Prisma Cloud Compute: Verwenden von kubeconfig-Anmeldeinformationen zum Bereitstellen des Defenders in einem AKS Cluster

Prisma Cloud Compute: Verwenden von kubeconfig-Anmeldeinformationen zum Bereitstellen des Defenders in einem AKS Cluster

8436
Created On 04/18/22 20:06 PM - Last Modified 06/07/23 18:40 PM


Objective


Erfahren Sie, wie Sie kubeconfig-Anmeldeinformationen generieren, in die Konsole hochladen und damit Defender DaemonSets automatisch über AKS die Konsole für Azure Kubernetes-Cluster bereitstellen.

Environment


  • Prisma Cloud Compute Enterprise Edition

  • Prisma Cloud Compute selbst gehostet

  • Azure Kubernetes-Cluster (AKS Cluster)

Procedure


Teil 1: Erstellen der kubeconfig-Datei
 

  1. Verwenden Sie den Befehl az aks get-credentials , um die kubeconfig-Definition für Ihren AKS Cluster abzurufen.

az aks get-credentials --resource-groupmyResourceGroup --namemyAKSCluster --admin

Beachten Sie, dass das Benutzer- oder Dienstkonto in kubeconfig über Berechtigungen zum Erstellen und Löschen der folgenden Ressourcen verfügen muss:

  • ClusterRole
  • ClusterRoleBinding
  • DaemonSet
  • Geheimnis
  • Dienstkonto
# az aks get-credentials --resource-group jm-rg --name jm-pcc-new --admin
Merged "jm-pcc-new-admin" as current context in /home/jill/.kube/config

Notieren Sie sich den Speicherort der Konfigurationsdatei.

  1. Verwenden Sie den Befehl kubectl config view, um zu überprüfen, ob der Kontext für den Cluster anzeigt, dass die Administratorkonfigurationsinformationen angewendet wurden.
# kubectl config view
apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: DATA+OMITTED
    server: https://jm-pcc-new:443
  name: jm-pcc-new
contexts:
- context:
    cluster: jm-pcc-new
    user: clusterUser_JM-RG_jm-pcc-new
  name: jm-pcc-new
- context:
    cluster: jm-pcc-new
    user: clusterAdmin_JM-RG_jm-pcc-new
  name: jm-pcc-new-admin
kind: Config
preferences: {}
users:
- name: clusterAdmin_JM-RG_jm-pcc-new
  user:
    client-certificate-data: REDACTED
    client-key-data: REDACTED
    token: REDACTED
- name: clusterUser_JM-RG_jm-pcc-new
  user:
    client-certificate-data: REDACTED
    client-key-data: REDACTED
    token: REDACTED

  1. Gehen Sie zu dem Speicherort / Verzeichnis, in dem die Konfigurationsdatei in Schritt #1 gespeichert wurde, und kopieren Sie ihren Inhalt.

 
Teil 2: Importieren Sie die kubeconfig-Datei in die Prisma Cloud Compute-Konsole.

  1. Wechseln Sie in der Prisma Cloud Computekonsole zu Verwalten > Authentifizierung > Anmeldeinformationsspeicher und klicken Sie auf + Anmeldeinformationen hinzufügen.

  2. Geben Sie auf dem Bildschirm Neue Anmeldeinformationen erstellen einen Namen und eine Beschreibung ein, und wählen Sie Als Kubeconfig eingeben aus.

 Neue Anmeldeinformationen erstellen Name Beschreibung Typ Kubeconfig KubeConfig AKS Beschreibung hinzufügen, bis zu 30 Zeichen Kubeconfig Fügen Sie hier den Inhalt Ihrer kubeconfig-Datei ein Zuerst Abbrechen Zurück 1
 
  1. Fügen Sie im Feld Kubeconfig den Inhalt der Konfigurationsdatei ein, die Sie aus Teil 1 Schritt 3 kopiert haben.
  2. Speichern Sie die neuen Anmeldeinformationen.

Teil 3: Stellen Sie den Defender-Daemonset mit den neu importierten kubeconfig-Anmeldeinformationen bereit.

  1. Gehen Sie zu Verwalten von > Verteidigern > Verwalten > DaemonSets.
  2. Sie werden feststellen, dass Cluster, die sich auf den Anmeldeinformationstyp kubeconfig beziehen, jetzt auf dem Bildschirm angezeigt werden.
  3. Klicken Sie für jeden Cluster in der Tabelle auf Aktionen > Bereitstellen.
  4. A Der Assistentenbildschirm Deploy Defenders as a DaemonSet wird angezeigt. Stellen Sie sicher, dass die richtige Einstellung für alle angegebenen Felder konfiguriert ist. Wenn die Clusterknoten die Containerlaufzeitschnittstelle (CRI) verwenden, stellen Sie sicher, dass die entsprechende Option zu diesem Zeitpunkt ausgewählt ist, um Konnektivitätsprobleme zu vermeiden.

Defenders als DaemonSet O O O bereitstellen Wählen Sie den Namen, den Defender verwenden soll, um eine Verbindung zu dieser Konsole herzustellen jm-consol Angeben eines Proxys für den Defender (optional) Defender-Kommunikationsport (optional) Zuweisen global eindeutiger Namen zu Hosts (optional) Geben Sie den Namensraum des Defender-Daemons ein. Twistlock festlegen NodeSelector-Schlüssel: "Wert" Geben Sie einen benutzerdefinierten Docker-Socketpfad an /var/run/docker.sock Überwachen von Dienstkonten Istio Collect überwachen Deployment- und Namespace-Labels verwenden Sie die offizielle Twistlock-Registrierung Bereitstellen von Defendern mit SELinux Policy Ausführen von Defendern als privilegierte Knoten verwenden Container Runtime Interface (CRI), nicht Docker-Knoten, die in containerisierten Umgebungen ausgeführt werden Bereitstellen abbrechen

  1. Klicken Sie auf Bereitstellen.
  2. Sie sollten jetzt den Status Erfolg auf den Clustern mit den kubeconfig-Anmeldeinformationen sehen und die bereitgestellte Defender-Version anzeigen.

 

Additional Information


  • kubeconfig ist eine Datei, die entweder eine YAML Kombination aus Benutzername und Kennwort oder ein sicheres Token enthält, das beim programmgesteuerten Lesen die Notwendigkeit für den Kubernetes-Client beseitigt, eine interaktive Authentifizierung anzufordern. kubeconfig ist die sichere Standardmethode, um den Zugriff auf Ihre Kubernetes-Cluster zu ermöglichen.
  • Prisma Cloud unterstützt derzeit keine kubeconfig-Anmeldeinformationen für Google Kubernetes Engine () oder AWS Elastic Kubernetes Service().GKEEKS Die kubeconfig für diese Cluster erfordert eine externe Binärdatei für die Authentifizierung (insbesondere Google Cloud SDK bzw. aws-iam-authenticator), und Prisma Cloud die Konsole wird nicht mit diesen Binärdateien ausgeliefert.

Zugehörige Dokumentation finden Sie auch hier:
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oNdBCAU&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language