Prisma Cloud Proceso: Cómo usar las credenciales kubeconfig para implementar el defensor en un AKS clúster
Objective
Aprenda a generar credenciales kubeconfig, cargarlas en la consola y usarlas para implementar DaemonSets de Defender ( AKS Azure Kubernetes Clusters) automáticamente desde la consola.
Environment
Prisma Cloud Edición Compute Enterprise
Prisma Cloud Cómputo autohospedado
Azure Kubernetes Clusters (AKS Clusters)
Procedure
Parte 1: Crear el archivo kubeconfig
- Utilice el comando az aks get-credentials para obtener la definición kubeconfig del AKS clúster.
az aks get-credentials --resource-groupmyResourceGroup --namemyAKSCluster --admin
Tenga en cuenta que el usuario o la cuenta de servicio en su kubeconfig debe tener permisos para crear y eliminar los siguientes recursos:
- ClusterRole
- ClusterRoleBinding
- DaemonSet
- Secreto
- Cuenta de servicio
# az aks get-credentials --resource-group jm-rg --name jm-pcc-new --admin
Merged "jm-pcc-new-admin" as current context in /home/jill/.kube/config
Anote la ubicación del archivo de configuración.
- Utilice el comando kubectl config view para comprobar que el contexto del clúster muestra que se ha aplicado la información de configuración del administrador.
# kubectl config view
apiVersion: v1
clusters:
- cluster:
certificate-authority-data: DATA+OMITTED
server: https://jm-pcc-new:443
name: jm-pcc-new
contexts:
- context:
cluster: jm-pcc-new
user: clusterUser_JM-RG_jm-pcc-new
name: jm-pcc-new
- context:
cluster: jm-pcc-new
user: clusterAdmin_JM-RG_jm-pcc-new
name: jm-pcc-new-admin
kind: Config
preferences: {}
users:
- name: clusterAdmin_JM-RG_jm-pcc-new
user:
client-certificate-data: REDACTED
client-key-data: REDACTED
token: REDACTED
- name: clusterUser_JM-RG_jm-pcc-new
user:
client-certificate-data: REDACTED
client-key-data: REDACTED
token: REDACTED
Vaya a la ubicación / directorio donde se almacenó el archivo de configuración en el Paso # 1 y copie su contenido.
Parte 2: Importe el archivo kubeconfig en la consola de Prisma Cloud cómputo.
En la consola de Prisma Cloud proceso, vaya a Administrar > autenticación > almacén de credenciales y haga clic en + Agregar credencial.
En la pantalla Crear nueva credencial, asígnele un nombre y una descripción y seleccione Tipo como Kubeconfig.
- En el campo Kubeconfig , pegue el contenido del archivo de configuración que copió de la Parte 1 Paso 3.
- Guarde la nueva credencial.
Parte 3: Implemente el demonio de Defender utilizando la credencial kubeconfig recién importada.
- Vaya a Administrar > defensores > Administrar > DaemonSets.
- Notará que los clústeres relacionados con el tipo de credencial kubeconfig ahora se verán en la pantalla.
- Para cada clúster de la tabla, haga clic en Acciones > Implementar.
- A aparecerá una pantalla de asistente llamada Deploy Defenders as a DaemonSet . Asegúrese de que la configuración correcta esté configurada para todos los campos indicados. Si los nodos del clúster utilizan la interfaz de tiempo de ejecución del contenedor (CRI), asegúrese de que la opción de coincidencia se elige en este momento para evitar problemas de conectividad.
- Haga clic en Implementar.
- Ahora debería ver un estado Correcto en los clústeres con la credencial kubeconfig y ver la versión del defensor que se implementó.
Additional Information
- kubeconfig es un archivo que contiene una combinación de nombre de usuario y contraseña o un YAML token seguro que, cuando se lee mediante programación, elimina la necesidad de que el cliente de Kubernetes solicite autenticación interactiva. kubeconfig es el método seguro y estándar para habilitar el acceso a sus clústeres de Kubernetes.
- Prisma Cloud actualmente no admite credenciales kubeconfig para Google Kubernetes Engine () o AWS Elastic Kubernetes Service().GKEEKS El kubeconfig para estos clústeres requiere un binario externo para la autenticación (específicamente Google Cloud SDK y aws-iam-authenticator, respectivamente), y Prisma Cloud la consola no se envía con estos binarios.
La documentación relacionada también se puede encontrar aquí: