Pasos previos a la instalación en una red privada

Preparación para instalar la solución en una red corporativa privada:

1. Conecte el repositorio de Helm del proveedor que contiene el paquete de Helm Chart.

   export CHART_URL="xxxxxx"

   export CHART_USERNAME="xxxxxx"

   export CHART_PASSWORD="xxxxxx"

   export VERSION="xxxxxx"

   El proveedor proporciona los valores de CHART_URL, CHART_USERNAME, CHART_PASSWORD, and VERSION.

   Ejemplo de conexión de un repositorio con Helm Chart

   helm registry login \

   --username $CHART_USERNAME \

   --password $CHART_PASSWORD

   $CHART_URL

   helm pull oci://$CHART_URL/charts/kcs --version $VERSION

   tar xvf kcs-$VERSION.tgz

2. Cargue el archivo con la configuración de instalación (values.yaml) incluida en el kit de distribución de la solución de acuerdo con los comentarios en el archivo.

   En el archivo values.yaml, no recomendamos especificar los datos de la cuenta que se utilizarán al iniciar el paquete de Helm Chart.

   Puede utilizar uno de los siguientes métodos seguros para administrar los secretos:

   • Uso de sistemas de CI/CD. Los secretos se especifican mediante variables de entorno protegidas o mecanismos integrados de administración de secretos. Durante el despliegue, los datos se insertan dinámicamente en el Helm Chart; no es necesario especificarlos de manera pública en el archivo de configuración values.yaml.
   • Integración a HashiCorp Vault. Helm Chart admite la integración a HashiCorp Vault, donde puede almacenar secretos y solo debe indicar las rutas a los secretos en values.yaml.

     Los valores de pull-secret para Docker Registry no se pueden almacenar por completo en HashiCorp Vault. Recomendamos especificar los valores de pull-secret manualmente en la sección con los parámetros del clúster de Kubernetes y referenciarlos desde Helm Chart.

   En el archivo values.yaml, se deben especificar las siguientes configuraciones de instalación principales:

   • Nombre del espacio de nombres

     helm upgrade --install kcs . \

     --create-namespace \

     --namespace kcs \

     --values values.yaml \

   • El nombre de dominio de Kaspersky Container Security para conexiones entrantes.

     --set default.domain="kcs.ejemplo.dominio.ru" \

     Cuando las directivas de red están activadas, debe especificar uno o más espacios de nombres para el controlador de entrada del clúster.

     --set default.networkPolicies.ingressControllerNamespaces="{ingress-nginx}" \

     De manera predeterminada, las directivas de red están activadas.

   • Secretos de los componentes de la solución.

     --set secret.infracreds.envs.POSTGRES_USER="user" \

     --set-string secret.infracreds.envs.POSTGRES_PASSWORD="pass" \

     --set secret.infracreds.envs.MINIO_ROOT_USER="user" \

     --set-string secret.infracreds.envs.MINIO_ROOT_PASSWORD="password" \

     --set-string secret.infracreds.envs.CLICKHOUSE_ADMIN_PASSWORD="pass" \

     --set secret.infracreds.envs.MCHD_USER="user" \

     --set-string secret.infracreds.envs.MCHD_PASS="pass" \

     Para garantizar la seguridad, los componentes de la solución deben utilizar credenciales generadas por el administrador del sistema de manera independiente según las directivas de seguridad corporativas. Durante el despliegue del componente de destino dentro de una solución, el usuario y la contraseña especificados se crean automáticamente. Si se utiliza un servicio de terceros, debe proporcionar el nombre de usuario y la contraseña que el administrador creó en el servicio.

   • Secretos relacionados con el acceso al repositorio de instalación de la solución.

     --set pullSecret.kcs-pullsecret.username="user" \

     --set pullSecret.kcs-pullsecret.password="pass"

     Si tiene la intención de desplegar el sistema mediante un registro de Kaspersky, debe especificar las credenciales que recibió cuando adquirió Kaspersky Container Security. Si tiene la intención de utilizar un registro privado o un registro proxy, debe especificar las credenciales de su registro.

   • Configuración del almacenamiento de secretos en HashiCorp Vault:
     • La marca enabled activa la integración al almacenamiento. El valor vault.enabled = true indica que se estableció la integración a HashiCorp Vault. Los valores de las variables de entorno se obtienen del almacenamiento.
     • mountPath es la ruta al directorio con los secretos en el almacenamiento.
     • El parámetro role es el rol para usarse en la autenticación del almacenamiento.

   Recomendamos no cambiar la composición de la configuración de instalación básica.

3. Si usa un DBMS de PostgresSQL externo, indique lo siguiente:

   --set default.postgresql.external="true"

   --set configmap.infraconfig.envs.postgres_host="<Dirección IP o FQDN del DBMS de PostgresSQL>"

   --set configmap.infraconfig.envs.postgres_port="<puerto para conectarse al DBMS de PostgresSQL; de manera predeterminada, se usa el puerto 5432>"

   --set configmap.infraconfig.envs.postgres_db_name="nombre de la base de datos creada por el administrador del DBMS de PostgresSQL; de manera predeterminada, se usa api>"

   También debe solicitar al administrador del DBMS de PostgreSQL que indique los requisitos para la verificación de los certificados del servidor del DBMS. Kaspersky Container Security admite los siguientes modos de verificación:

   • --set configmap.infraconfig.envs.postgres_verify_level = "disable": el certificado del servidor no está verificado.
   • --set configmap.infraconfig.envs.postgres_verify_level= "require": el certificado es obligatorio; la solución confía en cualquier certificado sin ninguna otra verificación.
   • --set configmap.infraconfig.envs.postgres_verify_level= "verify-ca": el certificado es obligatorio; la solución verifica que una CA (autoridad de certificación) de confianza haya emitido el certificado.
   • --set configmap.infraconfig.envs.postgres_verify_level= "verify-full": el certificado es obligatorio; la solución verifica que una CA de confianza haya emitido el certificado y que el certificado contenga la dirección IP o FQDN correctos.

   Si necesita verificar el certificado de un DBMS de PostgresSQL externo, siga estos pasos:

   1. Cargue la parte pública del certificado de la CA en la carpeta que contiene el paquete de Helm Chart con la máscara certs/pgsql-ca.crt.
   2. Especifique el siguiente parámetro de verificación: --set configmap.infraconfig.envs.postgres_root_ca_path="/etc/ssl/certs/pgsql-ca.crt".
   3. Quite las marcas de comentarios en la sección secret.cert-pgsql-ca del archivo de configuración values.yaml para crear el secreto.
4. Guarde el archivo con la configuración de instalación y proceda a instalar la solución.

Inicio de página