Установка Alauda Security Service для StackRox

В этом руководстве приведены пошаговые инструкции по установке Alauda Security Service для StackRox.

Содержание

Требования к установке Загрузка и импорт Установка StackRox Operator Установка Central Service Процедура перед установкой Установка через UI Установка через YAML Настройки Central Доступ к консоли Central Установка Cluster Service Процедура перед установкой кластера Установка кластера через UI Установка кластера через YAML Настройки Secured Cluster

Требования к установке

Архитектура: amd64
Версия ядра: >=5.8
Требования к ресурсам:
- CPU: >=4
- Память: >=8GB
PostgreSQL: >=13
TLS-сертификат

Загрузка и импорт

Скачайте Alauda Security Service для StackRox с портала Custom.

Используйте инструмент Violet для загрузки плагина на платформу.

violet push stackrox-operator.vx.x.x.tgz --platform-address https://192.168.0.1 --platform-username <user> --platform-password <password>

Установка StackRox Operator

Войдите на платформу и перейдите на страницу Administrator.
В левой навигационной панели выберите Marketplace -> OperatorHub, чтобы перейти на страницу OperatorHub.
Найдите Alauda Security Service для StackRox, нажмите Install для перехода на страницу установки.

Параметры конфигурации:

Параметр	Рекомендуемая конфигурация
Channel	Канал по умолчанию — alpha.
Version	Выберите желаемую версию для установки.
Installation Mode	Cluster: Все пространства имён в кластере используют одного Operator для создания и управления экземплярами, что снижает использование ресурсов.
Installation Location	Выберите Recommended: если его нет, он будет создан автоматически.
Upgrade Strategy	Manual: при наличии новой версии в OperatorHub требуется ручное подтверждение для обновления Operator до последней версии.

На странице Install Operator выберите Default Configuration, затем нажмите Install для завершения установки Alauda Security Service для StackRox.

Установка Central Service

INFO

Некоторые компоненты сервиса StackRox Central требуют значительных ресурсов. Рекомендуется запускать их на infra-нодах и настраивать nodeSelector и tolerations, чтобы они запускались только на этих нодах. Если вы оцениваете продукт и не настроили infra-ноды, вы можете убрать эти настройки, чтобы компоненты запускались на всех нодах.

Для рекомендаций по планированию infra-нод смотрите Cluster Node Planning.

Процедура перед установкой

Создайте секрет central-db-password:
Сохраните пароль в элементе данных password.

kubectl create secret generic central-db-password \
  --from-literal=password=<central db password> \
  -n stackrox-operator

Включите Ingress и настройте доменный сертификат:
Создайте TLS-секрет с вашим сертификатом и ключом.
kubectl create secret tls central-ingress-tls \ --cert=<path/to/tls.crt> \ --key=<path/to/tls.key> \ -n stackrox-operator

Установка через UI

Войдите на платформу и перейдите на страницу Administrator.
В левой навигационной панели выберите Marketplace -> OperatorHub, чтобы перейти на страницу OperatorHub.
Найдите Alauda Security Service для StackRox, нажмите на карточку для перехода на страницу Details.
Перейдите на вкладку All Instances, нажмите Create и выберите Central для перехода на страницу Create Central.
Заполните параметры конфигурации согласно подсказкам.
Нажмите Create для завершения установки Central Service.

Установка через YAML

Примените следующий YAML в целевом кластере:

# YAML Deployment Method for StackRox Operator
# Create a StackRox Central Services instance
---
apiVersion: platform.stackrox.io/v1alpha1
kind: Central
metadata:
  name: stackrox-central-services
  namespace: stackrox-operator
  labels: {}
  annotations:
    cpaas.io/display-name: ""
spec:
  egress:
    connectivityPolicy: Online  # Supported: Online/Offline. Offline mode requires manual upload of the vulnerability database.
  central:
    exposure:
      ingress:
        enabled: true
        host: example.com
        tls:
          secretName: central-ingress-tls
      nodePort:
        enabled: true
      loadBalancer:
        enabled: false
    db:
      passwordSecret:
        name: central-db-password
      connectionString: host=central-db.stackrox port=5432 user=postgres sslmode=require  # Specify the database connection string

    # Tolerations Optional
    # If you want this component to only run on specific nodes, you can configure tolerations of tainted nodes.
    tolerations:
    - effect: NoSchedule
      key: node-role.kubernetes.io/infra
      value: reserved
      operator: Equal
    nodeSelector:
      node-role.kubernetes.io/infra: ""
  

