檢視次數:

Container Security 支援保護已連接的 Oracle 雲端 OKE 容器。

重要
重要

步驟

  1. 移至「Cloud Security」「Container Security」「Inventory/Overview」
  2. 選取樹狀結構中的「Kubernetes」節點。
  3. 點擊「Deploy protection to a Kubernetes cluster」「Add Cluster」如果您已經部署了叢集。
    會出現「Protect Cluster」畫面。
  4. 為叢集指定唯一名稱。
    注意
    注意
    • 叢集名稱不得包含空格,且僅支援字母、數字、底線 (_) 和句點 (.)。
    • 建立叢集後,您無法修改叢集名稱。
  5. 如果您想提供有關叢集目的的更多詳細資訊,請使用「說明」欄位。
  6. 如果您希望 Container Security 將資料發送到 Cloud Risk Management 並接收 CREM 風險洞察,請選擇「Map to cloud account」
    1. 在下拉式清單中,選取「Oracle Cloud」
    2. 在另一個瀏覽器標籤中,登入託管叢集的 Oracle 雲端帳戶。
    3. 複製並貼上您想要保護的叢集的叢集 ID,然後在「Map to cloud account」下輸入相應的值。
  7. 如果您已經建立了一個用於保護 Kubernetes 叢集的策略,請從「政策」下拉選單中選擇策略名稱。
    您可以建立 Kubernetes 原則,並在連接叢集後指派該原則。
  8. 為確保 Container Security 不會影響以下任何 Kubernetes 管理系統,請在「Namespace Exclusions」下拉選單中選擇系統。
  9. 如果您的叢集需要 Proxy 伺服器,請開啟「Use Proxy」並配置以下設定:
    • 通訊協定:選取「HTTP」「HTTPS」「SOCKS5」
    • Proxy address:指定 Proxy 伺服器的 IP 位址。
    • 通訊埠:指定 Proxy 伺服器的通訊埠號碼。
    • Require authentication credentials:選擇並指定 Proxy 伺服器的「帳號」「密碼」
    • Use self-signed certificate:從「Host file」「Secret」「ConfigMap」中選擇,然後輸入憑證資訊。
  10. 如果您已經知道要在叢集中啟用的安全功能類型,請開啟所需的功能。
    • Runtime Security:提供對正在運行的容器中任何違反可自訂規則集的活動的可見性。
    • Runtime Vulnerability Scanning:提供對叢集中運行的容器中作業系統和開源代碼弱點的可見性。
    • Runtime Malware Scanning:提供對您正在執行的容器中惡意程式的檢測,讓您能夠識別並應對部署後引入的惡意程式威脅。
    • Runtime Secret Scanning:提供對您運行中的容器中秘密的檢測,並確保快速檢測到生產容器中的任何秘密洩漏。
  11. 「下一步」
    Helm 部署程式檔資訊顯示在螢幕上。
  12. 首次在叢集中部署 Container Security 保護的使用者:
    1. 要在您的 Kubernetes 叢集中定義 Container Security 的配置屬性,請建立一個 YAML 檔案(例如:overrides.yaml),並將第一個輸入欄位的內容複製到該檔案中。
      警告
      警告
      YAML 檔案包含一個獨特的 API 金鑰,該金鑰是將指定的叢集連接到 Container Security 所需的。API 金鑰僅出現一次,您應該建立副本以便未來升級使用。一旦您關閉螢幕,趨勢科技將無法再次檢索 API 金鑰。
    2. 若要啟用自動叢集註冊,請建立一個 API 金鑰,並在clusterRegistrationKey中輸入true,如以下範例所示。
      注意
      注意
      您可以在policyOperator部分下,通過指定clusterNameclusterNamePrefixpolicyIdgroupId來配置叢集的保護。
      範例覆蓋檔案: 
      visionOne:
    clusterRegistrationKey: true
    endpoint: https://api.xdr.trendmicro.com/external/v2/direct/vcs/external/vcs
    exclusion: 
        namespaces: [kube-system]
    inventoryCollection:
        enabled: true
    complianceScan:
        enabled: false
    policyOperator:
        clusterName: xxxx (optional. A random name will be used if not specified)
        clusterNamePrefix: xxxx (optional)
        policyId: xxxx (optional)
        groupId: xxxx (required)
    3. 將整個helm install腳本複製到第二個輸入欄位,並在您的叢集上執行該 Helm 腳本。
      注意
      注意
      --values overrides.yaml \ 參數修改為使用您在前一步儲存的 overrides.yaml 的相對路徑。
  13. 要更新現有的部署,請複製整個helm get values --namespace trendmicro-system trendmicro | helm upgrade \腳本到最後的輸入欄位,並在您的叢集上執行該 Helm 腳本。
    注意
    注意
    未來,您可以使用 Helm 參數來升級 Helm 部署,而不覆蓋更改:
    --reuse-values.