代理部署
您应该在要保护的集群的所有节点上都安装代理。
每个集群上都安装单独的一组代理。
要在集群中部署代理:
- 在主菜单中,转到“组件 → 代理”部分。
- 在工作窗格中,单击“添加代理组”按钮。
- 在常规选项卡上:
- 填写表单中的字段。
- 输入组名称。为了方便代理管理,我们建议根据将在其节点上部署代理的集群来对代理组进行命名。
- 如需要,请输入代理组的描述。
- 选择要使用的编排器。
- 指定命名空间名称。
- 在“KCS 仓库”部分中,输入用于安装代理的镜像所在仓库的网址。要访问仓库,必须指定正确的用户名和密码。
- 在链接的 SIEM下,从下拉列表中选择 SIEM 系统。
要在卡巴斯基容器安全中链接代理组,您必须创建并配置至少一个与 SIEM 系统的集成。
一个代理组只能与一个 SIEM 系统链接。对于每个 SIEM 系统集成,下拉列表指示连接状态 – 成功、警告或错误。
- 填写表单中的字段。
- 在“节点监控”选项卡上,使用“禁用/启用”切换按钮开始监控和分析网络状态、容器内进程以及文件威胁防护的以下设置:
- 网络连接监控。使用流量捕获设备(网络监视器)和 eBPF 模块监控网络连接的状态。此过程考虑适用的运行时策略和容器运行时配置文件。
- 容器进程监控。基于适用的运行时策略规则和容器运行时配置文件规则,使用 eBPF 程序监控容器进程。
- 文件威胁防护。要跟踪反恶意软件数据库更新,请指定以下值之一:
- 反恶意软件数据库更新 URL:卡巴斯基容器安全更新服务的网址。
- 反恶意软件数据库更新代理:云或本地更新服务器的 HTTP 代理。
如果使用
kcs-updates容器更新反恶意软件数据库,则必须如下指定数据库更新工具的 URL:<domain>/kuu/updates(例如,https://kcs.company.com/kuu/updates)。默认情况下,文件威胁防护数据库从卡巴斯基云服务器更新。
- 文件操作。该解决方案根据适用的运行时策略和容器运行时配置文件,使用 eBPF 模块跟踪文件操作。
无论运行时策略指定何种模式,文件操作仅支持审计模式。如果在适用的运行时策略中指定了强制模式,则文件操作将以审核模式执行。
可以禁用不需要的监控步骤,以避免节点上不必要的负载。
- 单击“保存”。
在工作区中, 部署数据选项卡显示在集群上部署代理所需的以下数据:
- 自动生成的部署令牌是代理用于连接服务器的标识符。您可以通过单击部署令牌字段旁边的复制图标 (
) 来复制令牌。 - 在集群上部署代理的说明。您可以通过单击复制图标 ()从配置字段复制说明,或者将说明下载为 .YAML 格式的文件。
您可以按照此说明在集群上部署代理。例如:
kubectl apply -f <文件> -n <命名空间>应用指令后,代理将被部署到集群的所有工作节点上。
如果您更改以下参数,解决方案将自动更新代理部署说明:
- 解决方案的 TLS 证书
- 用于下载 kube-agent 和 node-agent 镜像的 URL、用户名和密码
- 链接的 SIEM 系统
- 节点监控部分中的设置
代理需要访问卡巴斯基容器安全 API。如果只能通过代理服务器实现代理和解决方案 API 之间的连接,则可以通过创建特殊密钥将代理服务器配置添加到代理部署说明中。
要将代理服务器配置添加到代理部署说明:
- 以 BASE64 编码指定代理服务器信息。下面的示例显示了 http://proxy.example.com:8080 的代理服务器信息:
---
apiVersion: v1
kind: Secret
metadata:
name: http-client-proxy
namespace: kcs-namespace
type: opaque
data:
HTTP_CLIENT_PROXY: 'aHR0cDovL3Byb3h5LmV4YW1wbGUuY29tOjgwODA='
---
- 将密钥添加到代理部署说明中的 DaemonSet 和 Deployment 资源的
ENV部分:- name: HTTP_CLIENT_PROXY
valueFrom:
secretKeyRef:
name: http-client-proxy
key: HTTP_CLIENT_PROXY
您必须再次复制或下载 YAML 文件中的更新说明,然后使用 kubectl apply -f <文件> -n <名字空间> 命令应用它。否则,这些参数的更改不会应用于已部署的代理。