Déployer en utilisant des opérateurs

Opérateurs

Les opérateurs prennent les connaissances opérationnelles humaines et les codifient dans un logiciel qui est plus facilement partagé avec les consommateurs. Les opérateurs sont des morceaux de logiciel qui facilitent la complexité opérationnelle de l’exécution d’un autre morceau de logiciel. Plus techniquement, les opérateurs sont une méthode d’emballage, de déploiement et de gestion d’une application Kubernetes.

SUSE® Security Opérateurs

L’opérateur SUSE® Security est basé sur le chart Helm SUSE® Security. L’opérateur SUSE® Security RedHat OpenShift fonctionne sur la plateforme de conteneurs OpenShift pour déployer et gérer les composants du cluster de sécurité SUSE® Security. L’opérateur SUSE® Security contient toutes les informations nécessaires pour déployer SUSE® Security en utilisant des charts Helm. Vous devez simplement installer l’opérateur SUSE® Security depuis le hub d’opérateurs intégré d’OpenShift et créer l’instance SUSE® Security.

Pour déployer les dernières versions de conteneurs SUSE® Security, utilisez soit le link:https://catalog.redhat.com/search?searchType=software&deployed_as=Operator&partnerName=SUSE® Security&p=1[Opérateur certifié Red Hat] du hub d’opérateurs, soit le opérateur communautaire. La documentation pour l’opérateur communautaire peut être trouvée SUSE® Security opérateur.

Remarque concernant SCC et la mise à niveau

Le SCC privilégié est ajouté au compte de service spécifié dans le yaml de déploiement par la version de l’opérateur 1.3.4 et supérieure dans les nouveaux déploiements. Dans le cas de la mise à niveau de l’opérateur SUSE® Security d’une version précédente à 1.3.4, veuillez supprimer le SCC privilégié avant la mise à niveau.

oc delete rolebinding -n neuvector system:openshift:scc:privileged

Les versions d’opérateurs certifiés SUSE® Security sont liées aux versions de produit SUSE® Security, et chaque nouvelle version doit passer par un processus de certification avec Red Hat avant d’être publiée. La version d’opérateur certifié pour 5.3.x est liée à la version helm 2.7.2 et à la version d’application SUSE® Security 5.3.2. La version d’opérateur certifié 1.3.9 est liée à la version SUSE® Security 5.2.0. La version d’opérateur certifié 1.3.7 est liée à la version SUSE® Security 5.1.0. La version 1.3.4 de l’opérateur est liée à SUSE® Security 5.0.0. Si vous souhaitez pouvoir changer les balises de version des conteneurs SUSE® Security déployés, veuillez utiliser la version Community.

Déployer en utilisant l’opérateur certifié

Déployer en utilisant l’opérateur certifié Red Hat depuis Operator Hub

Les versions des opérateurs SUSE® Security sont liées aux versions des produits SUSE® Security, et chaque nouvelle version de produit doit passer par un processus de certification avec Red Hat avant d’être publiée.