  # scannerV4 Optional
  scannerV4:
    db:
      tolerations:
      - effect: NoSchedule
        key: node-role.kubernetes.io/infra
        value: reserved
        operator: Equal

      nodeSelector:
        node-role.kubernetes.io/infra: ""

    indexer:
      scaling:
        autoScaling: Enabled
        maxReplicas: 5
        minReplicas: 2
        replicas: 3
      tolerations:
        - effect: NoSchedule
        key: node-role.kubernetes.io/infra
        value: reserved
        operator: Equal
      nodeSelector:
        node-role.kubernetes.io/infra: ""

    matcher:
      scaling:
        autoScaling: Enabled
        maxReplicas: 5
        minReplicas: 1
        replicas: 3
      tolerations:
      - effect: NoSchedule
        key: node-role.kubernetes.io/infra
        value: reserved
        operator: Equal
      nodeSelector:
        node-role.kubernetes.io/infra: ""

  # Ingress domain certificate CA or cert. If ingress is not enabled, no configuration is needed.
  tls:
    additionalCAs:
      - content: |-
          -----BEGIN CERTIFICATE-----
          MIIB0TCCAXigAwIBAgIUXvN2ovk16V6+7jUAJpYdEXo1K4UwCgYIKoZIzj0EAwIw
          RzEnMCUGA1UEAxMeU3RhY2tSb3ggQ2VydGlmaWNhdGUgQXV0aG9yaXR5MRwwGgYD
          VQQFExM2MDYyNzAwMjg3MTkxNjM0NDY4MB4XDTI1MDkyNTA2MjQwMFoXDTMwMDky
          NDA2MjQwMFowRzEnMCUGA1UEAxMeU3RhY2tSb3ggQ2VydGlmaWNhdGUgQXV0aG9y
          aXR5MRwwGgYDVQQFExM2MDYyNzAwMjg3MTkxNjM0NDY4MFkwEwYHKoZIzj0CAQYI
          KoZIzj0DAQcDQgAE57RYqus1/v3VcJ/fP+vG4flQ8uunyx2lguQ9cT0VYOZJnKDh
          FQ/58jgEPeHGgu+wU2Mvjumc7qFe1gP/jSuW66NCMEAwDgYDVR0PAQH/BAQDAgEG
          MA8GA1UdEwEB/wQFMAMBAf8wHQYDVR0OBBYEFKxLpgvy2HnDYZTQw2nIiLdR3fxh
          MAoGCCqGSM49BAMCA0cAMEQCID2uapFJnsdM4BGmnRCx7HqUrwrpBEjXZ98atcKO
          IDCXAiAwuYzXAIMLNfLRakIz+hXxvvGY3+A5ZeRARZQVPatTaQ==
          -----END CERTIFICATE-----
        name: additional-ca

