檢視次數:
Container Security Operator 是一種部署和管理 TrendAI Vision One™ Container Security 應用程式的方法,類似於 Helm chart。了解更多關於 Helm Chart 的資訊。
該運營商在 OpenShift 容器平台上運行,以部署和管理 Container Security 應用程式。運營商會自動安裝 Helm 圖表並檢查新版本的更新。請按照以下步驟從 OpenShift Operator hub 安裝運營商。
注意
注意
TrendAI Vision One™ Container Security Operator 目前支援 OpenShift 版本 v4.12v4.20,以及作業系統平台 linux/arm64linux/amd64

將您的叢集註冊到 Container Security

Automatically register
您可以配置叢集,使其在安裝 Container Security 時自動註冊。
使用以下步驟,透過TrendAI Vision One™ API 金鑰自動註冊多個叢集以進行 Container Security。
  1. 建立一個TrendAI Vision One™ API 金鑰,其角色僅包含「自動註冊叢集」的權限。
    如需詳細資訊,請參閱獲取自動化叢集註冊的 API 金鑰
  2. TrendAI Vision One™ API 金鑰儲存為名為 trendmicro-container-security-registration-key 的秘密,並在 trendmicro-system 命名空間中使用金鑰 registration.key
Manually register
使用引導令牌在TrendAI Vision One™控制台中建立叢集。
  1. TrendAI Vision One™ 主控台,導航至「Cloud Security」「Container Security」
  2. 在 Kubernetes 部分下點擊「+ Add Cluster」
  3. 為 Red Hat OpenShift 叢集命名一個獨特的名稱。
  4. 複製引導令牌。
    注意
    注意
    在安裝過程中使用引導啟動令牌。

安裝操作員

  1. 透過前往 https://console-openshift-console.apps.<cluster-name>.<base-domain> 開啟 OpenShift 叢集 Web 管理控制台
    注意
    注意
    使用以下指令透過 OpenShift CLI 獲取準確的 Web 主控台 URL: 
    oc whoami --show-console
  2. 在 OpenShift 管理控制台的左側面板中,選擇「操作員」,然後導航至開啟 OperatorHub。
  3. 從 OperatorHub 頁面頂部的搜索框中,搜尋 VisionOne。點擊 TrendAI Vision One™TM Container Security 以開啟操作員資訊對話框。
  4. 按一下「安裝」。
    注意
    注意
    • 預設情況下,操作員會選擇具有最新版本的stable頻道進行安裝。您可以將頻道更改為alpha以安裝預覽版本。
    • Container Security Operator 需要建立 trendmicro-system namespace 以進行安裝。請使用預設的建議 trendmicro-system 命名空間。
    • 選擇Automatic以進行自動升級,或選擇Manual以進行需要手動更新批准的手動升級。
  5. 安裝操作員後,請前往查看操作員以查看操作員狀態。
  6. 從頂部選單導航至VisionOneContainerSecurity,然後點擊Create VisionOneContainerSecurity以打開創建運算元表單。
  7. 在建立VisionOneContainerSecurity運算元表單中,點擊VisionOne以展開顯示連接TrendAI Vision One™所需配置的列表。
    VisionOne部分定義以下內容:
    • 要進行自動註冊,請設定以下值:
      注意
      注意
      請確保您已將 TrendAI Vision One™ API 金鑰作為機密儲存在叢集中,如 自動註冊 中所述。
      • 「clusterRegistrationKey」:將值設為true
      • 「clusterName」VisionOne 的叢集名稱。如果未指定,名稱將會是隨機字串。
      • 「clusterNamePrefix」:叢集名稱的可選前綴。
      • 「policyId」:在 VisionOne 中的現有策略識別碼,將指派給新的叢集。
        要從 TrendAI Vision One™ 主控台獲取策略識別碼,請導航至 「Cloud Security」「Container Security」「組態」「政策」。選擇您要應用於叢集的策略,然後複製相應的策略識別碼。
      • 「groupId」:在 VisionOne 中的現有群組 ID,將指派給新的叢集。GroupId 是叢集自動註冊所需的。
        要從 TrendAI Vision One™ 控制台獲取群組 ID,請導航至 「Cloud Security」「Container Security」「Inventory/Overview」。將滑鼠懸停在服務名稱上以複製群組 ID。例如,00000000-0000-0000-0000-000000000000
      注意
      注意
      請參閱 自動化叢集註冊 README 以獲取詳細資訊。
    • 手動註冊:
      注意
      注意
      請確保在您的overrides.yaml檔案中設定bootstrapToken值,如手動註冊中所述。
      • 「clusterRegistrationKey」:將值設為false
      • 「bootstrapToken」:輸入所需的令牌。
        注意
        注意
        bootstrapToken 在 1 天後過期。此值對於自動註冊不是必需的。
    • 若要手動註冊,請將以下值設置為與您的overrides.yaml檔案中相同的值。若要自動註冊,請根據新的叢集需求設置值。如果該值不存在,請留空:
      • 「exclusion」:要從掃瞄中排除的命名空間列表。這些命名空間不會產生事件。
      • 「端點」TrendAI Vision One™ API 端點。此欄位為必填項。
        預設端點 (https://api.xdr.trendmicro.com/external/v2/direct/vcs/external/vcs) 適用於大多數地區。對於中東和非洲 (MEA),請將端點更新為 https://api.mea.xdr.trendmicro.com/external/v2/direct/vcs/external/vcs。
      • 「inventoryCollection」:啟用庫存掃描功能。
      • 「malwareScanning」:啟用惡意程式掃瞄功能。
      • 「runtimeSecurity」:啟用執行時安全功能。
      • 「secretScanning」:啟用秘密掃描功能。
      • 「vulnerabilityScanning」:啟用弱點掃瞄功能。
      • 「policyOperator」:設定叢集註冊後建立的策略名稱。請參考 GitHub 上的範例 ClusterPolicy YAML,使用指定的策略名稱來建立新的叢集策略。
  8. 點擊「建立」以建立運算元實例,這將安裝 Container Security Helm 圖表。
    注意
    注意
    在任何給定時間內,集群上只能部署和註冊一個運算元實例。如果創建了多個運算元實例,則僅使用第一個。
  9. TrendAI Vision One™,您現在可以在「Inventory/Overview」「Self-managed」下檢查您的 Red Hat OpenShift 叢集節點的保護狀態。