卡巴斯基容器安全

代理部署

您应该在要保护的集群的所有节点上都安装代理。

每个集群上都安装单独的一组代理。

要在集群中部署代理：

1. 在主菜单中，转到“组件 → 代理”部分。
2. 在工作窗格中，单击“添加代理组”按钮。
3. 填写表单中的字段。
   1. 输入组名称。为了方便代理管理，我们建议根据将在其节点上部署代理的集群来对代理组进行命名。
   2. 如需要，请输入代理组的描述。
   3. 选择代理类型。
   4. 选择目标节点操作系统的类型。
   5. 选择要使用的编排器。
4. 在“KCS 仓库”部分中，输入用于安装代理的镜像所在仓库的网址。要访问仓库，必须指定正确的用户名和密码。
5. 在“节点监控”下，使用“禁用/启用”切换按钮开始监控和分析网络状态、容器内进程以及文件威胁防护的以下设置：
   • 网络连接监控。使用流量捕获设备（网络监视器）和 eBPF 模块监控网络连接的状态。此过程考虑适用的运行时策略和容器运行时配置文件。
   • 容器进程监控。基于适用的运行时策略规则和容器运行时配置文件规则，使用 eBPF 程序监控容器进程。
   • 文件威胁防护。要跟踪恶意软件数据库更新，请指定以下值之一：
     • 恶意软件数据库更新 URL：卡巴斯基容器安全更新服务的网址。
     • 恶意软件数据库更新代理：云或本地更新服务器的 HTTP 代理。

     如果使用kcs-updates容器更新恶意软件数据库，则必须如下指定数据库更新工具的 URL：<domain>/kuu/updates（例如，https://kcs.company.com/kuu/updates）。

     默认情况下，文件威胁防护数据库从卡巴斯基云服务器更新。

   可以禁用不需要的监控步骤，以避免节点上不必要的负载。

6. 在“部署数据”下，指定集群命名空间的名称。
7. 单击“保存”。

   已完成表单下方的工作窗格将显示继续将代理部署到集群所需的数据。

8. 要复制自动生成的部署令牌，请单击“复制”。部署令牌：代理用于连接服务器的标识符。
9. 使用“配置”字段中的指令在集群中部署代理。例如：

   kubectl apply -f <文件> -n <命名空间>

   您可以复制该说明或以 .YAML 格式下载。应用指令后，代理将被部署到集群的所有工作节点上。

如果您更改以下设置：

• 解决方案的 TLS 证书，
• 用于下载 kube-agent 和 node-agent 镜像的 URL、用户名和密码，
• 节点状态监控部分中的设置，

解决方案会自动更新代理部署说明。

您必须再次复制或下载 .YAML 文件中的更新说明，然后使用kubectl apply -f file > -n namespace > 命令应用它。否则，不会应用对代理部署设置的更改。