Prisma Cloud Compute: Comment utiliser les informations d’identification kubeconfig pour déployer le défenseur sur un AKS cluster

Prisma Cloud Compute: Comment utiliser les informations d’identification kubeconfig pour déployer le défenseur sur un AKS cluster

9063
Created On 04/18/22 20:06 PM - Last Modified 06/07/23 18:40 PM


Objective


Découvrez comment générer des informations d’identification kubeconfig, les télécharger sur la console et les utiliser pour déployer automatiquement Defender DaemonSets sur AKS (Azure Kubernetes Clusters) à partir de la console.

Environment


  • Prisma Cloud Compute Enterprise Edition

  • Prisma Cloud Calcul auto-hébergé

  • Azure Kubernetes Clusters (AKS clusters)

Procedure


Partie 1: Créer le fichier kubeconfig
 

  1. Utilisez la commande az aks get-credentials pour obtenir la définition kubeconfig de votre AKS cluster.

az aks get-credentials --resource-groupmyResourceGroup --namemyAKSCluster --admin

Notez que le compte d’utilisateur ou de service dans votre kubeconfig doit disposer des autorisations pour créer et supprimer les ressources suivantes :

  • Rôle de cluster
  • ClusterRoleBinding
  • DaemonSet DaemonSet
  • Secret
  • Compte de service
# az aks get-credentials --resource-group jm-rg --name jm-pcc-new --admin
Merged "jm-pcc-new-admin" as current context in /home/jill/.kube/config

Notez l’emplacement du fichier de configuration.

  1. Utilisez la commande kubectl config view pour vérifier que le contexte du cluster indique que les informations de configuration de l’administrateur ont été appliquées.
# kubectl config view
apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: DATA+OMITTED
    server: https://jm-pcc-new:443
  name: jm-pcc-new
contexts:
- context:
    cluster: jm-pcc-new
    user: clusterUser_JM-RG_jm-pcc-new
  name: jm-pcc-new
- context:
    cluster: jm-pcc-new
    user: clusterAdmin_JM-RG_jm-pcc-new
  name: jm-pcc-new-admin
kind: Config
preferences: {}
users:
- name: clusterAdmin_JM-RG_jm-pcc-new
  user:
    client-certificate-data: REDACTED
    client-key-data: REDACTED
    token: REDACTED
- name: clusterUser_JM-RG_jm-pcc-new
  user:
    client-certificate-data: REDACTED
    client-key-data: REDACTED
    token: REDACTED

  1. Accédez à l'emplacement / répertoire où le fichier de configuration a été stocké à l'étape #1 et copiez son contenu.

 
Partie 2: Importez le fichier kubeconfig dans la console ComputePrisma Cloud.

  1. Sur la console Compute Prisma Cloud , accédez à Gérer > Authentification > magasin d’informations d’identification et cliquez sur + Ajouter des informations d’identification.

  2. Sur l’écran Créer de nouvelles informations d’identification, donnez-lui un nom et une description et sélectionnez Type comme Kubeconfig.

 Créer de nouvelles informations d’identification Nom Description Type Kubeconfig KubeConfig AKS Ajouter une description, jusqu’à 30 caractères Kubeconfig Collez le contenu de votre fichier kubeconfig ici Première annulation Précédent 1
 
  1. Dans le champ Kubeconfig , collez le contenu du fichier de configuration que vous avez copié à partir de la partie 1 Étape 3.
  2. Enregistrez les nouvelles informations d’identification.

Partie 3 : Déployez le démon Defender à l’aide des informations d’identification kubeconfig nouvellement importées.

  1. Accédez à Gérer > défenseurs > Gérer > DaemonSets.
  2. Vous remarquerez que les clusters liés au type d’informations d’identification kubeconfig seront maintenant visibles à l’écran.
  3. Pour chaque cluster du tableau, cliquez sur Actions > Déployer.
  4. A L’écran de l’assistant appelé Déployer les défenseurs en tant que DaemonSet apparaîtra. Assurez-vous que le paramètre approprié est configuré pour tous les champs indiqués. Si les nœuds de cluster utilisent l’interface d’exécution du conteneur (CRI), assurez-vous que l’option correspondante est choisie à ce stade pour éviter les problèmes de connectivité.

Déployer Defenders en tant que DaemonSet O O O Choisissez le nom que Defender utilisera pour se connecter à cette console jm-consol Spécifier un proxy pour le défenseur (facultatif) Port de communication Defender (facultatif) Attribuer des noms globaux uniques aux hôtes (facultatif) Entrez l’espace de noms du démon Defender Définir twistlock Clé NodeSelector : « valeur » Spécifier un chemin de socket docker personnalisé /var/run/docker.sock Surveiller les comptes de service Surveiller Istio Collecter Les étiquettes de déploiement et d’espace de noms utilisent le Registre Twistlock Déployer Defenders avec SELinux Policy Exécuter Defenders en tant que nœuds privilégiés Utiliser l’interface d’exécution du conteneur (CRI), et non les nœuds Docker exécutés dans un environnement conteneurisé lors de l’annulation du déploiement

  1. Cliquez sur Déployer.
  2. Vous devriez maintenant voir un état de réussite sur les clusters utilisant les informations d’identification kubeconfig et voir la version de defender qui a été déployée.

 

Additional Information


  • kubeconfig est un fichier qui contient une combinaison de nom d’utilisateur et de mot de passe ou un YAML jeton sécurisé qui, lorsqu’il est lu par programme, supprime la nécessité pour le client Kubernetes de demander une authentification interactive. kubeconfig est la méthode sécurisée et standard pour activer l’accès à vos clusters Kubernetes.
  • Prisma Cloud ne prend actuellement pas en charge les informations d’identification kubeconfig pour Google Kubernetes Engine () ou AWS Elastic Kubernetes Service().GKEEKS La kubeconfig pour ces clusters nécessite un binaire externe pour l’authentification (en particulier Google Cloud SDK et aws-iam-authenticator, respectivement), et Prisma Cloud la console n’est pas livrée avec ces fichiers binaires.

La documentation connexe peut également être trouvée ici:
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oNdBCAU&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language