Bereitstellen mit Operatoren

Operatoren

Operatoren nehmen menschliches Betriebswissen und kodieren es in Software, die leichter mit Nutzern geteilt werden kann. Operatoren sind Softwarekomponenten, die die betriebliche Komplexität beim Ausführen einer anderen Softwarekomponente erleichtern. Technisch gesehen sind Operatoren eine Methode zum Verpacken, Bereitstellen und Verwalten einer Kubernetes-Anwendung.

SUSE® Security Operatoren

Der SUSE® Security Operator basiert auf dem SUSE® Security Helm-Chart. Der SUSE® Security RedHat OpenShift Operator läuft in der OpenShift-Containerplattform, um die SUSE® Security Sicherheitsclusterkomponenten bereitzustellen und zu verwalten. Der SUSE® Security Operator enthält alle notwendigen Informationen, um SUSE® Security mit Helm-Charts bereitzustellen. Sie müssen einfach den SUSE® Security Operator aus dem eingebetteten Operator-Hub von OpenShift installieren und die SUSE® Security Instanz erstellen.

Um die neuesten SUSE® Security Container-Versionen bereitzustellen, verwenden Sie entweder den link:https://catalog.redhat.com/search?searchType=software&deployed_as=Operator&partnerName=SUSE® Security&p=1[Red Hat Certified Operator] aus dem Operator Hub oder den Community-Operator. Die Dokumentation für den Community-Operator finden Sie SUSE® Security Operator.

Hinweis zu SCC und Upgrade

Privileged SCC wird dem Dienstkonto hinzugefügt, das in der Bereitstellungs-YAML von Operator-Version 1.3.4 und höher in neuen Bereitstellungen angegeben ist. Im Falle eines Upgrades des SUSE® Security Operators von einer vorherigen Version auf 1.3.4, bitte Privileged SCC vor dem Upgrade löschen.

oc delete rolebinding -n neuvector system:openshift:scc:privileged

SUSE® Security Zertifizierte Operator-Versionen sind an SUSE® Security Produktversionen gebunden, und jede neue Version muss einen Zertifizierungsprozess mit Red Hat durchlaufen, bevor sie veröffentlicht wird. Die zertifizierte Operator-Version für 5.3.x ist an die Helm-Version 2.7.2 und die SUSE® Security App-Version 5.3.2 gebunden. Die zertifizierte Operator-Version 1.3.9 ist an die SUSE® Security Version 5.2.0 gebunden. Die zertifizierte Operator-Version 1.3.7 ist an die SUSE® Security Version 5.1.0 gebunden. Die Operator-Version 1.3.4 ist an SUSE® Security 5.0.0 gebunden. Wenn Sie die Versionstags der SUSE® Security bereitgestellten Container ändern möchten, verwenden Sie bitte die Community-Version.

Bereitstellen mit zertifiziertem Operator

Bereitstellen mit dem von Red Hat zertifizierten Operator aus dem Operator Hub

SUSE® Security Operator-Versionen sind an SUSE® Security Produktversionen gebunden, und jede neue Produktversion muss vor der Veröffentlichung einen Zertifizierungsprozess mit Red Hat durchlaufen.

Technische Hinweise

SUSE® Security Container-Images werden von registry.connect.redhat.com unter Verwendung des RedHat-Marktplatz-Image-Pull-Geheimnisses abgerufen.
Die SUSE® Security Manager-Benutzeroberfläche wird typischerweise über eine OpenShift-Passthrough-Route auf einer Domain bereitgestellt. Zum Beispiel auf IBM Cloud neuvector-route-webui-neuvector.(cluster_name)-(random_hash)-0000.(region).containers.appdomain.cloud. Es kann auch als Dienst neuvector-service-webui über eine NodePort-Adresse oder eine öffentliche IP-Adresse bereitgestellt werden.
OpenShift-Version >=4.6.
1. Erstellen Sie das Projekt neuvector
  oc new-project neuvector
2. Installieren Sie den von RedHat zertifizierten Operator aus dem Operator Hub
  - Navigieren Sie in der OpenShift Console UI zu OperatorHub
  - Suchen Sie nach SUSE® Security Operator und wählen Sie die Auflistung ohne Community- oder Marktplatz-Abzeichen aus.
  - Klicken Sie auf Installieren
3. Konfigurieren Sie den Update-Kanal
  - Der aktuelle neueste Kanal ist beta, könnte aber in Zukunft auf stabil verschoben werden.
  - Wählen Sie stabil, wenn verfügbar
4. Konfigurieren Sie den Installationsmodus und den installierten Namespace
  - Wählen Sie einen bestimmten Namespace im Cluster aus.
  - Wählen Sie neuvector als installierten Namespace aus.
  - Genehmigungsstrategie konfigurieren
5. Installation bestätigen
6. Bereiten Sie die YAML-Konfigurationswerte für die SUSE® Security Installation wie im folgenden Beispiel-Screenshot dargestellt vor. Die in der OpenShift-Konsole angezeigte YAML bietet alle verfügbaren Konfigurationsoptionen und deren Standardwerte.
7. Wenn der Operator installiert und einsatzbereit ist, kann eine SUSE® Security Instanz installiert werden.
  - Klicken Sie auf Operator anzeigen (nach der Installation des Operators) oder wählen Sie den SUSE® Security Operator aus der Ansicht der installierten Operatoren aus
  - Klicken Sie auf Instanz erstellen
  - Wählen Sie Konfigurieren über YAML-Ansicht
  - Fügen Sie die vorbereiteten YAML-Konfigurationswerte ein
  - Klicken Sie auf Erstellen
8. Überprüfen Sie die Installation der SUSE® Security Instanz
  - Navigieren Sie zu den Operator-Details des SUSE® Security Operators
  - Öffnen Sie die SUSE® Security Registerkarte
  - Wählen Sie die neuvector-default Instanz aus
  - Öffnen Sie die Registerkarte Ressourcen
  - Überprüfen Sie, ob die Ressourcen den Status 'Created' oder 'Running' haben.

