如何嵌入App- 将 Defender 嵌入到AWSFargate 中的任务Prisma Cloud计算?

如何嵌入App- 将 Defender 嵌入到AWSFargate 中的任务Prisma Cloud计算?

10155
Created On 12/08/21 07:32 AM - Last Modified 03/02/23 02:32 AM


Objective


如何嵌入App-嵌入式防御者进入 Fargate 任务Prisma Cloud计算?

Environment


  • Prisma Cloud 计算
  • AWS

Procedure


在完成配置步骤之前,请参阅“附加信息”以确认先决条件

配置步骤:

  1. 登录到Prisma Cloud安慰。
  2. 管理 > Defenders > 部署 > Defenders。
  3. 选择单后卫
  4. 在里面后卫类型下拉列表,选择App-嵌入式
  5. 设置部署App-嵌入式防御者Fargate 任务
  6. 将 Fargate Defender 嵌入到您的任务定义中。

6a.将您的任务定义复制并粘贴到左侧框中。
6b.点击生成受保护的任务
6c.从右侧框中复制更新的任务定义。


CLOUD 步骤 2 部署防御者 步骤 3 步骤 6a 步骤 4 步骤 5 步骤 6b 步骤 6c

在中创建任务定义AWS
  • 在中创建一个新的任务定义AWS与上一节的输出。
  • 如果您已经有一个现有的任务定义,请创建一个新修订。
本节旨在根据示例任务创建新的任务定义。
  1. 登入AWS管理控制台。
  2. 服务 >ECS
  3. 点击任务定义然后点击创建新的任务定义
3.1 选择远门然后点击下一步
3.2 滚动到页面底部,点击配置通过JSON
3.3 删除预填充JSON,然后粘贴JSON为上一节的任务生成。
3.4 点击节省
4. 验证任务内容。
4.1 任务名称应如JSON.
4.2 选择任务角色
4.3 任务应包括扭锁卫士容器。
4.4 点击创造
4.5 点击查看任务定义


测试任务
  1. 登入AWS管理控制台。
  2. 服务 >ECS
  3. 点击集群然后选择您的 Fargate 集群之一。
  4. 点击服务选项卡,然后单击创造

D 新的ECS亚马逊体验集群ECS集群是一个或多个容器实例的区域分组,您可以在其上运行任务请求。 首次使用 Amazon 时,每个账户都会收到一个默认集群ECS亚马逊ECS服务。 集群可能包含不止一种 Amazon EC2 实例类型。 集群 有关详细信息,请参阅ECS文档。 任务定义 账户设置 AmazonEKS集群列表亚马逊ECR资料库AWSMarketplace Discover software subscriotio Create Cluster View Get Started Create.new cluster card 查看全部I-lofl CloudWatch 监控 pcc > 默认监控
 
 
新的ECS体验茶亚马逊ECS集群任务定义账户设置亚马逊EKS亚马逊集群ECR资料库AWSMarketplace 发现软件订阅集群 >PCC Cluster : pcc 获取集群资源的详细视图。 更新集群 删除集群 集群ARN状态 已注册容器实例 待处理任务计数 运行任务计数 活动服务计数 耗尽服务计数 arn:aws:ecs:us-east- 1 :482660645658:cluster/pccACTIVE O远门,O EC2,O远门,O EC2O远门,O EC2O远门,O EC2,O外部的 ,O外部的 ,O外部的O外部计划任务服务创建任务ECS实例指标标签更新容量提供者最后更新于 2021 年 11 月 20 日 7:24:04PM (0 分钟前) 删除操作启动类型此页面中的过滤器服务名称ALL服务类型ALL状态服务类型。 任务定义 没有结果想要的... 运行启动平台
 
4.1 对于发射类型选择远门
4.2 对于任务定义选择您的预定义任务。
4.3 输入一个服务名称
4.4 对于任务数进入1个
 
创建服务第 1 步:配置服务第 2 步:配置网络第 3 步:设置 Auto Scaling(可选)第 4 步:查看配置服务Aservice 允许您指定要在集群中运行和维护的任务定义的副本数。 您可以选择使用 Elastic Load Balancing 负载均衡器将传入流量分配到服务中的容器。 亚马逊ECS维护该数量的任务并与负载均衡器协调任务调度。 您还可以选择使用服务 Auto Scaling 来调整服务中的任务数。 启动类型操作系统系列任务定义平台版本集群服务名称服务类型*任务数@FARGATE oEXTERNAL切换到容量提供程序策略 Linux 系列 twistlock-fargate-18_11 修订版 1(最新)LATEST pcc oo 输入一个值 •oooo
 

