Prisma Cloud コンピューティング: kubeconfig 資格情報を使用して防御側をデプロイする方法AKS集まる
8432
Created On 04/18/22 20:06 PM - Last Modified 06/07/23 18:40 PM
Objective
kubeconfig 資格情報を生成してコンソールにアップロードし、それを使用して Defender DaemonSet をデプロイする方法を学びます。AKS (Azure Kubernetes クラスター) コンソールから自動的に。
Environment
Prisma Cloud コンピューティング エンタープライズ エディション
Prisma Cloud 自己ホスト型コンピューティング
Azure Kubernetes クラスター (AKSクラスター)
Procedure
パート 1: kubeconfig ファイルを作成する
- 使用az aks get-credentialsを取得するコマンドkubeconfigあなたの定義AKS集まる。
az aks get-credentials --resource-groupmyResourceGroup --namemyAKSCluster --admin
kubeconfig のユーザーまたはサービス アカウントには、次のリソースを作成および削除する権限が必要です。
- ClusterRole
- ClusterRoleBinding
- デーモンセット
- ひみつ
- サービスアカウント
# az aks get-credentials --resource-group jm-rg --name jm-pcc-new --admin
Merged "jm-pcc-new-admin" as current context in /home/jill/.kube/config
構成ファイルの場所を書き留めます。
- 使用kubectl 構成ビュー確認するコマンドそのコンテクストクラスターの場合、管理構成情報が適用されていることが示されます。
# kubectl config view
apiVersion: v1
clusters:
- cluster:
certificate-authority-data: DATA+OMITTED
server: https://jm-pcc-new:443
name: jm-pcc-new
contexts:
- context:
cluster: jm-pcc-new
user: clusterUser_JM-RG_jm-pcc-new
name: jm-pcc-new
- context:
cluster: jm-pcc-new
user: clusterAdmin_JM-RG_jm-pcc-new
name: jm-pcc-new-admin
kind: Config
preferences: {}
users:
- name: clusterAdmin_JM-RG_jm-pcc-new
user:
client-certificate-data: REDACTED
client-key-data: REDACTED
token: REDACTED
- name: clusterUser_JM-RG_jm-pcc-new
user:
client-certificate-data: REDACTED
client-key-data: REDACTED
token: REDACTED
手順 1 で構成ファイルを保存した場所/ディレクトリに移動し、その内容をコピーします。
パート 2: インポートkubeconfigファイルにPrisma Cloud計算コンソール。
上でPrisma Cloudコンピュート コンソールに移動します。管理 > 認証 > 資格情報ストアそしてクリック+ 資格情報を追加.
上で新しい認証情報を作成する画面で名前と説明を入力し、[タイプ] を選択します。 Kubeconfig .
- 上でKubeconfigフィールドに、コピーした構成ファイルの内容を貼り付けますパート 1 ステップ 3 .
- 新しい資格情報を保存します。
パート 3: 新しくインポートされた kubeconfig 資格情報を使用して、Defender Daemonset をデプロイします。
- に行く管理 > ディフェンダー > 管理>デーモンセット.
- 資格情報の種類に関連するクラスターが表示されますkubeconfigが画面に表示されるようになりました。
- テーブル内の各クラスタについて、アクション > デプロイ.
- A 呼び出されたウィザード画面Defender を DaemonSet としてデプロイするポップアップします。 示されたすべてのフィールドに対して適切な設定が構成されていることを確認します。 クラスター ノードが Container Runtime Interface (CRI )、接続の問題を防ぐために、この時点で一致するオプションが選択されていることを確認してください。
- クリック配備.
- が表示されます。成功を使用したクラスタのステータスkubeconfig資格情報を確認し、展開された防御側のバージョンを確認します。
Additional Information
- kubeconfigはaYAMLユーザー名とパスワードの組み合わせまたは安全なトークンを含むファイル. kubeconfig は、Kubernetes クラスターへのアクセスを可能にする安全で標準的な方法です。
- Prisma Cloud は現在、Google Kubernetes Engine の kubeconfig 認証情報をサポートしていません (GKE ) またAWSエラスティック Kubernetes サービス (EKS )。 これらのクラスタの kubeconfig には、認証用の外部バイナリが必要です(具体的には Google CloudSDK aws-iam-authenticator)、およびPrisma Cloudコンソールには、これらのバイナリが同梱されていません。
関連ドキュメントは、次の場所にもあります。