Настройки Central

Параметр	Описание
central.nodeSelector	Если nodeSelector выбирает помеченные (tainted) ноды, используйте этот параметр для указания toleration с ключом, значением и эффектом для Central. Этот параметр в основном используется для инфраструктурных нод.
central.tolerations	Если nodeSelector выбирает помеченные (tainted) ноды, используйте этот параметр для указания toleration с ключом, значением и эффектом для Central. Этот параметр в основном используется для инфраструктурных нод.
central.exposeMonitoring	Укажите true, чтобы открыть endpoint метрик Prometheus для Central на порту 9090.
central.image.registry	Пользовательский реестр, который переопределяет глобальный параметр image.registry для образа Central.
central.image.name	Пользовательское имя образа, которое переопределяет имя образа Central по умолчанию (main).
central.image.tag	Пользовательский тег образа, который переопределяет тег по умолчанию для образа Central. Если вы указываете собственный тег образа при новой установке, при обновлении до новой версии необходимо вручную увеличить этот тег, выполнив команду helm upgrade. Если вы зеркалите образы Central в собственном реестре, не изменяйте оригинальные теги образов.
central.image.fullRef	Полная ссылка, включая адрес реестра, имя образа и тег образа для Central. Установка этого параметра переопределяет параметры central.image.registry, central.image.name и central.image.tag.
central.resources.requests.memory	Запрос памяти для Central.
central.resources.requests.cpu	Запрос CPU для Central.
central.resources.limits.memory	Лимит памяти для Central.
central.resources.limits.cpu	Лимит CPU для Central.
central.exposure.loadBalancer.enabled	Укажите true, чтобы открыть Central через load balancer.
central.exposure.loadBalancer.port	Номер порта для открытия Central. Порт по умолчанию — 443.
central.exposure.nodePort.enabled	Укажите true, чтобы открыть Central через node port сервис.
central.exposure.nodePort.port	Номер порта для открытия Central. Если этот параметр пропущен, Alauda Container Platform автоматически назначит номер порта. Red Hat рекомендует не указывать номер порта, если вы открываете StackRox через node port.
central.exposure.ingress.enabled	Укажите true, чтобы открыть Central через ingress. Если установлено false, все настройки ingress отключаются. Этот параметр доступен только для кластеров Alauda Container Platform.
central.exposure.ingress.host	Используйте этот параметр для указания пользовательского hostname для маршрута passthrough Central. Оставьте пустым, чтобы принять значение по умолчанию, предоставляемое Alauda Container Platform. Этот параметр доступен только для кластеров Alauda Container Platform.
central.exposure.ingress.ingressClassName	Укажите пользовательское имя ingress-класса для ingress Central.
central.exposure.ingress.tls.secretName	Настройте ingress Central с TLS-секретом.
central.db.passwordSecret.name	Укажите секрет, содержащий пароль в элементе данных "password".
central.db.connectionString	Укажите строку подключения, соответствующую базе данных, управляемой в другом месте.
scannerV4.db.tolerations	Если вы хотите, чтобы этот компонент запускался только на определённых нодах, можно настроить tolerations для помеченных нод.
scannerV4.db.nodeSelector	Если вы хотите, чтобы этот компонент запускался только на определённых нодах, можно настроить nodeSelector здесь.
scannerV4.indexer.scaling.autoScaling	При включении количество реплик компонента управляется динамически в зависимости от нагрузки в пределах указанных ниже ограничений.
scannerV4.indexer.scaling.maxReplicas
scannerV4.indexer.scaling.minReplicas
scannerV4.indexer.scaling.replicas	При отключённом автоскейлинге количество реплик всегда будет настроено в соответствии с этим значением.
scannerV4.indexer.tolerations	Если вы хотите, чтобы этот компонент запускался только на определённых нодах, можно настроить tolerations для помеченных нод.
scannerV4.indexer.nodeSelector	Если вы хотите, чтобы этот компонент запускался только на определённых нодах, можно настроить nodeSelector здесь.
scannerV4.matcher.scaling.autoScaling	При включении количество реплик компонента управляется динамически в зависимости от нагрузки в пределах указанных ниже ограничений.
scannerV4.matcher.scaling.maxReplicas
scannerV4.matcher.scaling.minReplicas
scannerV4.matcher.scaling.replicas	При отключённом автоскейлинге количество реплик всегда будет настроено в соответствии с этим значением.
scannerV4.matcher.tolerations	Если вы хотите, чтобы этот компонент запускался только на определённых нодах, можно настроить tolerations для помеченных нод.
scannerV4.matcher.nodeSelector	Если вы хотите, чтобы этот компонент запускался только на определённых нодах, можно настроить nodeSelector здесь.
tls.additionalCAs	Позволяет указать дополнительные доверенные корневые CA.

Доступ к консоли Central

Адрес: https://example.com (адрес хоста ingress Central)
Начальная учётная запись: admin
Начальный пароль: Начальный пароль хранится в секрете stackrox central-htpasswd.
kubectl -n stackrox-operator get secret central-htpasswd -o go-template='{{index .data "password" | base64decode}}'

Установка Cluster Service

Процедура перед установкой кластера

Скачайте CLI-инструмент согласно руководству Download CLI с платформы.
Выполните команду для генерации сертификата доступа к кластеру:
roxctl central crs generate <cluster name> --output crs.yaml --endpoint <stackrox central address> --password <central admin password>
Пароль можно получить из секрета central-htpasswd.

Создайте CR YAML для Secured Cluster

kubectl apply -f crs.yaml -n stackrox-operator

Установка кластера через UI

Войдите на платформу и перейдите на страницу Administrator.
В левой навигационной панели выберите Marketplace -> OperatorHub, чтобы перейти на страницу OperatorHub.
Найдите Alauda Security Service для StackRox, нажмите на карточку для перехода на страницу Details.
Перейдите на вкладку All Instances, нажмите Create и выберите Central для перехода на страницу Create Cluster Service.
Заполните параметры конфигурации согласно подсказкам.
Нажмите Create для завершения установки Cluster Service.