Notes techniques

Les images de conteneurs SUSE® Security sont extraites de registry.connect.redhat.com en utilisant le secret de tirage d’image du marché RedHat.
L’interface utilisateur du gestionnaire SUSE® Security est généralement exposée via un itinéraire de passage OpenShift sur un domaine. Par exemple, sur IBM Cloud neuvector-route-webui-neuvector.(nom_du_cluster)-(hash_aleatoire)-0000.(région).containers.appdomain.cloud. Elle peut également être exposée en tant que service neuvector-service-webui via une adresse de port de nœud ou une IP publique.
Version OpenShift >=4.6.
1. Créer le projet neuvector
  oc new-project neuvector
2. Installer l’opérateur certifié Red Hat depuis l’Operator Hub
  - Dans l’interface utilisateur de la console OpenShift, naviguez vers OperatorHub
  - Recherchez l’opérateur SUSE® Security et sélectionnez l’annonce sans badge communauté ou marché
  - Cliquez sur Installer
3. Configurer le canal de mise à jour
  - Le canal actuel le plus récent est beta, mais il peut être déplacé vers stable à l’avenir
  - Sélectionnez stable si disponible
4. Configurer le mode d’installation et l’espace de noms installé
  - Sélectionnez un espace de noms spécifique sur le cluster
  - Sélectionnez neuvector comme espace de noms installé
  - Configurez la stratégie d’approbation
5. Confirmer l’installation
6. Préparez les valeurs de configuration YAML pour l’installation de SUSE® Security comme indiqué dans l’exemple ci-dessous. Le YAML présenté dans la console OpenShift fournit toutes les options de configuration disponibles et leurs valeurs par défaut.
7. Lorsque l’opérateur est installé et prêt à être utilisé, une instance de SUSE® Security peut être installée.
  - Cliquez sur Afficher l’opérateur (après l’installation de l’opérateur) ou sélectionnez l’opérateur SUSE® Security dans la vue des opérateurs installés
  - Cliquez sur Créer une instance
  - Sélectionnez Configurer via la vue YAML
  - Collez les valeurs de configuration YAML préparées
  - Cliquez sur Créer
8. Vérifiez l’installation de l’instance SUSE® Security
  - Accédez aux détails de l’opérateur de l’opérateur SUSE® Security
  - Ouvrez l’onglet SUSE® Security
  - Sélectionnez l’instance neuvector-default
  - Ouvrez l’onglet Ressources
  - Vérifiez que les ressources sont en statut Créé ou En cours d’exécution

Après avoir déployé avec succès la plateforme SUSE® Security sur votre cluster, connectez-vous à la console SUSE® Security à https://neuvector-route-webui-neuvector.(OC_INGRESS). * Connectez-vous avec le nom d’utilisateur initial admin et le mot de passe admin. * Acceptez le Contrat de Licence Utilisateur Final SUSE® Security. * Changez le mot de passe de l’utilisateur admin. En option, vous pouvez également créer des utilisateurs supplémentaires dans le menu Paramètres → Utilisateurs et rôles. Vous êtes maintenant prêt à naviguer dans la console SUSE® Security pour commencer l’analyse des vulnérabilités, observer les pods d’application en cours d’exécution et appliquer des protections de sécurité aux conteneurs.

Mise à niveau SUSE® Security*

Mettez à niveau la version SUSE® Security en mettant à jour la version de l’opérateur associée à la version SUSE® Security souhaitée.

Déployer en utilisant l’opérateur communautaire

Déployer en utilisant l’opérateur communautaire SUSE® Security depuis l’Operator Hub

