Pasos previos a la instalación en una red privada
Preparación para instalar la solución en una red corporativa privada:
- Conecte el repositorio de Helm del proveedor que contiene el paquete de Helm Chart.
export CHART_URL="xxxxxx"
export CHART_USERNAME="xxxxxx"
export CHART_PASSWORD="xxxxxx"
export VERSION="xxxxxx"
El proveedor proporciona los valores de
CHART_URL, CHART_USERNAME, CHART_PASSWORD, and VERSION
. - Cargue el archivo con la configuración de instalación (values.yaml) incluida en el kit de distribución de la solución de acuerdo con los comentarios en el archivo.
En el archivo values.yaml, no recomendamos especificar los datos de la cuenta que se utilizarán al iniciar el paquete de Helm Chart.
Puede utilizar uno de los siguientes métodos seguros para administrar los secretos:
- Uso de sistemas de CI/CD. Los secretos se especifican mediante variables de entorno protegidas o mecanismos integrados de administración de secretos. Durante el despliegue, los datos se insertan dinámicamente en el Helm Chart; no es necesario especificarlos de manera pública en el archivo de configuración values.yaml.
- Integración a HashiCorp Vault. Helm Chart admite la integración a HashiCorp Vault, donde puede almacenar secretos y solo debe indicar las rutas a los secretos en values.yaml.
Los valores de
pull-secret
para Docker Registry no se pueden almacenar por completo en HashiCorp Vault. Recomendamos especificar los valores depull-secret
manualmente en la sección con los parámetros del clúster de Kubernetes y referenciarlos desde Helm Chart.
En el archivo values.yaml, se deben especificar las siguientes configuraciones de instalación principales:
- Nombre del espacio de nombres
helm upgrade --install kcs . \
--create-namespace \
--namespace kcs \
--values values.yaml \
- El nombre de dominio de Kaspersky Container Security para conexiones entrantes.
--set default.domain="kcs.ejemplo.dominio.ru" \
Cuando las directivas de red están activadas, debe especificar uno o más espacios de nombres para el controlador de entrada del clúster.
--set default.networkPolicies.ingressControllerNamespaces="{ingress-nginx}" \
De manera predeterminada, las directivas de red están activadas.
- Secretos de los componentes de la solución.
--set secret.infracreds.envs.POSTGRES_USER="user" \
--set-string secret.infracreds.envs.POSTGRES_PASSWORD="pass" \
--set secret.infracreds.envs.MINIO_ROOT_USER="user" \
--set-string secret.infracreds.envs.MINIO_ROOT_PASSWORD="password" \
--set-string secret.infracreds.envs.CLICKHOUSE_ADMIN_PASSWORD="pass" \
--set secret.infracreds.envs.MCHD_USER="user" \
--set-string secret.infracreds.envs.MCHD_PASS="pass" \
Para garantizar la seguridad, los componentes de la solución deben utilizar credenciales generadas por el administrador del sistema de manera independiente según las directivas de seguridad corporativas. Durante el despliegue del componente de destino dentro de una solución, el usuario y la contraseña especificados se crean automáticamente. Si se utiliza un servicio de terceros, debe proporcionar el nombre de usuario y la contraseña que el administrador creó en el servicio.
- Secretos relacionados con el acceso al repositorio de instalación de la solución.
--set pullSecret.kcs-pullsecret.username="user" \
--set pullSecret.kcs-pullsecret.password="pass"
Si tiene la intención de desplegar el sistema mediante un registro de Kaspersky, debe especificar las credenciales que recibió cuando adquirió Kaspersky Container Security. Si tiene la intención de utilizar un registro privado o un registro proxy, debe especificar las credenciales de su registro.
- Configuración del almacenamiento de secretos en HashiCorp Vault:
- La marca
enabled
activa la integración al almacenamiento. El valorvault.enabled = true
indica que se estableció la integración a HashiCorp Vault. Los valores de las variables de entorno se obtienen del almacenamiento. mountPath
es la ruta al directorio con los secretos en el almacenamiento.- El parámetro
role
es el rol para usarse en la autenticación del almacenamiento.
- La marca
Recomendamos no cambiar la composición de la configuración de instalación básica.
- Si usa un DBMS de PostgresSQL externo, indique lo siguiente:
--set default.postgresql.external="true"
--set configmap.infraconfig.envs.postgres_host="
<Dirección IP o FQDN del DBMS de PostgresSQL>
"--set configmap.infraconfig.envs.postgres_port="<
puerto para conectarse al DBMS de PostgresSQL; de manera predeterminada, se usa el puerto 5432
>"--set configmap.infraconfig.envs.postgres_db_name="
nombre de la base de datos creada por el administrador del DBMS de PostgresSQL; de manera predeterminada, se usa api
>"También debe solicitar al administrador del DBMS de PostgreSQL que indique los requisitos para la verificación de los certificados del servidor del DBMS. Kaspersky Container Security admite los siguientes modos de verificación:
--set configmap.infraconfig.envs.postgres_verify_level = "disable"
: el certificado del servidor no está verificado.--set configmap.infraconfig.envs.postgres_verify_level= "require"
: el certificado es obligatorio; la solución confía en cualquier certificado sin ninguna otra verificación.--set configmap.infraconfig.envs.postgres_verify_level= "verify-ca"
: el certificado es obligatorio; la solución verifica que una CA (autoridad de certificación) de confianza haya emitido el certificado.--set configmap.infraconfig.envs.postgres_verify_level= "verify-full"
: el certificado es obligatorio; la solución verifica que una CA de confianza haya emitido el certificado y que el certificado contenga la dirección IP o FQDN correctos.
Si necesita verificar el certificado de un DBMS de PostgresSQL externo, siga estos pasos:
- Cargue la parte pública del certificado de la CA en la carpeta que contiene el paquete de Helm Chart con la máscara
certs/pgsql-ca.crt
. - Especifique el siguiente parámetro de verificación:
--set configmap.infraconfig.envs.postgres_root_ca_path="/etc/ssl/certs/pgsql-ca.crt"
. - Quite las marcas de comentarios en la sección
secret.cert-pgsql-ca
del archivo de configuración values.yaml para crear el secreto.
- Guarde el archivo con la configuración de instalación y proceda a instalar la solución.