Nachdem Sie die SUSE® Security Plattform erfolgreich in Ihrem Cluster bereitgestellt haben, melden Sie sich bei der SUSE® Security Konsole unter https://neuvector-route-webui-neuvector.(OC_INGRESS) an. * Melden Sie sich mit dem ursprünglichen Benutzernamen admin und dem Passwort admin an. * Akzeptieren Sie den SUSE® Security Endbenutzer-Lizenzvertrag. * Ändern Sie das Passwort des Admin-Benutzers. Optional können Sie auch zusätzliche Benutzer im Menü Einstellungen → Benutzer & Rollen erstellen. Jetzt sind Sie bereit, die SUSE® Security Konsole zu verwenden, um Schwachstellenscans durchzuführen, laufende Anwendungspods zu beobachten und Sicherheitsmaßnahmen für Container anzuwenden.

Upgrade SUSE® Security

Aktualisieren Sie die SUSE® Security-Version, indem Sie die mit der gewünschten SUSE® Security-Version verbundene Operator-Version aktualisieren.

Bereitstellen mit Community-Operator

Bereitstellen mit dem SUSE® Security Community-Operator aus dem Operator Hub

Technische Hinweise

SUSE® Security Container-Images werden vom Docker Hub aus dem SUSE® Security-Konto abgerufen.
Die SUSE® Security-Manager-Benutzeroberfläche wird typischerweise über eine OpenShift-Passthrough-Route auf einer Domain bereitgestellt. Zum Beispiel auf IBM Cloud neuvector-route-webui-neuvector.(cluster_name)-(random_hash)-0000.(region).containers.appdomain.cloud. Es kann auch als Dienst neuvector-service-webui über eine NodePort-Adresse oder eine öffentliche IP-Adresse bereitgestellt werden.
OpenShift-Version 4.6+
Es wird empfohlen, die SUSE® Security-Installationskonfiguration zu überprüfen und zu ändern, indem Sie die YAML-Werte vor der Erstellung der SUSE® Security-Instanz anpassen. Beispiele sind imagePullSecrets-Name, Tag-Version, Ingress-/Konsole-Zugriff, Multi-Cluster-Föderation, persistente Volumen-PVC usw. Bitte beziehen Sie sich auf die Helm-Anweisungen unter https://github.com/neuvector/neuvector-helm für die Werte, die während der Installation geändert werden können.
1. Erstellen Sie das Projekt neuvector
  oc new-project neuvector
2. Installieren Sie den SUSE® Security Community-Operator aus dem Operator Hub
  - Navigieren Sie in der OpenShift Console UI zu OperatorHub
  - Suchen Sie nach dem SUSE® Security Operator und wählen Sie die Anzeige mit dem Community-Abzeichen aus
  - Klicken Sie auf Installieren
  - Aktualisierungskanal konfigurieren. Der aktuelle neueste Kanal ist beta, könnte aber in Zukunft auf stabil verschoben werden. Wählen Sie stabil, wenn verfügbar.
  - Konfigurieren Sie den Installationsmodus und den installierten Namespace
  - Wählen Sie einen bestimmten Namespace im Cluster aus.
  - Wählen Sie neuvector als installierten Namespace aus.
  - Genehmigungsstrategie konfigurieren
  - Installation bestätigen
3. Laden Sie das Kubernetes-Secret-Manifest herunter, das die Anmeldeinformationen zum Zugriff auf das SUSE® Security-Container-Registry enthält. Speichern Sie die YAML-Manifestdatei unter ./neuvector-secret-registry.yaml.
4. Wenden Sie das Kubernetes-Secret-Manifest an, das die Anmeldeinformationen für das Registry enthält.
  kubectl apply -n neuvector -f ./neuvector-secret-registry.yaml
