檢視次數:

容器安全支援對連接的阿里雲 ACK 容器進行保護。

重要
重要

步驟

  1. 移至「Cloud Security」「Container Security」「Inventory/Overview」
  2. 在樹狀圖中選擇Kubernetes節點。
  3. 點擊 Deploy protection to a Kubernetes clusterAdd Cluster 如果您已經部署了叢集。
    Protect Cluster 螢幕出現。
  4. Cluster name: 指定叢集的唯一名稱。
    注意
    注意
    • 叢集名稱不得包含空格,僅支援字母數字字符、底線 (_) 和句點 (.)。
    • 您無法在創建叢集後修改叢集名稱。
  5. 說明:可選擇提供更多有關群集用途的詳細資訊。
  6. Map to cloud account:選擇是否要讓 Container Security 傳送資料防護至 Cloud Risk Management 並接收 CREM 風險洞察
    1. 在下拉選單中,選擇 Alibaba Cloud
    2. 在另一個瀏覽器標籤中,登入托管叢集的阿里雲帳戶。
    3. 複製並粘貼您要保護的集群的區域 ID、帳號 ID 和集群 ID,並在Map to cloud account下輸入相應的值。
  7. 策略設定:如果您已經建立了一個用於保護 Kubernetes 叢集的策略,請從下拉選單中選擇策略名稱。
    您可以創建 Kubernetes 策略,並在連接集群後指派該策略。
  8. Namespace exclusions:選擇任何應排除的命名空間,以確保 Container Security 不會影響那些 Kubernetes 管理系統。
  9. Connection settings: 選擇連接方式:
    • Direct connection:將您的叢集連接到 Container Security,而不使用 Proxy。您的環境必須具有輸出網路存取權。
    • Custom proxy:選擇此項如果您的叢集無法直接存取網路且需要 Proxy 伺服器。
      進行下列設定:
      • Proxy 伺服器類型:選取「HTTP」「HTTPS」「SOCKS5」
      • Proxy address: 指定 Proxy 伺服器的 IP 位址。
      • 通訊埠: 指定 Proxy 伺服器的通訊埠號碼。
      • Require authentication credentials:選擇並指定 Proxy 伺服器的 帳號密碼
      • Use self-signed certificate:從「Host file」「Secret」「ConfigMap」中選擇,然後輸入憑證資訊。
    • 服務閘道:使用 TrendAI Vision One™ Proxy 服務連接您的叢集。
      • Use selected service gateway(s):選擇以選定特定的服務閘道。
      • Use all available service gateway(s):選擇以使用您所有可用的服務閘道。
  10. 安全設定:如果您已經知道要在叢集上啟用的安全功能類型,請開啟所需的功能。
    • Runtime Security: 提供對您正在運行的容器中任何違反可自定義規則的活動的可見性。
    • Runtime Vulnerability Scanning: 提供集群中運行的容器所包含的作業系統和開源代碼弱點的可見性。
    • Runtime Malware Scanning: 提供對您正在運行的容器中惡意程式的檢測,使您能夠識別和應對部署後引入的惡意程式威脅。
    • Runtime Secret Scanning:提供對您執行中的容器中秘密的檢測,並確保快速偵測到生產容器中的任何秘密洩漏。
  11. 按一下「下一步」。
    Helm 部署程式檔資訊顯示在螢幕上。
  12. 首次為用戶部署容器安全保護的叢集:
    1. 要在您的 Kubernetes 集群中定義容器安全性的配置屬性,請創建一個 YAML 文件(例如:overrides.yaml),並將第一個輸入欄位的內容複製到該文件中。
      警告
      警告
      YAML 檔案包含一個獨特的 API 金鑰,用於將指定的叢集連接到 Container Security。API 金鑰僅顯示一次,您應該建立副本以便未來升級使用。TrendAI™ 一旦您關閉畫面後,將無法再次取得 API 金鑰。
    2. 要啟用自動化叢集註冊,創建一個 API 金鑰,並將 true 輸入至 clusterRegistrationKey,如下例所示。
      注意
      注意
      您可以通過在 policyOperator 區段中指定 clusterNameclusterNamePrefixpolicyIdgroupId 來配置集群的保護。
      範本覆寫檔案: 
      visionOne:
    clusterRegistrationKey: true
    endpoint: https://api.xdr.trendmicro.com/external/v2/direct/vcs/external/vcs
    exclusion: 
        namespaces: [kube-system]
    inventoryCollection:
        enabled: true
    complianceScan:
        enabled: false
    policyOperator:
        clusterName: xxxx (optional. A random name will be used if not specified)
        clusterNamePrefix: xxxx (optional)
        policyId: xxxx (optional)
        groupId: xxxx (required)
    3. 將整個 helm install 腳本複製到第二個輸入欄位,並在您的叢集上執行 Helm 腳本。
      注意
      注意
      --values overrides.yaml \ 參數修改為使用您在前一步保存的 overrides.yaml 的相對路徑。
  13. 對於正在更新現有部署的用戶,請將整個 helm get values --namespace trendmicro-system trendmicro | helm upgrade \ 腳本複製到最後一個輸入欄位,並在您的叢集上執行 Helm 腳本。
    注意
    注意
    在未來,您可以使用 Helm 參數升級 Helm 部署,而不會覆蓋更改:
    --reuse-values