Contenido
Usar ClickHouse, el DBMS externo
Además del DBMS ClickHouse (componente de Kaspersky Container Security incluido en el kit de distribución), la solución también puede funcionar con los recursos del DBMS externo ClickHouse. Para ello, debe realizar las siguientes acciones:
- Cree una base de datos para Kaspersky Container Security, añada y configure usuarios, y defina una directiva de disco si se utilizan diferentes discos para el almacenamiento de datos de corto y largo plazo.
- Especifique las variables necesarias en el archivo de configuración values.yaml para el DBMS externo ClickHouse.
Kaspersky Container Security funciona con ClickHouse 22.6 o posterior.
Inicio de páginaCrear una base de datos para Kaspersky Container Security
Para crear una base de datos para Kaspersky Container Security, realice lo siguiente:
En ClickHouse, en la estación de trabajo, ejecute el siguiente comando:
CREATE DATABASE IF NOT EXISTS kcs
donde kcs
es el nombre de la base de datos para Kaspersky Container Security.
Para configurar la base de datos creada para Kaspersky Container Security:
- Añada usuarios y defina el método de autorización. Para ello, debe realizar las siguientes acciones:
- Añada los siguientes usuarios:
- un usuario con derechos para leer los datos que recibe el núcleo de Kaspersky Container Security (lectura)
<roles>
<kcs_reader_role>
<grants>
<query>GRANT SELECT ON kcs.*</query>
</grants>
</kcs_reader_role>
- un usuario con derechos para escribir datos a partir de solicitudes de agentes externos (escritura)
<roles>
<kcs_writer_role>
<grants>
<query>GRANT CREATE TABLE, INSERT, ALTER, UPDATE ON kcs.*</query>
<query>GRANT SELECT (source_ip, source_port, source_alias, dest_ip, dest_port, dest_alias, protocol, severity, action, event_time, count, type) ON kcs.node_agent_events</query>
</grants>
</kcs_writer_role>
- un usuario con derechos para leer los datos que recibe el núcleo de Kaspersky Container Security (lectura)
- Especifique el método para autorizar usuarios: con una contraseña o mediante un certificado.
Ejemplo de configuración de usuarios con autenticación mediante contraseña
Ejemplo de configuración de usuarios con autenticación mediante certificados
- Añada los siguientes usuarios:
- Especifique los discos para el almacenamiento de datos a corto y largo plazo. Al trabajar con ClickHouse, Kaspersky Container Security puede almacenar grandes cantidades de datos con diversos períodos de retención. De forma predeterminada, la mayoría de los eventos se almacenan durante 30 minutos como máximo, mientras que la información sobre incidentes se almacena durante 90 días como máximo. Dado que la grabación de eventos requiere una cantidad considerable de recursos, para garantizar una velocidad de grabación alta y suficiente espacio en disco, se recomienda usar diferentes discos para el almacenamiento de datos a corto y largo plazo.
Configuración del DBMS externo ClickHouse
Para configurar el uso del DBMS externo ClickHouse en Kaspersky Container Security:
- En el archivo de configuración values.yaml, especifique que la solución usará el DBMS externo ClickHouse:
default:
kcs-clickhouse:
external: true
- Especifique las variables para usar el DBMS externo ClickHouse:
configmap:
infraconfig:
type: fromEnvs
envs:
...<
variables para usar el DBMS externo ClickHouse
>
En esta sección, debe especificar las siguientes variables:
EXT_CLICKHOUSE_PROTOCOL
: protocolo para conectarse con el DBMS externo ClickHouseEXT_CLICKHOUSE_HOST
: host de la conexión con el DBMS externo ClickHouse externoEXT_CLICKHOUSE_PORT
: puerto para conectarse con el DBMS externo ClickHouseEXT_CLICKHOUSE_DB_NAME
: nombre de la base de datos preparada para usarse con Kaspersky Container SecurityEXT_CLICKHOUSE_COLD_STORAGE_NAME
: nombre del disco donde ClickHouse almacenará a largo plazo datos sobre incidentesEXT_CLICKHOUSE_STORAGE_POLICY_NAME
: nombre de la directiva de almacenamiento de datos según la que ClickHouse transferirá al disco los datos sobre incidentes para su almacenamiento a largo plazoSi usa el mismo disco para el almacenamiento de datos a corto y a largo plazo, no deberá especificar los valores de
EXT_CLICKHOUSE_COLD_STORAGE_NAME
ni deEXT_CLICKHOUSE_STORAGE_POLICY_NAME
.EXT_CLICKHOUSE_SSL_AUTH
: variable de la autenticación SSL para los usuarios de ClickHouse Si se especifica el valortrue
, la autenticación se realiza sin contraseñas, pero mediante certificados de clientes.Si
TLS_INTERNAL
tiene el valorfalse
,EXT_CLICKHOUSE_SSL_AUTH
también debe tener el valorfalse
.EXT_CLICKHOUSE_ROOT_CA_PATH
: ruta al certificado de CA, que se especifica si se usa el protocolo https para conectarse a ClickHouse (EXT_CLICKHOUSE_PROTOCOL: https
). Puede especificar la ruta de las siguientes maneras:- Coloque el certificado de CA de ClickHouse en el directorio que determina la ruta. En ese caso, debe quitar las marcas de comentarios del bloque
the secret.cert-kcs-clickhouse-ca
. - Use Vault para almacenar los datos del certificado. En este caso, debe quitar las marcar de comentarios del bloque
cert-kcs-clickhouse-ca
en la secciónvault.certificate
.
- Coloque el certificado de CA de ClickHouse en el directorio que determina la ruta. En ese caso, debe quitar las marcas de comentarios del bloque
- Especifique los valores de los secretos para usar el DBMS externo ClickHouse:
configmap:
secret:
infracreds:
type: fromEnvs
envs:
...<
secretos para usar el DBMS externo ClickHouse
>
En esta sección, debe especificar lo siguiente:
EXT_CLICKHOUSE_WRITE_USER
: nombre de un usuario con permisos de escritura, que se creó para usarse con Kaspersky Container SecurityCLICKHOUSE_WRITE_PASSWORD
: contraseña de un usuario con permisos de escritura, que se creó para usarse con Kaspersky Container SecurityEXT_CLICKHOUSE_READ_USER
: nombre de un usuario con permisos de lectura, que se preparó para usarse con Kaspersky Container SecurityCLICKHOUSE_READ_PASSWORD
: contraseña de un usuario con permisos de lectura, que se creó para usarse con Kaspersky Container SecurityLas variables
CLICKHOUSE_READ_PASSWORD
yCLICKHOUSE_WRITE_PASSWORD
no se usan si el valor deEXT_CLICKHOUSE_SSL_AUTH
estrue
.
Los nombres de usuario y contraseñas también pueden especificarse al usar el almacenamiento de secretos Vault.