Para preparar a instalação da solução em uma rede corporativa privada:
export CHART_URL="xxxxxx"
export CHART_USERNAME="xxxxxx"export CHART_PASSWORD="xxxxxx"
export VERSION="xxxxxx"
Os valores CHART_URL, CHART_USERNAME, CHART_PASSWORD e VERSION são fornecidos pelo fornecedor.
Exemplo de conexão de um repositório com o Helm Chart:
helm registry login \
--username $CHART_USERNAME \
--password $CHART_PASSWORD
$CHART_URL
helm pull oci://$CHART_URL/charts/kcs --version $VERSION
tar xvf kcs-$VERSION.tgz
Não recomendamos especificar os dados da conta no arquivo values.yaml a serem usados ao iniciar o pacote Helm Chart.
Você pode usar um dos seguintes métodos seguros para gerenciar segredos:
Os valores do pull-secret para o Docker Registry não podem ser totalmente armazenados no HashiCorp Vault. Recomendamos especificar os valores do pull-secret manualmente, na seção com os parâmetros de cluster do Kubernetes, e fazer referência a eles no Helm Chart.
As seguintes configurações principais de instalação devem ser especificadas no arquivo values.yaml:
helm upgrade --install kcs . \
--create-namespace \
--namespace kcs \
--values values.yaml \
--set default.domain="kcs.example.domain.ru" \
Quando as políticas de rede são ativadas, você deve especificar pelo menos um namespace para o controlador de ingresso do cluster.
--set default.networkPolicies.ingressControllerNamespaces="{ingress-nginx}" \
Por padrão, as políticas de rede estão ativadas.
--set secret.infracreds.envs.POSTGRES_USER="user" \
--set-string secret.infracreds.envs.POSTGRES_PASSWORD="pass" \
--set secret.infracreds.envs.MINIO_ROOT_USER="user" \
--set-string secret.infracreds.envs.MINIO_ROOT_PASSWORD="password" \
--set-string secret.infracreds.envs.CLICKHOUSE_ADMIN_PASSWORD="pass" \
--set secret.infracreds.envs.MCHD_USER="user" \
--set-string secret.infracreds.envs.MCHD_PASS="pass" \
Para garantir a segurança, os componentes da solução devem usar credenciais geradas pelo administrador do sistema de forma independente, de acordo com as políticas de segurança corporativas. Ao implementar o componente de destino em uma solução, o usuário e a senha especificados são criados automaticamente. Ao usar um serviço de terceiros, você deve fornecer o nome de usuário e a senha criados pelo administrador no referido serviço.
--set pullSecret.kcs-pullsecret.username="user" \
--set pullSecret.kcs-pullsecret.password="pass"
Se você planeja implementar o sistema usando um registro da Kaspersky, especifique as credenciais fornecidas quando adquiriu o Kaspersky Container Security. Se você planeja usar um registro privado ou um registro proxy, especifique suas credenciais de registro.
Recomendamos não alterar a composição das configurações básicas de instalação.
--set default.postgresql.external="true"
--set configmap.infraconfig.envs.postgres_host="<endereço IP ou FQDN do DBMS PostgresSQL>"
--set configmap.infraconfig.envs.postgres_port="<porta para conexão com o PostgresSQL DBMS; por padrão, a porta 5432 é usada>"
--set configmap.infraconfig.envs.postgres_db_name="<nome do banco de dados criado pelo administrador do DBMS PostgresSQL; api é usada por padrão>"
Você também deve solicitar ao administrador do DBMS PostgreSQL que esclareça os requisitos para a verificação dos certificados do servidor do DBMS. O Kaspersky Container Security é compatível com os seguintes modos:
Se você precisar verificar o certificado de um DBMS PostgresSQL externo, faça o seguinte: