卡巴斯基容器安全

代理部署

您应该在要保护的集群的所有节点上都安装代理。

每个集群上都安装单独的一组代理。

要在集群中部署代理：

1. 在主菜单中，转到“组件 → 代理”部分。
2. 在工作窗格中，单击“添加代理组”按钮。
3. 在常规选项卡上：
   1. 填写表单中的字段。
      • 输入组名称。为了方便代理管理，我们建议根据将在其节点上部署代理的集群来对代理组进行命名。
      • 如需要，请输入代理组的描述。
      • 选择要使用的编排器。
      • 指定命名空间名称。
   2. 在“KCS 仓库”部分中，输入用于安装代理的镜像所在仓库的网址。要访问仓库，必须指定正确的用户名和密码。
   3. 在链接的 SIEM下，从下拉列表中选择 SIEM 系统。

      要在卡巴斯基容器安全中链接代理组，您必须创建并配置至少一个与 SIEM 系统的集成。
      一个代理组只能与一个 SIEM 系统链接。

      对于每个 SIEM 系统集成，下拉列表指示连接状态 – 成功、警告或错误。

4. 在“节点监控”选项卡上，使用“禁用/启用”切换按钮开始监控和分析网络状态、容器内进程以及文件威胁防护的以下设置：
   • 网络连接监控。使用流量捕获设备（网络监视器）和 eBPF 模块监控网络连接的状态。此过程考虑适用的运行时策略和容器运行时配置文件。
   • 容器进程监控。基于适用的运行时策略规则和容器运行时配置文件规则，使用 eBPF 程序监控容器进程。
   • 文件威胁防护。要跟踪反恶意软件数据库更新，请指定以下值之一：
     • 反恶意软件数据库更新 URL：卡巴斯基容器安全更新服务的网址。
     • 反恶意软件数据库更新代理：云或本地更新服务器的 HTTP 代理。

     如果使用kcs-updates容器更新反恶意软件数据库，则必须如下指定数据库更新工具的 URL：<domain>/kuu/updates（例如，https://kcs.company.com/kuu/updates）。

     默认情况下，文件威胁防护数据库从卡巴斯基云服务器更新。

   • 文件操作。该解决方案根据适用的运行时策略和容器运行时配置文件，使用 eBPF 模块跟踪文件操作。

     无论运行时策略指定何种模式，文件操作仅支持审计模式。如果在适用的运行时策略中指定了强制模式，则文件操作将以审核模式执行。

   可以禁用不需要的监控步骤，以避免节点上不必要的负载。

5. 单击“保存”。

在工作区中， 部署数据选项卡显示在集群上部署代理所需的以下数据：

• 自动生成的部署令牌是代理用于连接服务器的标识符。您可以通过单击部署令牌字段旁边的复制图标 () 来复制令牌。
• 在集群上部署代理的说明。您可以通过单击复制图标 (）从配置字段复制说明，或者将说明下载为 .YAML 格式的文件。

  您可以按照此说明在集群上部署代理。例如：

  kubectl apply -f <文件> -n <命名空间>

  应用指令后，代理将被部署到集群的所有工作节点上。

如果您更改以下参数，解决方案将自动更新代理部署说明：

• 解决方案的 TLS 证书
• 用于下载 kube-agent 和 node-agent 镜像的 URL、用户名和密码
• 链接的 SIEM 系统
• 节点监控部分中的设置

您必须再次复制或下载 .YAML 文件中的更新说明，然后使用 kubectl apply -f < file > -n <namespace > 命令应用它。否则，这些参数的更改不会应用于已部署的代理。