Правила и исключения Cilium CNI при установке агентов

Если вы применяете Cilium CNI, при установке агентов node-agent требуется учитывать следующее:

• При использовании Cilium CNI необходимо учитывать, что Kaspersky Security для контейнеров автоматически не определяет используемую платформу оркестрации (например, OpenShift). Используемую платформу требуется явно указать в конфигурационном файле с помощью переменной окружения PLATFORM_TYPE. Для этой переменной могут быть указаны следующие значения:
  • k8s (для Kubernetes, значение по умолчанию).
  • openshift (для OpenShift).
  • shturval (для Штурвала).

  В зависимости от значения этого параметра Kaspersky Security для контейнеров добавляет в Cilium стандартные правила для DNS-серверов для указанной платформы.

• При использовании OpenShift или Deckhouse и Cilium CNI требуется изменить внутренний DNS-порт. Для этого вместо стандартного значения порта 53 в переменной DNS_PORT необходимо указать значение 5353 или другой порт, который используется в пользовательской конфигурации Kubernetes.
• Для осуществления действий по мониторингу и анализу состояния сети при использовании Cilium CNI требуется включение модуля cilium-hubble. Для этого выполните следующие команды:

  cilium hubble enable <включение модуля cilium-hubble>

  cilium status <проверка правильного включения модуля cilium-hubble>

  Для правильного включения модуля cilium-hubble необходимо открыть TCP-порт 4244 на всех узлах, на которых используется Cilium CNI.

  Более подробно информация о включении модуля cilium-hubble представлена в документации Cilium CNI.

В начало