Prisma Cloud Compute: Verwenden von kubeconfig-Anmeldeinformationen zum Bereitstellen des Defenders in einem AKS Cluster
Objective
Erfahren Sie, wie Sie kubeconfig-Anmeldeinformationen generieren, in die Konsole hochladen und damit Defender DaemonSets automatisch über AKS die Konsole für Azure Kubernetes-Cluster bereitstellen.
Environment
Prisma Cloud Compute Enterprise Edition
Prisma Cloud Compute selbst gehostet
Azure Kubernetes-Cluster (AKS Cluster)
Procedure
Teil 1: Erstellen der kubeconfig-Datei
- Verwenden Sie den Befehl az aks get-credentials , um die kubeconfig-Definition für Ihren AKS Cluster abzurufen.
az aks get-credentials --resource-groupmyResourceGroup --namemyAKSCluster --admin
Beachten Sie, dass das Benutzer- oder Dienstkonto in kubeconfig über Berechtigungen zum Erstellen und Löschen der folgenden Ressourcen verfügen muss:
- ClusterRole
- ClusterRoleBinding
- DaemonSet
- Geheimnis
- Dienstkonto
# az aks get-credentials --resource-group jm-rg --name jm-pcc-new --admin
Merged "jm-pcc-new-admin" as current context in /home/jill/.kube/config
Notieren Sie sich den Speicherort der Konfigurationsdatei.
- Verwenden Sie den Befehl kubectl config view, um zu überprüfen, ob der Kontext für den Cluster anzeigt, dass die Administratorkonfigurationsinformationen angewendet wurden.
# kubectl config view
apiVersion: v1
clusters:
- cluster:
certificate-authority-data: DATA+OMITTED
server: https://jm-pcc-new:443
name: jm-pcc-new
contexts:
- context:
cluster: jm-pcc-new
user: clusterUser_JM-RG_jm-pcc-new
name: jm-pcc-new
- context:
cluster: jm-pcc-new
user: clusterAdmin_JM-RG_jm-pcc-new
name: jm-pcc-new-admin
kind: Config
preferences: {}
users:
- name: clusterAdmin_JM-RG_jm-pcc-new
user:
client-certificate-data: REDACTED
client-key-data: REDACTED
token: REDACTED
- name: clusterUser_JM-RG_jm-pcc-new
user:
client-certificate-data: REDACTED
client-key-data: REDACTED
token: REDACTED
Gehen Sie zu dem Speicherort / Verzeichnis, in dem die Konfigurationsdatei in Schritt #1 gespeichert wurde, und kopieren Sie ihren Inhalt.
Teil 2: Importieren Sie die kubeconfig-Datei in die Prisma Cloud Compute-Konsole.
Wechseln Sie in der Prisma Cloud Computekonsole zu Verwalten > Authentifizierung > Anmeldeinformationsspeicher und klicken Sie auf + Anmeldeinformationen hinzufügen.
Geben Sie auf dem Bildschirm Neue Anmeldeinformationen erstellen einen Namen und eine Beschreibung ein, und wählen Sie Als Kubeconfig eingeben aus.
- Fügen Sie im Feld Kubeconfig den Inhalt der Konfigurationsdatei ein, die Sie aus Teil 1 Schritt 3 kopiert haben.
- Speichern Sie die neuen Anmeldeinformationen.
Teil 3: Stellen Sie den Defender-Daemonset mit den neu importierten kubeconfig-Anmeldeinformationen bereit.
- Gehen Sie zu Verwalten von > Verteidigern > Verwalten > DaemonSets.
- Sie werden feststellen, dass Cluster, die sich auf den Anmeldeinformationstyp kubeconfig beziehen, jetzt auf dem Bildschirm angezeigt werden.
- Klicken Sie für jeden Cluster in der Tabelle auf Aktionen > Bereitstellen.
- A Der Assistentenbildschirm Deploy Defenders as a DaemonSet wird angezeigt. Stellen Sie sicher, dass die richtige Einstellung für alle angegebenen Felder konfiguriert ist. Wenn die Clusterknoten die Containerlaufzeitschnittstelle (CRI) verwenden, stellen Sie sicher, dass die entsprechende Option zu diesem Zeitpunkt ausgewählt ist, um Konnektivitätsprobleme zu vermeiden.
- Klicken Sie auf Bereitstellen.
- Sie sollten jetzt den Status Erfolg auf den Clustern mit den kubeconfig-Anmeldeinformationen sehen und die bereitgestellte Defender-Version anzeigen.
Additional Information
- kubeconfig ist eine Datei, die entweder eine YAML Kombination aus Benutzername und Kennwort oder ein sicheres Token enthält, das beim programmgesteuerten Lesen die Notwendigkeit für den Kubernetes-Client beseitigt, eine interaktive Authentifizierung anzufordern. kubeconfig ist die sichere Standardmethode, um den Zugriff auf Ihre Kubernetes-Cluster zu ermöglichen.
- Prisma Cloud unterstützt derzeit keine kubeconfig-Anmeldeinformationen für Google Kubernetes Engine () oder AWS Elastic Kubernetes Service().GKEEKS Die kubeconfig für diese Cluster erfordert eine externe Binärdatei für die Authentifizierung (insbesondere Google Cloud SDK bzw. aws-iam-authenticator), und Prisma Cloud die Konsole wird nicht mit diesen Binärdateien ausgeliefert.
Zugehörige Dokumentation finden Sie auch hier: