Desplegar utilizando operadores

Operadores

Los operadores toman el conocimiento operativo humano y lo codifican en software que se comparte más fácilmente con los consumidores. Los operadores son piezas de software que facilitan la complejidad operativa de ejecutar otra pieza de software. Más técnicamente, los operadores son un método para empaquetar, desplegar y gestionar una aplicación de Kubernetes.

SUSE® Security Operadores

El SUSE® Security operador se basa en el SUSE® Security gráfico de Helm. El SUSE® Security operador de RedHat OpenShift se ejecuta en la plataforma de contenedores OpenShift para desplegar y gestionar los componentes del clúster de SUSE® Security Seguridad. El SUSE® Security operador contiene toda la información necesaria para desplegar SUSE® Security utilizando gráficos de Helm. Simplemente necesitas instalar el SUSE® Security operador desde el hub de operadores integrado de OpenShift y crear la instancia SUSE® Security.

Para desplegar las últimas versiones de contenedor SUSE® Security, utiliza ya sea el link:https://catalog.redhat.com/search?searchType=software&deployed_as=Operator&partnerName=SUSE® Security&p=1[Operador Certificado de Red Hat] del Hub de Operadores o el operador comunitario. La documentación para el operador comunitario se puede encontrar SUSE® Security operador.

Nota sobre SCC y actualización

El SCC privilegiado se añade a la cuenta de servicio especificada en el YAML de despliegue mediante la versión 1.3.4 o superior del operador en nuevos despliegues. En el caso de actualizar el SUSE® Security operador de una versión anterior a 1.3.4, por favor elimina el SCC privilegiado antes de actualizar.

oc delete rolebinding -n neuvector system:openshift:scc:privileged

Las versiones del operador certificado SUSE® Security están vinculadas a las versiones del producto SUSE® Security, y cada nueva versión debe pasar por un proceso de certificación con Red Hat antes de ser publicada. La versión del operador certificado para 5.3.x está vinculada a la versión de Helm 2.7.2 y a la versión de la aplicación SUSE® Security 5.3.2. La versión del operador certificado 1.3.9 está vinculada a la versión 5.2.0 de SUSE® Security. La versión del operador certificado 1.3.7 está vinculada a la versión 5.1.0 de SUSE® Security. La versión del operador 1.3.4 está vinculada a la versión 5.0.0 de SUSE® Security. Si deseas poder cambiar las etiquetas de versión de los contenedores SUSE® Security desplegados, por favor utiliza la versión comunitaria.

Desplegar utilizando el operador certificado.

Desplegar utilizando el operador certificado de Red Hat desde Operator Hub

Las versiones del SUSE® Security operador están vinculadas a las versiones del producto SUSE® Security, y cada nueva versión del producto debe pasar por un proceso de certificación con Red Hat antes de ser publicada.