Установка кластера через YAML

Примените следующий YAML в целевом кластере:

---
# Create a StackRox Secured Cluster Services instance
---
apiVersion: platform.stackrox.io/v1alpha1
kind: SecuredCluster
metadata:
  name: stackrox-secured-cluster-services
  namespace: stackrox-operator
  labels: {}
  annotations:
    cpaas.io/display-name: ""
spec:
  clusterName: business-1
  centralEndpoint: wss://example.com:443  # Specify the address of StackRox Central Services. If it is in the same cluster as Central, configuration may not be necessary.

  # AdmissionControl Optional
  admissionControl:
    replicas: 3
    tolerations:
      - effect: NoSchedule
        key: node-role.kubernetes.io/infra
        value: reserved
        operator: Equal
    nodeSelector:
      node-role.kubernetes.io/infra: ""

  # Sensor Optional
  sensor:
    tolerations:
      - effect: NoSchedule
        key: node-role.kubernetes.io/infra
        value: reserved
        operator: Equal
    nodeSelector:
      node-role.kubernetes.io/infra: ""

  # Ingress domain certificate CA or cert. If ingress is not enabled, no configuration is needed.
  tls: 
    additionalCAs:
      content: |-
        -----BEGIN CERTIFICATE-----
        MIIB0TCCAXigAwIBAgIUXvN2ovk16V6+7jUAJpYdEXo1K4UwCgYIKoZIzj0EAwIw
        RzEnMCUGA1UEAxMeU3RhY2tSb3ggQ2VydGlmaWNhdGUgQXV0aG9yaXR5MRwwGgYD
        VQQFExM2MDYyNzAwMjg3MTkxNjM0NDY4MB4XDTI1MDkyNTA2MjQwMFoXDTMwMDky
        NDA2MjQwMFowRzEnMCUGA1UEAxMeU3RhY2tSb3ggQ2VydGlmaWNhdGUgQXV0aG9y
        aXR5MRwwGgYDVQQFExM2MDYyNzAwMjg3MTkxNjM0NDY4MFkwEwYHKoZIzj0CAQYI
        KoZIzj0DAQcDQgAE57RYqus1/v3VcJ/fP+vG4flQ8uunyx2lguQ9cT0VYOZJnKDh
        FQ/58jgEPeHGgu+wU2Mvjumc7qFe1gP/jSuW66NCMEAwDgYDVR0PAQH/BAQDAgEG
        MA8GA1UdEwEB/wQFMAMBAf8wHQYDVR0OBBYEFKxLpgvy2HnDYZTQw2nIiLdR3fxh
        MAoGCCqGSM49BAMCA0cAMEQCID2uapFJnsdM4BGmnRCx7HqUrwrpBEjXZ98atcKO
        IDCXAiAwuYzXAIMLNfLRakIz+hXxvvGY3+A5ZeRARZQVPatTaQ==
        -----END CERTIFICATE-----
      name: additional-ca

Настройки Secured Cluster

Параметр	Описание
clusterName	Уникальное имя этого кластера, которое будет отображаться в UI StackRox. Внимание: после установки имени изменить его нельзя. Для регистрации кластера с новым именем необходимо удалить и создать объект заново.
centralEndpoint	Адрес подключения к экземпляру StackRox Central, включая номер порта. Если порт не указан и в endpoint указан протокол https://, то по умолчанию используется порт 443. Если используется load balancer без поддержки gRPC, используйте протокол WebSocket, добавив префикс wss:// к адресу endpoint. Внимание: если оставить пустым, Sensor попытается подключиться к Central в том же namespace.
admissionControl.replicas	Количество реплик пода admission control.
admissionControl.tolerations	Если вы хотите, чтобы этот компонент запускался только на определённых нодах, можно настроить tolerations для помеченных нод.
admissionControl.nodeSelector	Если вы хотите, чтобы этот компонент запускался только на определённых нодах, можно настроить nodeSelector здесь.
sensor.tolerations	Если вы хотите, чтобы этот компонент запускался только на определённых нодах, можно настроить tolerations для помеченных нод.
sensor.nodeSelector	Если вы хотите, чтобы этот компонент запускался только на определённых нодах, можно настроить nodeSelector здесь.
tls.additionalCAs	Позволяет указать дополнительные доверенные корневые CA.

#Установка Alauda Security Service для StackRox

#Содержание

#Требования к установке

#Загрузка и импорт

#Установка StackRox Operator

#Установка Central Service

#Процедура перед установкой

#Установка через UI

#Установка через YAML

#Настройки Central

#Доступ к консоли Central

#Установка Cluster Service

#Процедура перед установкой кластера

#Установка кластера через UI

#Установка кластера через YAML

#Настройки Secured Cluster