Prisma Cloud 计算:如何使用 kubeconfig 凭据将防御者部署到AKS簇

Prisma Cloud 计算:如何使用 kubeconfig 凭据将防御者部署到AKS簇

8438
Created On 04/18/22 20:06 PM - Last Modified 06/07/23 18:40 PM


Objective


了解如何生成 kubeconfig 凭据,将它们上传到控制台并使用它将 Defender DaemonSets 部署到AKS(Azure Kubernetes 集群)自动从控制台。

Environment


  • Prisma Cloud 计算企业版

  • Prisma Cloud 计算自托管

  • Azure Kubernetes 集群 (AKS集群)

Procedure


第 1 部分:创建 kubeconfig 文件

  1. 使用az aks 获取凭证命令获取kubeconfig你的定义AKS簇。

az aks get-credentials --resource-groupmyResourceGroup --namemyAKSCluster --admin

请注意,您的 kubeconfig 中的用户或服务帐户必须具有创建和删除以下资源的权限:

  • 集群角色
  • 集群角色绑定
  • 守护进程集
  • 秘密
  • 服务帐号
# az aks get-credentials --resource-group jm-rg --name jm-pcc-new --admin
Merged "jm-pcc-new-admin" as current context in /home/jill/.kube/config

记下配置文件的位置。

  1. 使用kubectl 配置视图命令验证语境对于集群显示已应用管理配置信息。
# kubectl config view
apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: DATA+OMITTED
    server: https://jm-pcc-new:443
  name: jm-pcc-new
contexts:
- context:
    cluster: jm-pcc-new
    user: clusterUser_JM-RG_jm-pcc-new
  name: jm-pcc-new
- context:
    cluster: jm-pcc-new
    user: clusterAdmin_JM-RG_jm-pcc-new
  name: jm-pcc-new-admin
kind: Config
preferences: {}
users:
- name: clusterAdmin_JM-RG_jm-pcc-new
  user:
    client-certificate-data: REDACTED
    client-key-data: REDACTED
    token: REDACTED
- name: clusterUser_JM-RG_jm-pcc-new
  user:
    client-certificate-data: REDACTED
    client-key-data: REDACTED
    token: REDACTED

  1. 转到步骤#1 中存储配置文件的位置/目录并复制其内容。


第 2 部分:导入kubeconfig归档到Prisma Cloud计算控制台。

  1. 在Prisma Cloud计算控制台,转到管理 > 身份验证 > 凭据存储然后点击+ 添加凭证.

  2. 创建新凭证屏幕,给它一个名称和描述,然后选择 Type as Kubeconfig .

 创建新凭证 名称 描述 类型 Kubeconfig KubeConfigAKS添加描述,最多 30 个字符 Kubeconfig 在此处粘贴您的 kubeconfig 文件的内容 First Cancel Prev 1
 
  1. Kubeconfig字段,粘贴您从中复制的配置文件的内容第 1 部分 第 3 步.
  2. 保存新凭证。

第 3 部分:使用新导入的 kubeconfig 凭证部署 Defender Daemonset。

  1. 管理 > 防御者 > 管理>守护进程集.
  2. 您会注意到与凭证类型相关的集群kubeconfig现在将在屏幕上看到。
  3. 对于表中的每个集群,单击操作 > 部署.
  4. A 向导屏幕调用将 Defenders 部署为 DaemonSet会弹出。 确保为所有指示的字段配置了正确的设置。 如果集群节点使用容器运行时接口(CRI ),确保此时选择匹配选项以防止出现连接问题。

将 Defenders 部署为 DaemonSetO O O选择 Defender 将用于连接到此控制台的名称 jm-consol 指定 Defender 的代理(可选)Defender 通信端口(可选)为主机分配全局唯一名称(可选)输入 Defender 守护程序的命名空间设置扭锁节点选择器密钥: "value" 指定自定义 docker socket 路径 /var/run/docker.sock 监控服务账户 Monitor Istio Collect Deployment 和 Namespace 标签使用官方 Twistlock registry Deploy Defenders with SELinuxPolicy作为特权节点运行防御者使用容器运行时接口(CRI ), 而不是 Docker 节点在取消部署时在容器化环境中运行

  1. 点击部署.
  2. 你现在应该看到一个成功使用集群的状态kubeconfig凭据并查看已部署的防御者版本。

 

Additional Information


  • kubeconfig 是AYAML包含用户名和密码组合或安全令牌的文件,当以编程方式读取时,Kubernetes 客户端无需请求交互式身份验证. kubeconfig 是启用对 Kubernetes 集群的访问的安全且标准的方法。
  • Prisma Cloud 目前不支持 Google Kubernetes Engine 的 kubeconfig 凭证(GKE ) 或者AWS弹性 Kubernetes 服务(EKS ). 这些集群的 kubeconfig 需要一个外部二进制文件来进行身份验证(特别是谷歌云SDK和 aws-iam-authenticator,分别)和Prisma Cloud控制台不附带这些二进制文件。

相关文档也可以在这里找到:
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oNdBCAU&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language