卡巴斯基容器安全

硬件和软件要求

要安装和运行卡巴斯基容器安全，必须满足以下基础设施要求：

• 以下编排器平台之一：
  • Kubernetes 1.21 或更高版本
  • OpenShift 4.8、4.11 或更高版本
  • DeckHouse 1.52 或 1.53 (CNI: Flannel)
  • DropApp 2.1
• 具备可在开发过程中扫描容器镜像的 CI 系统（如 GitLab CI）。
• 安装了包管理器 Helm 3.10.0 或更高版本。

要使用容器运行时配置文件实现运行时监控，编排器节点必须满足以下要求：

• Linux 内核 4.18 或更高版本。

  Linux内核 5.8 或更高版本使用了一些在 Linux 内核级别管理进程权限的机制。如果 Linux 内核版本低于 5.8，则在安装卡巴斯基容器安全时，必须禁用 kcs-ih 组件的这些进程权限管理机制列表，并将其设置为特权模式。
  设置特权模式的示例

  default:
kcs-ih:
privileged: true

• 容器运行时 (CRI)：containerd、CRI-O。
• 容器网络接口 (CNI) 插件：Flannel、Calico、Cilium。

架构要求：

卡巴斯基容器安全支持 x86 架构：

实现使用容器运行时配置文件进行运行时监控所需的 Linux 发行版和 Linux 内核的最低支持版本：

• CentOS 8.2.2004 或更新版本 + 内核 4.18.0-193 或更新版本
• Ubuntu 18.04.2 或更新版本 + 内核 4.18.0 或更新版本
• Debian 10 或更新版本 + 内核 4.19.0 或更新版本
• Astra Linux SE 1.7. * + 内核 6.1.50-1-generic

  如果使用 Astra Linux OS，内核配置必须具有 CONFIG_DEBUG_INFO_BTF=y 选项。

• RHEL 9.4 或更高版本 + 内核 5.14 或更高版本
• Red Hat Enterprise Linux CoreOS 416.94.202408200132-0 + kernel 5.14.0-427.33.1.el9_4.x86_64
• Sber Linux 8.9, 9.3 + kernel 5.14 (CNI: CRI-O, Calico, Cilium)

当使用 Cilium 1.16 时，您必须设置 enableTCX 为 false。

如果您的基础设施包含运行其他 Linux 发行版的主机服务器，我们建议联系技术支持。技术支持将检查解决方案与您的发行版的兼容性。如果不存在这种兼容性，则卡巴斯基容器安全的未来版本可能会支持这些发行版。

卡巴斯基容器安全可确保在 Istio 服务网格基础设施中使用时正确运行。

该解决方案支持与 Hashicorp Vault 1.7 或更高版本的集成。

使用外部数据库管理系统时，卡巴斯基容器安全支持以下 DBMS：

• PostgreSQL 11.*, 13.*, 14.*, 15.*
• Pangolin 6.2.0

卡巴斯基容器安全支持与以下镜像仓库的集成：

• GitLab 14.2 或更高版本
• Docker Hub V2 API
• JFrog Artifactory 7.55 或更高版本
• Sonatype Nexus Repository OSS 3.43 或更高版本
• Harbor 2.х
• Yandex Registry（使用 Yandex Container Registry API 进行集成）
• Docker Registry（使用 Docker V2 API 进行集成）
• Red Hat Quay 3.x

卡巴斯基容器安全同时支持 IPv4 和 IPv6 网络。

镜像要求（操作系统、版本、扫描的软件包）：

• AlmaLinux，版本 8、9。扫描通过 dnf/yum/rpm 安装的软件包。
• Alpine Linux，版本 2.2 - 2.7、3.0 - 3.20、Edge。扫描通过 apk 安装的软件包。
• Amazon Linux，版本 1、2、2023。扫描通过 dnf/yum/rpm 安装的软件包。
• Astra Linux SE，版本 1.6.x、1.7.x。扫描通过 apt/dpkg 安装的软件包。
• CBL-Mariner，版本 1.0、2.0。扫描通过 dnf/yum/rpm 安装的软件包。
• CentOS，版本 6、7、8。扫描通过 dnf/yum/rpm 安装的软件包。
• Chainguard，所有版本。扫描通过 apk 安装的软件包。
• Debian GNU/Linux，版本 7、8、9、10、11、12。扫描通过 apt/dpkg 安装的软件包。
• openSUSE Leap，版本 42、15。扫描通过 zypper/rpm 安装的软件包。
• openSUSE Tumbleweed，所有版本。扫描通过 zypper/rpm 安装的软件包。
• Oracle Linux，版本 5、6、7、8。扫描通过 dnf/yum/rpm 安装的软件包。
• Photon OS，版本 1.0、2.0、3.0、4.0。扫描通过 tdnf/yum/rpm 安装的软件包。
• Red Hat Enterprise Linux，版本 6、7、8。扫描通过 dnf/yum/rpm 安装的软件包。
• RedOS 版本 7.1、7.2、7.3.х、8.0。扫描通过 dnf/yum/rpm 安装的软件包。
• Rocky Linux，版本 8、9。扫描通过 dnf/yum/rpm 安装的软件包。
• SUSE Enterprise Linux，版本 11、12、15。扫描通过 zypper/rpm 安装的软件包。
• SUSE Linux Enterprise Micro，版本 5、6。扫描通过 zypper/rpm 安装的软件包。
• Ubuntu，Canonical 支持的所有版本。扫描通过 apt/dpkg 安装的软件包。
• Wolfi Linux，所有版本。扫描通过 apk 安装的软件包。
• 安装了具有 Conda 命令行工具的操作系统。通过 conda 安装的软件包得到扫描。

当在有三个工作节点、三个扫描器 Pod (kcs-ih) 和最大镜像扫描大小为 10 GB 的集群中配置卡巴斯基容器安全时，集群工作节点必须满足以下要求：

• 至少 10 个处理器核心
• 至少 18 GB 的 RAM
• 40 GB 可用磁盘空间
• 集群组件之间至少有 1 Gbps 的通信通道带宽

为了运行集群中的代理，必须为每个工作节点提供以下额外的计算资源：

• 2 个处理器核心
• 3 GB 的 RAM
• 15 GB 可用磁盘空间

您必须根据受监控节点的数量为 ClickHouse DBMS 分配可用磁盘空间。每个节点需要 1 GB 的可用磁盘空间用于 ClickHouse 持久卷。

上述要求仅适用于卡巴斯基容器安全部署；他们不考虑客户端资源上的其他负载。

卡巴斯基容器安全用户工作站要求：

• 在公共公司网络中部署时，可永久连接互联网。
• 可访问卡巴斯基容器安全管理控制台页面（需使用客户企业内部网络地址，在安装期间指定）。
• 带宽至少为 10 Mbit/s 的通信信道。
• 以下浏览器之一：
  • Google Chrome 版本 73 或更高版本。
  • Microsoft Edge 版本 79 或更高版本。
  • Mozilla Firefox 版本 63 或更高版本。
  • Apple Safari 版本 12.1 或更高版本。
  • Opera 版本 60 或更高版本。