檢視次數:
Container Security Operator 是一種部署和管理 Trend Vision One Container Security 應用程式的方法,類似於 Helm chart。了解更多關於 Helm Chart 的資訊。
該運營商在 OpenShift 容器平台上運行,以部署和管理 Container Security 應用程式。運營商會自動安裝 Helm 圖表並檢查新版本的更新。請按照以下步驟從 OpenShift Operator hub 安裝運營商。

將您的叢集註冊到 Container Security

Automatically register
您可以配置叢集,使其在安裝 Container Security 時自動註冊。
使用以下步驟,透過Trend Vision One API 金鑰自動註冊多個叢集以進行 Container Security。
  1. Trend Vision One 主控台,導航至「Cloud Security」「Container Security」
  2. 建立一個Trend Vision One API 金鑰,其角色僅包含「自動註冊叢集」的權限。
    如需詳細資訊,請參閱獲取自動化叢集註冊的 API 金鑰
  3. Trend Vision One API 金鑰儲存為名為 trendmicro-container-security-registration-key 的秘密,並在 trendmicro-system 命名空間中使用金鑰 registration.key
Manually register
使用引導令牌在Trend Vision One控制台中建立叢集。
  1. Trend Vision One 主控台,導航至「Cloud Security」「Container Security」
  2. 在 Kubernetes 部分下點擊「+ Add Cluster」
  3. 為 Red Hat OpenShift 叢集命名一個獨特的名稱。
  4. 複製引導令牌。
    注意
    注意
    在安裝過程中使用引導啟動令牌。

安裝操作員

  1. 透過前往 https://console-openshift-console.apps.<cluster-name>.<base-domain> 開啟 OpenShift 叢集 Web 管理控制台
    注意
    注意
    使用以下指令透過 OpenShift CLI 獲取準確的 Web 主控台 URL: 
    oc whoami --show-console
  2. 在 OpenShift 管理控制台的左側面板中,選擇「操作員」,然後導航至開啟 OperatorHub。
  3. 從 OperatorHub 頁面頂部的搜尋框中,搜尋 VisionOne。點擊 Trend Vision OneTM Container Security 以開啟操作員資訊對話框。
  4. 按一下「安裝」。
    注意
    注意
    • 預設情況下,操作員會選擇具有最新版本的stable頻道進行安裝。您可以將頻道更改為alpha以安裝預覽版本。
    • Container Security Operator 需要建立 trendmicro-system namespace 以進行安裝。請使用預設的建議 trendmicro-system 命名空間。
    • 選擇Automatic以進行自動升級,或選擇Manual以進行需要手動更新批准的手動升級。
  5. 安裝操作員後,請前往查看操作員以查看操作員狀態。
  6. 從頂部選單導航至VisionOneContainerSecurity,然後點擊Create VisionOneContainerSecurity以打開創建運算元表單。
  7. 在建立VisionOneContainerSecurity運算元表單中,點擊VisionOne以展開顯示連接Trend Vision One所需配置的列表。
    VisionOne部分定義以下內容:
    • 要進行自動註冊,請設定以下值:
      注意
      注意
      請確保您已將 Trend Vision One API 金鑰作為機密儲存在叢集中,如 自動註冊 中所述。
      • 「clusterRegistrationKey」:將值設為true
      • 「clusterName」VisionOne 的叢集名稱。如果未指定,名稱將會是隨機字串。
      • 「clusterNamePrefix」:叢集名稱的可選前綴。
      • 「policyId」:在 VisionOne 中的現有策略識別碼,將被指派給新的叢集。
      • 「groupId」:在 VisionOne 中的現有群組 ID,將指派給新的叢集。
      注意
      注意
      請參閱 自動化叢集註冊 README 以獲取詳細資訊。
    • 手動註冊:
      注意
      注意
      請確保在您的overrides.yaml檔案中設定bootstrapToken值,如手動註冊中所述。
      • 「clusterRegistrationKey」:將值設為false
      • 「bootstrapToken」:輸入所需的令牌。
        注意
        注意
        bootstrapToken 在 1 天後過期。此值對於自動註冊不是必需的。
    • 若要手動註冊,請將以下值設置為與您的overrides.yaml檔案中相同的值。若要自動註冊,請根據新的叢集需求設置值。如果該值不存在,請留空:
      • 「exclusion」:要從掃瞄中排除的命名空間列表。這些命名空間不會產生事件。
      • 「端點」Trend Vision One API 端點。
        預設端點 (https://api.xdr.trendmicro.com/external/v2/direct/vcs/external/vcs) 適用於大多數地區。對於中東和非洲 (MEA),請將端點更新為 https://api.mea.xdr.trendmicro.com/external/v2/direct/vcs/external/vcs。
      • 「inventoryCollection」:啟用庫存掃描功能。
      • 「malwareScanning」:啟用惡意程式掃瞄功能。
      • 「runtimeSecurity」:啟用執行時安全功能。
      • 「secretScanning」:啟用秘密掃描功能。
      • 「vulnerabilityScanning」:啟用弱點掃瞄功能。
      • 「policyOperator」:設定叢集註冊後建立的策略名稱。請參考 GitHub 上的範例 ClusterPolicy YAML,使用指定的策略名稱來建立新的叢集策略。
  8. 點擊「建立」以建立運算元實例,這將安裝 Container Security Helm 圖表。
  9. Trend Vision One,您現在可以在「Inventory/Overview」「Self-managed」下檢查您的 Red Hat OpenShift 叢集節點的保護狀態。