Google GKE クラスターを接続

ビュー:

Container Securityは、接続されたGoogle GKEコンテナの保護をサポートします。

重要

あなたのKubernetes環境がContainer Securityの必要な要件を満たしていることを確認してください。
コンテナの隔離タスクを使用したいユーザは、クラスターが[Calico]ネットワークポリシーを実装していることを確認する必要があります。

手順

[Cloud Security] → [Container Security] → [Inventory/Overview]に移動します。
ツリーで [Kubernetes] ノードを選択します。
[クラスタを追加]をクリックします。

[クラスタを保護] 画面が表示されます。

クラスターに一意の名前を指定します。

注意

クラスタ名にスペースを含めることはできません。使用できるのは、英数字、アンダースコア (_)、およびピリオド (.) のみです。
クラスタの作成後にクラスタ名を変更することはできません。

クラスタの目的に関する詳細を指定する場合は、 [説明] フィールドを使用します。
Container SecurityがCloud Risk Managementにデータを送信し、CREM Risk Insightsを受信する場合は、[クラウドアカウントへのマッピング]を選択してください。
1. ドロップダウンで [GCP]を選択します。
2. 別のブラウザタブで、クラスタをホストするGoogle Cloudアカウントにサインインし、次の値を[Container Security- [クラスタを保護] ] 画面にコピーします。
  - [プロジェクトID]: [{project_id}]に移動して[プロジェクトID]をコピーします。
  - GCP "Cluster region": 移動先[Kubernetes Engine] → [クラスタ] → {your_cluster} [クラスタリージョン]をコピーします。
  - GCP "Cluster name": 移動先[Kubernetes Engine] → [クラスタ] → {your_cluster} [クラスタ名]をコピーします。
Kubernetesクラスタの保護に使用するポリシーをすでに作成している場合は、 [ポリシー] ドロップダウンからポリシー名を選択します。

クラスターを接続した後、Kubernetesポリシーを作成してポリシーを割り当てることができます。
Container Securityが次のいずれのKubernetes管理システムにも影響を与えないようにするには、 [名前空間の除外] ドロップダウンでシステムを選択します。
- [Calico System]
- [Istio System]
- [Kube System]
- [OpenShift]
クラスタにプロキシサーバが必要な場合は、 [Use Proxy] をオンにして、次の設定を行います。
- プロトコル: [HTTP]、[HTTPS]、または[SOCKS5]を選択します。
- [Proxy address]: プロキシサーバのIPアドレスを指定します。
- [ポート]: プロキシサーバのポート番号を指定します。
- [認証情報を要求]: プロキシサーバの [アカウント] および [パスワード] を選択して指定します。
- 自己署名証明書を使用: [ホストファイル]、[秘密]、または[ConfigMap]から選択し、証明書情報を入力してください。
クラスタで有効にするセキュリティ機能の種類がすでにわかっている場合は、目的の機能を有効にします。
- [ランタイムセキュリティ]: カスタマイズ可能なルールセットに違反する、実行中のコンテナのアクティビティを可視化します。
- [Runtime Vulnerability Scanning]: クラスターで実行されているコンテナの一部であるOSおよびオープンソースコードの脆弱性の可視性を提供します。
- [Runtime Malware Scanning]: 実行中のコンテナ内の不正プログラムを検出し、デプロイ後に導入された不正プログラムの脅威を特定して対応できるようにします。
- ランタイムシークレットスキャン: 実行中のコンテナ内の秘密情報を検出し、運用中のコンテナでの秘密情報漏洩を迅速に検出します。
[次へ] をクリックします。

Helm配信スクリプトの情報が画面に表示されます。

初めてContainer Security保護を展開するユーザー向け:

KubernetesクラスタでContainer Securityの設定プロパティを定義するには、YAMLファイルを作成します (例: overrides.yaml ) をクリックし、最初の入力フィールドの内容をファイルにコピーします。

警告

YAMLファイルには、指定したクラスタをContainer Securityに接続するために必要な一意のAPIキーが含まれています。 APIキーは1回だけ表示されます。今後のアップグレード用にコピーを作成する必要があります。画面を閉じると、トレンドマイクロはAPIキーを再度取得できません。

自動クラスター登録を有効にするには、APIキーを作成し、以下の例に示すようにclusterRegistrationKeyにtrueを入力します。

注意

クラスターの保護は、policyOperatorセクションでclusterName、clusterNamePrefix、policyId、groupIdを指定することで構成できます。

サンプルオーバーライドファイル:

visionOne:
    clusterRegistrationKey: true
    endpoint: https://api.xdr.trendmicro.com/external/v2/direct/vcs/external/vcs
    exclusion: 
        namespaces: [kube-system]
    inventoryCollection:
        enabled: true
    complianceScan:
        enabled: false
    policyOperator:
        clusterName: xxxx (optional. A random name will be used if not specified)
        clusterNamePrefix: xxxx (optional)
        policyId: xxxx (optional)
        groupId: xxxx (required)

全体をコピーヘルムインストールスクリプトを2番目の入力フィールドに入力します。
を貼り付けます。ヘルムインストールエディタでスクリプトを開き、次の項目を変更します。
- --values overrides.yaml \ - への相対パスを使用します。 overrides.yaml \前の手順で保存したファイルです。
- 除外： >名前空間- 次の除外をリストに追加してください。 kube システム、gmp システム、autoneg システム

既存のデプロイメントを更新するには、最後の入力フィールドにhelm get values --namespace trendmicro-system trendmicro | helm upgrade \スクリプト全体をコピーし、クラスターでHelmスクリプトを実行してください。

注意

将来、Helm引数を使用して変更を上書きせずにHelmデプロイメントをアップグレードできます:

--reuse-values 。