Notas técnicas

Las imágenes de contenedor SUSE® Security se extraen de registry.connect.redhat.com utilizando el secreto de extracción de imágenes del mercado de Red Hat.
La interfaz de usuario del gestor SUSE® Security se expone típicamente a través de una ruta de paso de OpenShift en un dominio. Por ejemplo, en IBM Cloud neuvector-route-webui-neuvector.(nombre_del_cluster)-(hash_aleatorio)-0000.(región).containers.appdomain.cloud. También se puede exponer como el servicio neuvector-service-webui a través de una dirección de puerto de nodo o IP pública.
Versión de OpenShift >=4.6.
1. Crea el proyecto neuvector
  oc new-project neuvector
2. Instala el operador certificado de Red Hat desde Operator Hub
  - En la interfaz de usuario de la consola de OpenShift, navega a OperatorHub
  - Busca el operador SUSE® Security y selecciona la lista sin insignia de comunidad o mercado
  - Haga clic en Instalar
3. Configura el canal de actualización
  - El canal actual más reciente es beta, pero puede ser trasladado a estable en el futuro
  - Selecciona estable si está disponible
4. Configura el modo de instalación y el espacio de nombres instalado
  - Selecciona un espacio de nombres específico en el clúster
  - Selecciona neuvector como espacio de nombres instalado
  - Configura la estrategia de aprobación
5. Confirma instalación
6. Prepara los valores de configuración YAML para la instalación de SUSE® Security como se muestra en la captura de pantalla de ejemplo a continuación. El YAML presentado en la consola de OpenShift proporciona todas las opciones de configuración disponibles y sus valores predeterminados.
7. Cuando el operador esté instalado y listo para usar, se puede instalar una instancia de SUSE® Security.
  - Haz clic en Ver operador (después de la instalación del operador) o selecciona el SUSE® Security operador desde la vista de operadores instalados.
  - Haz clic en Crear instancia.
  - Selecciona Configurar a través de la vista YAML.
  - Pega los valores de configuración YAML preparados
  - Haga clic en Crear
8. Verifica la instalación de la instancia de SUSE® Security
  - Navega a los detalles del SUSE® Security operador.
  - Abre la pestaña SUSE® Security
  - Selecciona la instancia neuvector-default
  - Abre la pestaña Recursos
  - Verifica que los recursos estén en estado Creado o Ejecutándose

Después de haber desplegado con éxito la SUSE® Security plataforma en tu clúster, inicia sesión en la SUSE® Security consola en https://neuvector-route-webui-neuvector.(OC_INGRESS). * Inicia sesión con el nombre de usuario inicial admin y la contraseña admin. * Acepta SUSE® Security los términos de licencia. * Cambia la contraseña del usuario admin. Opcionalmente, también puede crear usuarios adicionales en el menú Configuración → Usuarios y Roles. Ahora estás listo para navegar por la SUSE® Security consola para comenzar el escaneo de vulnerabilidades, observar los pods de aplicaciones en ejecución y aplicar protecciones de seguridad a los contenedores.

Actualizando SUSE® Security.

Actualiza la versión de SUSE® Security actualizando la versión del operador asociada con la versión deseada de SUSE® Security.

Desplegar utilizando el Operador de la Comunidad

Desplegar utilizando el SUSE® Security Operador de la Comunidad desde el Operator Hub

