Ansichten:
Der Container Security Operator ist eine Methode zum Bereitstellen und Verwalten der Trend Vision One Container Security-Anwendung, ähnlich wie das Helm-Chart. Erfahren Sie mehr über Helm Chart.
Der Operator läuft auf der OpenShift-Containerplattform, um die Container Security-Anwendung bereitzustellen und zu verwalten. Der Operator installiert automatisch das Helm-Chart und überprüft auf neue Updates, sobald diese veröffentlicht werden. Verwenden Sie die folgenden Schritte, um den Operator aus dem OpenShift Operator Hub zu installieren.

Registrieren Sie Ihren Cluster bei Container Security

Automatically register
Sie können Cluster so konfigurieren, dass sie automatisch registriert werden, wenn Container Security installiert ist.
Verwenden Sie die folgenden Schritte, um mehrere Cluster automatisch für Container Security mit einem Trend Vision One API-Schlüssel zu registrieren.
  1. Von der Trend Vision One-Konsole navigieren Sie zu Cloud SecurityContainer Security.
  2. Erstellen Sie einen Trend Vision One API-Schlüssel mit einer Rolle, die nur die Berechtigung "Cluster automatisch registrieren" enthält.
    Weitere Informationen hierzu finden Sie unter Einen API-Schlüssel für die automatisierte Clusterregistrierung erhalten.
  3. Speichern Sie den Trend Vision One API-Schlüssel als Geheimnis mit dem Namen trendmicro-container-security-registration-key und dem Schlüssel registration.key im trendmicro-system-Namespace.
Manually register
Erstellen Sie einen Cluster in der Trend Vision One-Konsole mit einem Bootstrap-Token.
  1. Von der Trend Vision One-Konsole navigieren Sie zu Cloud SecurityContainer Security.
  2. Klicken Sie auf + Add Cluster im Kubernetes-Bereich.
  3. Geben Sie dem Red Hat OpenShift-Cluster einen eindeutigen Namen.
  4. Kopieren Sie das Bootstrap-Token.
    Hinweis
    Hinweis
    Das Bootstrap-Token wird während des Installationsprozesses verwendet.

Installieren Sie den Operator

  1. Öffnen Sie die Web-Administrationskonsole des OpenShift-Clusters, indem Sie zu https://console-openshift-console.apps.<cluster-name>.<base-domain> gehen
    Hinweis
    Hinweis
    Verwenden Sie den folgenden Befehl, um die genaue URL der Webkonsole mit dem OpenShift CLI zu erhalten: 
    oc whoami --show-console
  2. Wählen Sie im linken Bereich der OpenShift-Admin-Konsole Operatoren aus und navigieren Sie dann zum OperatorHub.
  3. Von der OperatorHub-Seite aus suchen Sie im Suchfeld oben nach VisionOne. Klicken Sie auf Trend Vision OneTM Container Security, um den Operator-Informationsdialog zu öffnen.
  4. Klicken Sie auf Install.
    Hinweis
    Hinweis
    • Standardmäßig wählt der Operator den stable-Kanal mit der neuesten Version zur Installation aus. Sie können den Kanal auf alpha ändern, um eine Vorschauversion zu installieren.
    • Der Container Security Operator erfordert die Erstellung des trendmicro-system namespace für die Installation. Verwenden Sie den standardmäßigen, empfohlenen trendmicro-system-Namespace.
    • Wählen Sie Automatic für automatische Upgrades oder Manual für manuelle Upgrades, die eine Genehmigung für manuelles Update erfordern.
  5. Nach der Installation des Operators gehen Sie zu Operator anzeigen, um den Status des Operators zu sehen.
  6. Navigieren Sie im oberen Menü zu VisionOneContainerSecurity und klicken Sie auf Create VisionOneContainerSecurity, um das Formular zum Erstellen eines Operanden zu öffnen.
  7. Im Formular "Operand VisionOneContainerSecurity erstellen" klicken Sie auf VisionOne, um die Liste zu erweitern, die die Konfiguration anzeigt, die erforderlich ist, um eine Verbindung mit Trend Vision One herzustellen.
    Definieren Sie Folgendes im Abschnitt VisionOne:
    • Für die automatische Registrierung setzen Sie die folgenden Werte:
      Hinweis
      Hinweis
      Stellen Sie sicher, dass Sie den Trend Vision One API-Schlüssel als Geheimnis im Cluster gespeichert haben, wie in Automatisch registrieren beschrieben.
      • clusterRegistrationKey: Setzen Sie den Wert auf true.
      • clusterName: Name des Clusters für VisionOne. Wenn nicht angegeben, wird der Name ein zufälliger String sein.
      • clusterNamePrefix: Optionales Präfix für den Cluster-Namen.
      • policyId: Vorhandene Richtlinien-ID in VisionOne, die dem neuen Cluster zugewiesen wird.
      • groupId: Bestehende Gruppen-ID in VisionOne, die dem neuen Cluster zugewiesen wird.
      Hinweis
      Hinweis
      Siehe die README-Datei des automatisierten Cluster-Registers für weitere Informationen.
    • Für die manuelle Registrierung:
      Hinweis
      Hinweis
      Stellen Sie sicher, dass Sie den Wert bootstrapToken in Ihrer overrides.yaml-Datei festlegen, wie in Manuell registrieren beschrieben.
      • clusterRegistrationKey: Setzen Sie den Wert auf false.
      • bootstrapToken: Geben Sie das erforderliche Token ein.
        Hinweis
        Hinweis
        Der bootstrapToken läuft nach 1 Tag ab. Dieser Wert ist für die automatische Registrierung nicht erforderlich.
    • Für die manuelle Registrierung setzen Sie die folgenden Werte auf die gleichen Werte in Ihrer overrides.yaml-Datei. Für die automatische Registrierung setzen Sie die Werte basierend auf den neuen Clusteranforderungen. Lassen Sie das Feld leer, wenn der Wert nicht vorhanden ist:
      • exclusion: Liste der Namespaces, die von der DURCHSUCHEN ausgeschlossen werden sollen. Für diese Namespaces werden keine Ereignisse generiert.
      • Endpunkt: Der Trend Vision One API-Endpunkt.
        Der Standardendpunkt (https://api.xdr.trendmicro.com/external/v2/direct/vcs/external/vcs) funktioniert in den meisten Regionen. Für den Nahen Osten und Afrika (MEA) aktualisieren Sie den Endpunkt auf https://api.mea.xdr.trendmicro.com/external/v2/direct/vcs/external/vcs.
      • inventoryCollection: Aktiviert die Inventarscan-Funktion.
      • malwareScanning: Aktiviert die Malware-Suche-Funktion.
      • runtimeSecurity: Aktiviert die Laufzeitsicherheitsfunktion.
      • secretScanning: Aktiviert die Funktion zum Scannen von Geheimnissen.
      • vulnerabilityScanning: Aktiviert die Schwachstellensuche-Funktion.
      • policyOperator: Legen Sie den Richtliniennamen fest, der nach der Clusterregistrierung erstellt wurde. Beziehen Sie sich auf das Beispiel ClusterPolicy YAML auf GitHub, um eine neue Cluster-Richtlinie mit dem angegebenen Richtliniennamen zu erstellen.
  8. Klicken Sie auf Erstellen, um die Operand-Instanz zu erstellen, die das Container Security Helm-Chart installiert.
  9. Von der Trend Vision One aus können Sie nun den Schutzstatus Ihrer Red Hat OpenShift-Clusterknoten unter Inventory/OverviewSelf-managed überprüfen.