5. Bereiten Sie die YAML-Konfigurationswerte für die SUSE® Security-Installation vor, beginnend mit dem folgenden YAML-Ausschnitt. Stellen Sie sicher, dass Sie die gewünschte SUSE® Security-Version im 'Tag'-Wert angeben. Überprüfen Sie die Referenz der Werte im SUSE® Security Helm-Chart, um verfügbare Konfigurationsoptionen zu erhalten. Es gibt andere mögliche Helm-Werte, die in der YAML konfiguriert werden können, wie zum Beispiel, ob Sie den Cluster so konfigurieren, dass er das Multi-Cluster-Management ermöglicht, indem Sie die Master- (Federated Master) oder Remote- (Federated Worker) Dienste exponieren.
  apiVersion: apm.neuvector.com/v1alpha1 kind: Neuvector metadata: name: neuvector-default namespace: neuvector spec: openshift: true tag: 4.3.0 registry: docker.io exporter: image: repository: prometheus-exporter tag: 0.9.0 manager: enabled: true env: ssl: true image: repository: manager svc: type: ClusterIP route: enabled: true termination: passthrough enforcer: enabled: true image: repository: enforcer cve: updater: enabled: true image: repository: updater tag: latest schedule: 0 0 * * * scanner: enabled: true replicas: 3 image: repository: scanner tag: latest controller: enabled: true image: repository: controller replicas: 3
6. Wenn der Operator installiert und einsatzbereit ist, kann eine SUSE® Security Instanz installiert werden.
  - Klicken Sie auf Operator anzeigen (nach der Installation des Operators) oder wählen Sie den SUSE® Security Operator aus der Ansicht der installierten Operatoren aus
  - Klicken Sie auf Instanz erstellen
  - Wählen Sie Konfigurieren über YAML-Ansicht
  - Fügen Sie die vorbereiteten YAML-Konfigurationswerte ein
  - Klicken Sie auf Erstellen
7. Überprüfen Sie die Installation der SUSE® Security-Instanz.
  - Navigieren Sie zu den Operator-Details des SUSE® Security Operators
  - Öffnen Sie die SUSE® Security Registerkarte
  - Wählen Sie die neuvector-default Instanz aus
  - Öffnen Sie die Registerkarte Ressourcen
  - Überprüfen Sie, ob die Ressourcen den Status 'Created' oder 'Running' haben.
8. Nachdem Sie die SUSE® Security Plattform erfolgreich in Ihrem Cluster bereitgestellt haben, melden Sie sich bei der SUSE® Security Konsole unter https://neuvector-route-webui-neuvector.(INGRESS_DOMAIN) an.
  - Melden Sie sich mit dem initialen Benutzernamen admin und dem Passwort admin an.
  - Akzeptieren Sie den Endbenutzer-Lizenzvertrag für SUSE® Security.
  - Ändern Sie das Passwort des Admin-Benutzers.
  - Optional können Sie auch zusätzliche Benutzer im Menü Einstellungen → Benutzer & Rollen erstellen.

Jetzt sind Sie bereit, die SUSE® Security Konsole zu verwenden, um Schwachstellenscans durchzuführen, laufende Anwendungspods zu beobachten und Sicherheitsmaßnahmen für Container anzuwenden.

Aktualisierung SUSE® Security

Von Operatoren > Installierte Operatoren > SUSE® Security Operator
Klicken Sie auf SUSE® Security, um Instanzen aufzulisten
Klicken Sie auf YAML, um Parameter zu bearbeiten
Aktualisieren Sie das Tag und klicken Sie auf Speichern

Fehlerbehebung

Überprüfen Sie die Operator-Implementierungswerte in der bereitgestellten YAML-Datei
Überprüfen Sie, ob die Sicherheitskontextbeschränkung (SCC) für SUSE® Security in Schritt 2 erfolgreich hinzugefügt wurde
Überprüfen Sie die Werte des SUSE® Security Helm-Charts
Stellen Sie sicher, dass der Registry-Pfad und der Versionstag korrekt eingestellt sind (Community-Operator; zertifiziert verwendet die Standardwerte)
Stellen Sie sicher, dass die Route zum SUSE® Security Manager-Dienst neuvector-route-webui konfiguriert ist.