Notas técnicas

Las imágenes de contenedor de SUSE® Security se extraen de Docker Hub desde la cuenta de SUSE® Security.
La interfaz de usuario del gestor de SUSE® Security se expone típicamente a través de una ruta de paso de OpenShift en un dominio. Por ejemplo, en IBM Cloud neuvector-route-webui-neuvector.(nombre_del_cluster)-(hash_aleatorio)-0000.(región).containers.appdomain.cloud. También se puede exponer como el servicio neuvector-service-webui a través de una dirección de puerto de nodo o IP pública.
Versión de OpenShift 4.6+
Se recomienda revisar y modificar la configuración de instalación de SUSE® Security modificando los valores yaml antes de crear la instancia de SUSE® Security. Los ejemplos incluyen el nombre de imagePullSecrets, la versión de la etiqueta, el acceso a ingress/console, la federación de múltiples clústeres, PVC de volumen persistente, etc. Por favor, consulta las instrucciones de Helm en https://github.com/neuvector/neuvector-helm para los valores que se pueden modificar durante la instalación.
1. Crea el proyecto neuvector
  oc new-project neuvector
2. Instala el Operador de la Comunidad SUSE® Security desde el Operator Hub
  - En la interfaz de usuario de la consola de OpenShift, navega a OperatorHub
  - Busca el Operador SUSE® Security y selecciona la lista con la insignia de comunidad
  - Haga clic en Instalar
  - Configura el canal de actualización. El canal actual más reciente es beta, pero puede ser trasladado a estable en el futuro. Selecciona estable si está disponible.
  - Configura el modo de instalación y el espacio de nombres instalado
  - Selecciona un espacio de nombres específico en el clúster
  - Selecciona neuvector como espacio de nombres instalado
  - Configura la estrategia de aprobación
  - Confirma instalación.
3. Descarga el manifiesto secreto de Kubernetes que contiene las credenciales para acceder al registro de contenedores de SUSE® Security. Guarda el archivo de manifiesto YAML en ./neuvector-secret-registry.yaml.
4. Aplica el manifiesto secreto de Kubernetes que contiene las credenciales del registro.
  kubectl apply -n neuvector -f ./neuvector-secret-registry.yaml
5. Prepara los valores de configuración YAML para la instalación de SUSE® Security comenzando desde el siguiente fragmento YAML. Asegúrate de especificar la versión deseada de SUSE® Security en el valor 'tag'. Consulta la referencia de valores en el SUSE® Security gráfico Helm para obtener opciones de configuración disponibles. Existen otros posibles valores de Helm que se pueden configurar en el YAML, como si configurarás el clúster para permitir la gestión de múltiples clústeres al exponer los servicios del Maestro (Maestro Federado) o remotos (Trabajador Federado).
  apiVersion: apm.neuvector.com/v1alpha1 kind: Neuvector metadata: name: neuvector-default namespace: neuvector spec: openshift: true tag: 4.3.0 registry: docker.io exporter: image: repository: prometheus-exporter tag: 0.9.0 manager: enabled: true env: ssl: true image: repository: manager svc: type: ClusterIP route: enabled: true termination: passthrough enforcer: enabled: true image: repository: enforcer cve: updater: enabled: true image: repository: updater tag: latest schedule: 0 0 * * * scanner: enabled: true replicas: 3 image: repository: scanner tag: latest controller: enabled: true image: repository: controller replicas: 3
6. Cuando el operador esté instalado y listo para usar, se puede instalar una instancia de SUSE® Security.
  - Haz clic en Ver operador (después de la instalación del operador) o selecciona el operador SUSE® Security desde la vista de operadores instalados
  - Haz clic en Crear instancia
  - Selecciona Configurar a través de la vista YAML
  - Pega los valores de configuración YAML preparados
  - Haga clic en Crear
7. Verifica la instalación de la SUSE® Security instancia.
  - Navega a los detalles del operador del operador SUSE® Security
  - Abre la pestaña SUSE® Security
  - Selecciona la instancia neuvector-default
  - Abre la pestaña Recursos
  - Verifica que los recursos estén en estado Creado o Ejecutándose
8. Después de haber desplegado con éxito la SUSE® Security Plataforma en tu clúster, inicia sesión en la SUSE® Security consola en https://neuvector-route-webui-neuvector.(INGRESS_DOMAIN).
  - Inicia sesión con el nombre de usuario inicial admin y la contraseña admin.
  - Acepta SUSE® Security los términos de licencia.
  - Cambia la contraseña del usuario admin.
  - Opcionalmente, también puedes crear usuarios adicionales en el menú Configuración → Usuarios y Roles.

Ahora estás listo para navegar por la SUSE® Security consola para comenzar el escaneo de vulnerabilidades, observar los pods de aplicaciones en ejecución y aplicar protecciones de seguridad a los contenedores.

Actualizando SUSE® Security

Desde Operadores > Operadores instalados > SUSE® Security operador.
Haz clic en SUSE® Security para listar instancias.
Haz clic en YAML para editar parámetros.
Actualiza la etiqueta y haz clic en Guardar.

Solución de problemas

Verifica los valores de despliegue del Operador en el archivo yaml desplegado
Verifica que la restricción de contexto de seguridad (SCC) para SUSE® Security en el paso 2 se haya añadido correctamente
Revisa y verifica los valores del gráfico SUSE® Security Helm
Asegúrate de que la vía del registro y la etiqueta de versión estén configuradas correctamente (operador comunitario; el operador certificado usará los valores predeterminados)
Asegúrate de que la ruta al SUSE® Security servicio del gestor neuvector-route-webui esté configurada