicken Sie auf Add Cluster.
   Das Fenster Protect Cluster wird angezeigt.
4. Geben Sie einen eindeutigen Namen für den Cluster ein.

   Hinweis Clusternamen dürfen keine Leerzeichen enthalten und unterstützen nur alphanumerische Zeichen, Unterstriche (_) und Punkte (.). Sie können den Clusternamen nach der Erstellung des Clusters nicht mehr ändern.

5. Wenn Sie weitere Details zum Zweck des Clusters angeben möchten, verwenden Sie das Feld Beschreibung.
6. Wenn Sie möchten, dass Container Security Daten an Cloud Risk Management sendet und CREM Risk Insights empfängt, wählen Sie Map to cloud account.
   1. Wählen Sie im Dropdown-Menü GCP aus.
   2. Öffnen Sie in einem anderen Browser-Tab das Google Cloud-Konto, das den Cluster hostet, und kopieren Sie die folgenden Werte in den Container Security - Protect Cluster-Bildschirm.
      • Project ID: Gehen Sie zu {project_id} und kopieren Sie die Project ID.
      • GCP "Cluster region": Gehen Sie zu Kubernetes Engine → Clusters → {your_cluster} und kopieren Sie das Cluster region.
      • GCP "Cluster name": Gehen Sie zu Kubernetes Engine → Clusters → {your_cluster} und kopieren Sie die Cluster name.
7. Wenn Sie bereits eine Richtlinie erstellt haben, die Sie zum Schutz des Kubernetes-Clusters verwenden möchten, wählen Sie den Richtliniennamen aus dem Dropdown-Menü Richtlinie aus.
   Sie können eine Kubernetes-Richtlinie erstellen und die Richtlinie nach dem Verbinden des Clusters zuweisen.
8. Um sicherzustellen, dass Container Security keine der folgenden Kubernetes-Managementsysteme beeinträchtigt, wählen Sie die Systeme im Dropdown-Menü Namespace Exclusions aus.
   • Calico System
   • Istio System
   • Kube System
   • OpenShift*
   • GKE System*

   Hinweis Optionen mit einem Sternchen (*) repräsentieren Sätze verwandter Namensräume. Weitere Informationen finden Sie unter Gruppierte Namespaces.

9. Wenn Ihr Cluster einen Proxy-Server benötigt, aktivieren Sie Use Proxy und konfigurieren Sie die folgenden Einstellungen:
   • Protokoll: Wählen Sie HTTP, HTTPS oder SOCKS5.
   • Proxy address: Geben Sie die IP-Adresse des Proxy-Servers an.
   • Port: Geben Sie die Portnummer des Proxy-Servers an.
   • Require authentication credentials: Wählen und geben Sie den Konto und Kennwort des Proxy-Servers an.
   • Use self-signed certificate: Wählen Sie aus Host file, Secret oder ConfigMap und geben Sie dann die Zertifikatsinformationen ein.
10. Wenn Sie bereits wissen, welche Sicherheitsfunktionen Sie im Cluster aktivieren möchten, aktivieren Sie die gewünschten Funktionen.
    • Runtime Security: Bietet Einblick in alle Aktivitäten Ihrer laufenden Container, die gegen eine anpassbare Regelmenge verstoßen.
    • Runtime Vulnerability Scanning: Bietet Einblick in Betriebssystem- und Open-Source-Code-Schwachstellen, die Teil von Containern sind, die in Clustern ausgeführt werden.
    • Runtime Malware Scanning: Bietet Erkennung von Malware in Ihren laufenden Containern, sodass Sie Malware-Bedrohungen identifizieren und darauf reagieren können, die nach der Bereitstellung eingeführt wurden.
11. Klicken Sie auf Weiter.
    Die Informationen des Helm-Bereitstellungsskripts werden auf dem Bildschirm angezeigt.
12. Für Benutzer, die zum ersten Mal Container Security-Schutz im Cluster bereitstellen:
    1. Um die Konfigurationseigenschaften von Container Security in Ihrem Kubernetes-Cluster zu definieren, erstellen Sie eine YAML-Datei (zum Beispiel: overrides.yaml) und kopieren Sie den Inhalt des ersten Eingabefelds in die Datei.

       Warnung Die YAML-Datei enthält einen einzigartigen API-Schlüssel, der erforderlich ist, um den angegebenen Cluster mit Container Security zu verbinden. Der API-Schlüssel erscheint nur einmal und Sie sollten eine Kopie für zukünftige Aktualisierungen erstellen. Trend Micro kann den API-Schlüssel nicht erneut abrufen, sobald Sie den Bildschirm schließen.

    2. Um die automatisierte Clusterregistrierung zu aktivieren, erstellen Sie einen API-Schlüssel und geben Sie true für clusterRegistrationKey ein, wie im folgenden Beispiel gezeigt.

       Hinweis Sie können den Schutz des Clusters konfigurieren, indem Sie clusterName, clusterNamePrefix, policyId, groupId im Abschnitt policyOperator angeben.

       Beispieldatei überschreiben:

       visionOne:
           clusterRegistrationKey: true
           endpoint: https://api.xdr.trendmicro.com/external/v2/direct/vcs/external/vcs
           exclusion: 
               namespaces: [kube-system]
           inventoryCollection:
               enabled: true
           complianceScan:
               enabled: false
           policyOperator:
               clusterName: xxxx (optional. A random name will be used if not specified)
               clusterNamePrefix: xxxx (optional)
               policyId: xxxx (optional)
               groupId: xxxx (required)

    3. Kopieren Sie das gesamte helm install-Skript in das zweite Eingabefeld.

       Wichtig

    4. Fügen Sie das helm install-Skript in einen Editor ein und ändern Sie Folgendes:
       • --values overrides.yaml \ - Verwenden Sie den relativen Pfad zu overrides.yaml, den Sie im vorherigen Schritt gespeichert haben.
       • exclusion: > namespaces- Stellen Sie sicher, dass Sie die folgenden Ausschlüsse zur Liste hinzufügen: kube-system, gmp-system, autoneg-system
13. Für Benutzer, die eine bestehende Bereitstellung aktualisieren, kopieren Sie das gesamte helm get values --namespace trendmicro-system trendmicro | helm upgrade \-Skript in das letzte Eingabefeld und führen Sie das Helm-Skript auf Ihrem Cluster aus.

    Hinweis In Zukunft können Sie die Helm-Bereitstellung aktualisieren, ohne Änderungen zu überschreiben, indem Sie das Helm-Argument verwenden: --reuse-values.