Preparación para instalar la solución en una red corporativa privada:
export CHART_URL="xxxxxx"
export CHART_USERNAME="xxxxxx"
export CHART_PASSWORD="xxxxxx"
export VERSION="xxxxxx"
El proveedor proporciona los valores de CHART_URL, CHART_USERNAME, CHART_PASSWORD, and VERSION
.
En el archivo values.yaml, no recomendamos especificar los datos de la cuenta que se utilizarán al iniciar el paquete de Helm Chart.
Puede utilizar uno de los siguientes métodos seguros para administrar los secretos:
Los valores de pull-secret
para Docker Registry no se pueden almacenar por completo en HashiCorp Vault. Recomendamos especificar los valores de pull-secret
manualmente en la sección con los parámetros del clúster de Kubernetes y referenciarlos desde Helm Chart.
En el archivo values.yaml, se deben especificar las siguientes configuraciones de instalación principales:
helm upgrade --install kcs . \
--create-namespace \
--namespace kcs \
--values values.yaml \
--set default.domain="kcs.ejemplo.dominio.ru" \
Cuando las directivas de red están activadas, debe especificar uno o más espacios de nombres para el controlador de entrada del clúster.
--set default.networkPolicies.ingressControllerNamespaces="{ingress-nginx}" \
De manera predeterminada, las directivas de red están activadas.
--set secret.infracreds.envs.POSTGRES_USER="user" \
--set-string secret.infracreds.envs.POSTGRES_PASSWORD="pass" \
--set secret.infracreds.envs.MINIO_ROOT_USER="user" \
--set-string secret.infracreds.envs.MINIO_ROOT_PASSWORD="password" \
--set-string secret.infracreds.envs.CLICKHOUSE_ADMIN_PASSWORD="pass" \
--set secret.infracreds.envs.MCHD_USER="user" \
--set-string secret.infracreds.envs.MCHD_PASS="pass" \
Para garantizar la seguridad, los componentes de la solución deben utilizar credenciales generadas por el administrador del sistema de manera independiente según las directivas de seguridad corporativas. Durante el despliegue del componente de destino dentro de una solución, el usuario y la contraseña especificados se crean automáticamente. Si se utiliza un servicio de terceros, debe proporcionar el nombre de usuario y la contraseña que el administrador creó en el servicio.
--set pullSecret.kcs-pullsecret.username="user" \
--set pullSecret.kcs-pullsecret.password="pass"
Si tiene la intención de desplegar el sistema mediante un registro de Kaspersky, debe especificar las credenciales que recibió cuando adquirió Kaspersky Container Security. Si tiene la intención de utilizar un registro privado o un registro proxy, debe especificar las credenciales de su registro.
enabled
activa la integración al almacenamiento. El valor vault.enabled = true
indica que se estableció la integración a HashiCorp Vault. Los valores de las variables de entorno se obtienen del almacenamiento.mountPath
es la ruta al directorio con los secretos en el almacenamiento.role
es el rol para usarse en la autenticación del almacenamiento.Recomendamos no cambiar la composición de la configuración de instalación básica.
--set default.postgresql.external="true"
--set configmap.infraconfig.envs.postgres_host="<Dirección IP o FQDN del DBMS de PostgresSQL>
"
--set configmap.infraconfig.envs.postgres_port="<puerto para conectarse al DBMS de PostgresSQL; de manera predeterminada, se usa el puerto 5432
>"
--set configmap.infraconfig.envs.postgres_db_name="nombre de la base de datos creada por el administrador del DBMS de PostgresSQL; de manera predeterminada, se usa api
>"
También debe solicitar al administrador del DBMS de PostgreSQL que indique los requisitos para la verificación de los certificados del servidor del DBMS. Kaspersky Container Security admite los siguientes modos de verificación:
--set configmap.infraconfig.envs.postgres_verify_level = "disable"
: el certificado del servidor no está verificado.--set configmap.infraconfig.envs.postgres_verify_level= "require"
: el certificado es obligatorio; la solución confía en cualquier certificado sin ninguna otra verificación.--set configmap.infraconfig.envs.postgres_verify_level= "verify-ca"
: el certificado es obligatorio; la solución verifica que una CA (autoridad de certificación) de confianza haya emitido el certificado.--set configmap.infraconfig.envs.postgres_verify_level= "verify-full"
: el certificado es obligatorio; la solución verifica que una CA de confianza haya emitido el certificado y que el certificado contenga la dirección IP o FQDN correctos.Si necesita verificar el certificado de un DBMS de PostgresSQL externo, siga estos pasos:
certs/pgsql-ca.crt
.--set configmap.infraconfig.envs.postgres_root_ca_path="/etc/ssl/certs/pgsql-ca.crt"
.secret.cert-pgsql-ca
del archivo de configuración values.yaml para crear el secreto.