4.5 点击下一步
4.6 选择一个簇VPC子网然后点击下一步
 
创建服务第一步:配置服务I第 2 步:配置网络 第 3 步:设置 Auto Scaling(可选) 第 4 步:查看配置网络VPC和安全组VPC当您的任务定义使用 awsvpc 网络模式时,安全组是可配置的。 集群 vpc• vpc-02d3df3ef91f571e1 (172.31 Subnets* subnet-02c361 28f5a940c (172.31.48.0/20) - us-east-le 在创建时分配 ipv6:禁用 subnet-0664a78ae9bdc60ff (172.31.16.0/20) - 分配 us-east-Id创建时的 ipv6:已禁用安全组• pccsrv- 1393 编辑 oooo 自动分配公共IP健康检查宽限期ENABLED如果您的服务任务需要一段时间才能启动和响应ELB健康检查,您可以指定最长 2,147,483,647 秒的健康检查宽限期,在此期间ECS服务调度程序将忽略ELB健康检查状态。 这个宽限期可以防止ECS服务调度程序将任务标记为不健康并在它们有时间出现之前停止它们。 这仅在您的服务配置为使用负载均衡器时有效。 健康检查宽限期需要负载均衡器。 o
 
4.7 对于服务自动缩放,选择然后点击下一步
 
  • 不要调整服务的期望数量

创建服务第一步:配置服务第二步:配置网络第三步:设置Auto Scaling(可选)第四步:查看设置Auto Scaling(可选)响应CloudWatch告警,在指定范围内自动上下调整您的服务所需计数。 您可以随时修改服务 Auto Scaling 配置以满足您的应用程序的需要。 服务弹性伸缩O*Required Do not adjust the service's desired count Configure Service Auto Scaling to adjust your service's desired count Cancel Previous 下一步

5. 查看您的设置,然后单击创建服务
5.1 验证结果。
5.2 点击查看服务

创建服务第一步:配置sen.ice 第二步:配置网络第三步:设置Auto Scaling(可选)第四步:Review Review Cluster Launch type Operating system family Task Definition Platform version Service name Service type Number of tasks百分比 部署断路器 配置网络VPCId Subnets 创建新的安全组 Auto assignIP设置自动缩放(可选)PCC FARGATE Linux twistlock-fargate- 18_ 11 : 1LATEST pccsrvREPLICA 100 200 已禁用 vpc-02d3df3ef91f571e1 subnet-02c361 c128f5a940c, subnet- 0664a78ae9bdc60ff pccsrv- 1393ENABLED未配置取消以前的编辑创建服务
 
启动状态ECS服务状态 - 3 个已完成 配置任务网络 创建安全组 创建安全组 pccsrv-1393 成功 sg-Oa3fd669efcf05695 设置入站规则 设置入站规则成功 sg-Oa3fd669efcf05695 创建服务 创建服务:pccsrv 服务已创建 服务已创建。 任务将立即开始。 Mew:pccsrv 您可以连接到您的其他集成ECS服务代码管道设置CI/CD从您的服务处理。 您可以从源代码构建或拥有ECR存储库作为部署的源。 创建管道 c? 后视服务
 
 
  • 当 Last status 为 Running 时,您的 Fargate 任务正在运行。
 
1츠 ,龟00d : 0이n为S - ~ SMV
 
  • 容器正在运行。

6.查看防御者中Prisma Cloud控制台:转到管理 > Defenders > 管理 Defenders并通过添加过滤器搜索 fargate 任务远门状态:已连接

oCLOUD Defen&rs 必须管理管理部署在 mnt 中的 Defenders Polkies 以 def«1O Akts Cmm.te 2108525 Advmi wrings 显示已连接 Cmted 1 分钟 csv t Llpgruie all

Fimall主机网20.2021PM未启用 Ani 未启用 Ani 不可用
 

Additional Information


  • Prisma Cloud 将开发人员生成的代码与Fargate 容器我们保护。
  • 开发人员无需更改代码即可适应Prisma Cloud.
  • 开发人员也不需要加载任何特殊库、添加任何文件或更改任何清单。
  • 当容器准备好部署到测试或生产环境时,通过转换工具运行任务定义以自动嵌入 Fargate Defender,然后再将新任务定义加载到AWS.
  • 这种嵌入 Fargate Defender 的方法旨在无缝集成到CI/CD管道。
  • 开发者可以调用Prisma CloudAPI将 Fargate Defender 嵌入到您的任务定义中。

先决条件:

  • 您要嵌入的任务App-Embedded Defender 可以通过网络访问控制台的8084 端口。
  • A 有效的任务任务定义。
  • 已经创建了一个ECS簇。
  • 簇VPC和子网。
  • 任务角色。

NOTE:

  • 任务定义必须包含来自任务中图像的 Dokerfile 的匹配入口点和 cmd 参数。
  • 因为Prisma Cloud不会将实际图像视为嵌入流程的一部分,这取决于是否存在这些参数才能可靠地插入App- 将 Defender 嵌入到任务启动流程中。
  • 如果 Dokerfile 不包含入口点参数,则必须在任务定义中使用默认参数,例如 /bin/sh。
  • 但是,因为 cmd 参数是可选的,如果 Dokerfile 不包含 cmd 参数,则任务定义中不需要一个。


 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oMqJCAU&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language