下圖顯示叢集環境中的元件,以說明資料流並解釋每個元件在叢集中的使用方式。
以下表格提供了構成容器安全中的 Kubernetes 叢集的組件簡要說明。
 |
注意將埠新增至您的防火牆或網路政策允許清單。這允許 Container Security 將叢集的元件資訊發送至後端,例如健康檢查和指標,並實施需要叢集內元件之間通信的功能。
|
預設元件
|
元件名稱
|
說明
|
Pod 名稱
|
容器名稱
|
通訊埠 | ||||
|
使用控制器
|
使用控制器定期報告用量資料,這些資料用於Cloud One 計費和確定已安裝的 helm 版本。
|
trendmicro-usage-controller-xxxxxxxxxx-xxxxx
|
|
|
||||
|
准入控制器
|
Admission Controller 用於驗證 Kubernetes 並根據部署策略執行封鎖或記錄操作。
|
trendmicro-admission-controller-xxxxxxxxxx-xxxxx
|
|
|
||||
|
監控控制器
|
監督控制器元件會反覆掃描 Kubernetes 資源以進行持續策略檢查,並處理隔離和終止操作。用於持續合規策略執行。
|
trendmicro-oversight-controller-xxxxxxxxx-xxxxx
|
|
|
||||
|
工作負載操作員
|
Workload Operator 元件會偵測獨特的執行中容器映像以進行運行時掃描功能,並收集 Kubernetes 資源資料以用於清單功能。
|
trendmicro-workload-operator-xxxxxxxxxx-xxxxx
|
|
|||||
|
政策操作員
|
Policy Operator 管理 Container Security 資源的生命週期,例如叢集、政策和自訂規則集。Policy Operator 也會將這些資源與
Vision One 同步,並處理驗證令牌的輪替。其他趨勢科技元件會聯絡 Policy Operator 以獲取政策並請求應用緩解措施。
|
trendmicro-policy-operator-xxxxxxxxxx-xxxxx
|
|
|
執行時安全元件
|
元件名稱
|
說明
|
Pod 名稱
|
容器名稱
|
通訊埠 | ||
|
偵察
|
Scout 提供運行時安全功能,控制運行時規則,並處理事件聚合和上傳。每個節點部署一個守護進程集。
|
trendmicro-scout-xxxxx
|
|
|||
|
K8s-metacollector
|
k8s-metacollector 從 API 伺服器獲取各種 Kubernetes 資源的元數據,並將元數據傳輸到集群內的組件,如 Falco 實例,以減少對 Kubernetes
API 伺服器的性能影響。
|
trendmicro-metacollector-xxxxxxxxxx-xxxxx
|
|
|
||
|
fargate-injector
|
fargate-injector 元件將 scout 和 falco 側車容器注入在 EKS Fargate 環境中運行的 pod。
|
trendmicro-fargate-injector
|
|
|
弱點掃瞄元件
|
元件名稱
|
說明
|
Pod 名稱
|
容器名稱
|
通訊埠 | ||
|
掃瞄管理員
|
掃瞄管理器管理叢集內的弱點掃瞄並啟動掃瞄作業。
|
trendmicro-掃瞄-管理器-xxxxxxxx-xxxxx
|
|
|
||
|
掃瞄工作
|
掃瞄作業為容器映像檔生成SBOM並報告給掃瞄管理器。此Pod部署在目標Pod命名空間中。
|
trendmicro-掃瞄-工作-xxxxxxxxxx-xxxxx
|
|
惡意程式掃描元件
|
元件名稱
|
說明
|
Pod 名稱
|
容器名稱
|
通訊埠 |
|
惡意程式掃描器
|
惡意程式掃描器提供集群內的惡意程式掃描功能,以分析檔案。
|
趨勢科技-惡意程式掃描器-xxxxxxxxxx-xxxxx
|
|
|