Prisma Cloud コンピューティング: kubeconfig 資格情報を使用して防御側をデプロイする方法AKS集まる

Prisma Cloud コンピューティング: kubeconfig 資格情報を使用して防御側をデプロイする方法AKS集まる

8432
Created On 04/18/22 20:06 PM - Last Modified 06/07/23 18:40 PM


Objective


kubeconfig 資格情報を生成してコンソールにアップロードし、それを使用して Defender DaemonSet をデプロイする方法を学びます。AKS (Azure Kubernetes クラスター) コンソールから自動的に。

Environment


  • Prisma Cloud コンピューティング エンタープライズ エディション

  • Prisma Cloud 自己ホスト型コンピューティング

  • Azure Kubernetes クラスター (AKSクラスター)

Procedure


パート 1: kubeconfig ファイルを作成する

  1. 使用az aks get-credentialsを取得するコマンドkubeconfigあなたの定義AKS集まる。

az aks get-credentials --resource-groupmyResourceGroup --namemyAKSCluster --admin

kubeconfig のユーザーまたはサービス アカウントには、次のリソースを作成および削除する権限が必要です。

  • ClusterRole
  • ClusterRoleBinding
  • デーモンセット
  • ひみつ
  • サービスアカウント
# az aks get-credentials --resource-group jm-rg --name jm-pcc-new --admin
Merged "jm-pcc-new-admin" as current context in /home/jill/.kube/config

構成ファイルの場所を書き留めます。

  1. 使用kubectl 構成ビュー確認するコマンドそのコンテクストクラスターの場合、管理構成情報が適用されていることが示されます。
# kubectl config view
apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: DATA+OMITTED
    server: https://jm-pcc-new:443
  name: jm-pcc-new
contexts:
- context:
    cluster: jm-pcc-new
    user: clusterUser_JM-RG_jm-pcc-new
  name: jm-pcc-new
- context:
    cluster: jm-pcc-new
    user: clusterAdmin_JM-RG_jm-pcc-new
  name: jm-pcc-new-admin
kind: Config
preferences: {}
users:
- name: clusterAdmin_JM-RG_jm-pcc-new
  user:
    client-certificate-data: REDACTED
    client-key-data: REDACTED
    token: REDACTED
- name: clusterUser_JM-RG_jm-pcc-new
  user:
    client-certificate-data: REDACTED
    client-key-data: REDACTED
    token: REDACTED

  1. 手順 1 で構成ファイルを保存した場所/ディレクトリに移動し、その内容をコピーします。


パート 2: インポートkubeconfigファイルにPrisma Cloud計算コンソール。

  1. 上でPrisma Cloudコンピュート コンソールに移動します。管理 > 認証 > 資格情報ストアそしてクリック+ 資格情報を追加.

  2. 上で新しい認証情報を作成する画面で名前と説明を入力し、[タイプ] を選択します。 Kubeconfig .

 新しい認証情報の作成 名前 説明 タイプ Kubeconfig KubeConfigAKS説明を追加、最大 30 文字 Kubeconfig kubeconfig ファイルの内容をここに貼り付け 最初 キャンセル 前 1
 
  1. 上でKubeconfigフィールドに、コピーした構成ファイルの内容を貼り付けますパート 1 ステップ 3 .
  2. 新しい資格情報を保存します。

パート 3: 新しくインポートされた kubeconfig 資格情報を使用して、Defender Daemonset をデプロイします。

  1. に行く管理 > ディフェンダー > 管理>デーモンセット.
  2. 資格情報の種類に関連するクラスターが表示されますkubeconfigが画面に表示されるようになりました。
  3. テーブル内の各クラスタについて、アクション > デプロイ.
  4. A 呼び出されたウィザード画面Defender を DaemonSet としてデプロイするポップアップします。 示されたすべてのフィールドに対して適切な設定が構成されていることを確認します。 クラスター ノードが Container Runtime Interface (CRI )、接続の問題を防ぐために、この時点で一致するオプションが選択されていることを確認してください。

Defender を DaemonSet としてデプロイするO O ODefender がこのコンソールに接続するために使用する名前を選択します jm-consol 防御側のプロキシを指定します (オプション) Defender 通信ポート (オプション) グローバルに一意の名前をホストに割り当てます (オプション) Defender デーモンの名前空間を入力します ツイストロック NodeSelector キーを設定します: "value" カスタム Docker ソケット パス /var/run/docker.sock を指定します サービス アカウントを監視します Istio を監視します 展開と名前空間のラベルを収集します 公式の Twistlock レジストリを使用します SELinux で Defender を展開しますPolicyDefender を特権ノードとして実行し、コンテナー ランタイム インターフェイスを使用します (CRI )、Cancel Deploy のコンテナー化された環境内で実行される Docker ノードではありません

  1. クリック配備.
  2. が表示されます。成功を使用したクラスタのステータスkubeconfig資格情報を確認し、展開された防御側のバージョンを確認します。

 

Additional Information


  • kubeconfigはaYAMLユーザー名とパスワードの組み合わせまたは安全なトークンを含むファイル. kubeconfig は、Kubernetes クラスターへのアクセスを可能にする安全で標準的な方法です。
  • Prisma Cloud は現在、Google Kubernetes Engine の kubeconfig 認証情報をサポートしていません (GKE ) またAWSエラスティック Kubernetes サービス (EKS )。 これらのクラスタの kubeconfig には、認証用の外部バイナリが必要です(具体的には Google CloudSDK aws-iam-authenticator)、およびPrisma Cloudコンソールには、これらのバイナリが同梱されていません。

関連ドキュメントは、次の場所にもあります。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oNdBCAU&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language