Prisma Cloud 计算:如何使用 kubeconfig 凭据将防御者部署到AKS簇
8438
Created On 04/18/22 20:06 PM - Last Modified 06/07/23 18:40 PM
Objective
了解如何生成 kubeconfig 凭据,将它们上传到控制台并使用它将 Defender DaemonSets 部署到AKS(Azure Kubernetes 集群)自动从控制台。
Environment
Prisma Cloud 计算企业版
Prisma Cloud 计算自托管
Azure Kubernetes 集群 (AKS集群)
Procedure
第 1 部分:创建 kubeconfig 文件
- 使用az aks 获取凭证命令获取kubeconfig你的定义AKS簇。
az aks get-credentials --resource-groupmyResourceGroup --namemyAKSCluster --admin
请注意,您的 kubeconfig 中的用户或服务帐户必须具有创建和删除以下资源的权限:
- 集群角色
- 集群角色绑定
- 守护进程集
- 秘密
- 服务帐号
# az aks get-credentials --resource-group jm-rg --name jm-pcc-new --admin
Merged "jm-pcc-new-admin" as current context in /home/jill/.kube/config
记下配置文件的位置。
- 使用kubectl 配置视图命令验证那语境对于集群显示已应用管理配置信息。
# kubectl config view
apiVersion: v1
clusters:
- cluster:
certificate-authority-data: DATA+OMITTED
server: https://jm-pcc-new:443
name: jm-pcc-new
contexts:
- context:
cluster: jm-pcc-new
user: clusterUser_JM-RG_jm-pcc-new
name: jm-pcc-new
- context:
cluster: jm-pcc-new
user: clusterAdmin_JM-RG_jm-pcc-new
name: jm-pcc-new-admin
kind: Config
preferences: {}
users:
- name: clusterAdmin_JM-RG_jm-pcc-new
user:
client-certificate-data: REDACTED
client-key-data: REDACTED
token: REDACTED
- name: clusterUser_JM-RG_jm-pcc-new
user:
client-certificate-data: REDACTED
client-key-data: REDACTED
token: REDACTED
转到步骤#1 中存储配置文件的位置/目录并复制其内容。
第 2 部分:导入kubeconfig归档到Prisma Cloud计算控制台。
在Prisma Cloud计算控制台,转到管理 > 身份验证 > 凭据存储然后点击+ 添加凭证.
在创建新凭证屏幕,给它一个名称和描述,然后选择 Type as Kubeconfig .
- 在Kubeconfig字段,粘贴您从中复制的配置文件的内容第 1 部分 第 3 步.
- 保存新凭证。
第 3 部分:使用新导入的 kubeconfig 凭证部署 Defender Daemonset。
- 去管理 > 防御者 > 管理>守护进程集.
- 您会注意到与凭证类型相关的集群kubeconfig现在将在屏幕上看到。
- 对于表中的每个集群,单击操作 > 部署.
- A 向导屏幕调用将 Defenders 部署为 DaemonSet会弹出。 确保为所有指示的字段配置了正确的设置。 如果集群节点使用容器运行时接口(CRI ),确保此时选择匹配选项以防止出现连接问题。
- 点击部署.
- 你现在应该看到一个成功使用集群的状态kubeconfig凭据并查看已部署的防御者版本。
Additional Information
- kubeconfig 是AYAML包含用户名和密码组合或安全令牌的文件,当以编程方式读取时,Kubernetes 客户端无需请求交互式身份验证. kubeconfig 是启用对 Kubernetes 集群的访问的安全且标准的方法。
- Prisma Cloud 目前不支持 Google Kubernetes Engine 的 kubeconfig 凭证(GKE ) 或者AWS弹性 Kubernetes 服务(EKS ). 这些集群的 kubeconfig 需要一个外部二进制文件来进行身份验证(特别是谷歌云SDK和 aws-iam-authenticator,分别)和Prisma Cloud控制台不附带这些二进制文件。
相关文档也可以在这里找到: