檢視次數:
下圖顯示叢集環境中的元件,以說明資料流並解釋每個元件在叢集中的使用方式。
k8s-cluster-customer-dataflow=15ce8387-7492-402b-8acc-0c6a5bf6f78e.png
以下表格提供了構成容器安全中的 Kubernetes 叢集的組件簡要說明。
注意
注意
將埠新增至您的防火牆或網路政策允許清單。這允許 Container Security 將叢集的元件資訊發送至後端,例如健康檢查和指標,並實施需要叢集內元件之間通信的功能。

預設元件

元件名稱
說明
Pod 名稱
容器名稱
通訊埠
使用控制器
使用控制器定期報告用量資料,這些資料用於Cloud One 計費和確定已安裝的 helm 版本。
重要
重要
使用控制器將在 Vision One 中被棄用。
trendmicro-usage-controller-xxxxxxxxxx-xxxxx
  • 控制器管理器
  • rbac-proxy
  • 8081
准入控制器
Admission Controller 用於驗證 Kubernetes 並根據部署策略執行封鎖或記錄操作。
重要
重要
Admission Controller 只適用於 registry:type 藝術品。
trendmicro-admission-controller-xxxxxxxxxx-xxxxx
  • trendmicro-admission-controller
  • 443
  • 8443
  • 8083
注意
注意
埠 443 用於從集群內部到後端的輸出連接。
監控控制器
監督控制器元件會反覆掃描 Kubernetes 資源以進行持續策略檢查,並處理隔離和終止操作。用於持續合規策略執行。
trendmicro-oversight-controller-xxxxxxxxx-xxxxx
  • 控制器管理器
  • rbac-proxy
  • 8443
  • 8070
  • 8081
工作負載操作員
Workload Operator 元件會偵測獨特的執行中容器映像以進行運行時掃描功能,並收集 Kubernetes 資源資料以用於清單功能。
trendmicro-workload-operator-xxxxxxxxxx-xxxxx
  • trendmicro-workload-operator
 
政策操作員
Policy Operator 管理 Container Security 資源的生命週期,例如叢集、政策和自訂規則集。Policy Operator 也會將這些資源與 Vision One 同步,並處理驗證令牌的輪替。其他趨勢科技元件會聯絡 Policy Operator 以獲取政策並請求應用緩解措施。
trendmicro-policy-operator-xxxxxxxxxx-xxxxx
  • 趨勢科技政策操作員
  • 8070

執行時安全元件

元件名稱
說明
Pod 名稱
容器名稱
通訊埠
偵察
Scout 提供運行時安全功能,控制運行時規則,並處理事件聚合和上傳。每個節點部署一個守護進程集。
trendmicro-scout-xxxxx
  • falco
  • 偵察
 
K8s-metacollector
k8s-metacollector 從 API 伺服器獲取各種 Kubernetes 資源的元數據,並將元數據傳輸到集群內的組件,如 Falco 實例,以減少對 Kubernetes API 伺服器的性能影響。
trendmicro-metacollector-xxxxxxxxxx-xxxxx
  • k8s-metacollector
  • 45000
  • 8081
  • 8080
fargate-injector
fargate-injector 元件將 scout 和 falco 側車容器注入在 EKS Fargate 環境中運行的 pod。
trendmicro-fargate-injector
  • trendmicro-fargate-injector
  • 443
  • 8443
注意
注意
埠 443 用於從集群內部到後端的輸出連接。

弱點掃瞄元件

元件名稱
說明
Pod 名稱
容器名稱
通訊埠
掃瞄管理員
掃瞄管理器管理叢集內的弱點掃瞄並啟動掃瞄作業。
trendmicro-掃瞄-管理器-xxxxxxxx-xxxxx
  • 掃瞄管理器
  • 443
  • 8080
  • 8070
  • 8071
注意
注意
埠 443 用於從集群內部到後端的輸出連接。
掃瞄工作
掃瞄作業為容器映像檔生成SBOM並報告給掃瞄管理器。此Pod部署在目標Pod命名空間中。
重要
重要
我們建議允許掃瞄作業 pod 的 IP 位址與掃瞄管理器 pod 的 IP 位址之間的跨命名空間網路通訊,使用埠號 8070。
trendmicro-掃瞄-工作-xxxxxxxxxx-xxxxx
  • 掃瞄工作
 

惡意程式掃描元件

元件名稱
說明
Pod 名稱
容器名稱
通訊埠
惡意程式掃描器
惡意程式掃描器提供集群內的惡意程式掃描功能,以分析檔案。
趨勢科技-惡意程式掃描器-xxxxxxxxxx-xxxxx
  • 惡意程式掃描器
  • 50051