Notes techniques

Les images de conteneurs SUSE® Security sont extraites de Docker Hub depuis le compte SUSE® Security.
L’interface utilisateur du gestionnaire SUSE® Security est généralement exposée via un itinéraire de contournement OpenShift sur un domaine. Par exemple, sur IBM Cloud neuvector-route-webui-neuvector.(nom_du_cluster)-(hash_aleatoire)-0000.(région).containers.appdomain.cloud. Elle peut également être exposée en tant que service neuvector-service-webui via une adresse de port de nœud ou une IP publique.
Version OpenShift 4.6+
Il est recommandé de revoir et de modifier la configuration d’installation SUSE® Security en modifiant les valeurs yaml avant de créer l’instance SUSE® Security. Les exemples incluent le nom des imagePullSecrets, la version de l’étiquette, l’accès ingress/console, la fédération multi-cluster, le PVC de volume persistant, etc. Veuillez vous référer aux instructions Helm à https://github.com/neuvector/neuvector-helm pour les valeurs qui peuvent être modifiées lors de l’installation.
1. Créer le projet neuvector
  oc new-project neuvector
2. Installez l’opérateur communautaire SUSE® Security depuis l’Operator Hub
  - Dans l’interface utilisateur de la console OpenShift, naviguez vers OperatorHub
  - Recherchez l’opérateur SUSE® Security et sélectionnez l’annonce avec le badge communautaire
  - Cliquez sur Installer
  - Configurer le canal de mise à jour. Le canal actuel le plus récent est beta, mais il peut être déplacé vers stable à l’avenir. Sélectionnez stable si disponible.
  - Configurer le mode d’installation et l’espace de noms installé
  - Sélectionnez un espace de noms spécifique sur le cluster
  - Sélectionnez neuvector comme espace de noms installé
  - Configurez la stratégie d’approbation
  - Confirmer l’installation
3. Téléchargez le manifeste secret Kubernetes qui contient les informations d’identification pour accéder au registre de conteneurs SUSE® Security. Enregistrez le fichier manifeste YAML sous ./neuvector-secret-registry.yaml.
4. Appliquez le manifeste secret Kubernetes contenant les informations d’identification du registre.
  kubectl apply -n neuvector -f ./neuvector-secret-registry.yaml
5. Préparez les valeurs de configuration YAML pour l’installation SUSE® Security en partant de l’extrait YAML suivant. Assurez-vous de spécifier la version SUSE® Security souhaitée dans la valeur 'tag'. Vérifiez la référence des valeurs dans le chart Helm SUSE® Security pour obtenir les options de configuration disponibles. Il existe d’autres valeurs Helm possibles qui peuvent être configurées dans le YAML, telles que la configuration du cluster pour permettre la gestion multi-cluster en exposant les services Master (Master fédéré) ou distants (Travailleur fédéré).
  apiVersion: apm.neuvector.com/v1alpha1 kind: Neuvector metadata: name: neuvector-default namespace: neuvector spec: openshift: true tag: 4.3.0 registry: docker.io exporter: image: repository: prometheus-exporter tag: 0.9.0 manager: enabled: true env: ssl: true image: repository: manager svc: type: ClusterIP route: enabled: true termination: passthrough enforcer: enabled: true image: repository: enforcer cve: updater: enabled: true image: repository: updater tag: latest schedule: 0 0 * * * scanner: enabled: true replicas: 3 image: repository: scanner tag: latest controller: enabled: true image: repository: controller replicas: 3
6. Lorsque l’opérateur est installé et prêt à être utilisé, une instance de SUSE® Security peut être installée.
  - Cliquez sur Afficher l’opérateur (après l’installation de l’opérateur) ou sélectionnez l’opérateur SUSE® Security dans la vue des opérateurs installés
  - Cliquez sur Créer une instance
  - Sélectionnez Configurer via la vue YAML
  - Collez les valeurs de configuration YAML préparées
  - Cliquez sur Créer
7. Vérifiez l’installation de l’instance SUSE® Security.
  - Accédez aux détails de l’opérateur de l’opérateur SUSE® Security
  - Ouvrez l’onglet SUSE® Security
  - Sélectionnez l’instance neuvector-default
  - Ouvrez l’onglet Ressources
  - Vérifiez que les ressources sont en statut Créé ou En cours d’exécution
8. Après avoir déployé avec succès la plateforme SUSE® Security sur votre cluster, connectez-vous à la console SUSE® Security à l’adresse https://neuvector-route-webui-neuvector.(INGRESS_DOMAIN).
  - Connectez-vous avec le nom d’utilisateur initial admin et le mot de passe admin.
  - Acceptez le Contrat de Licence Utilisateur Final SUSE® Security.
  - Changez le mot de passe de l’utilisateur administrateur.
  - En option, vous pouvez également créer des utilisateurs supplémentaires dans le menu Paramètres → Utilisateurs et rôles.

Vous êtes maintenant prêt à naviguer dans la console SUSE® Security pour commencer l’analyse des vulnérabilités, observer les pods d’application en cours d’exécution et appliquer des protections de sécurité aux conteneurs.

Mise à jour SUSE® Security

Depuis Opérateurs > Opérateurs installés > SUSE® Security Opérateur
Cliquez sur SUSE® Security pour lister les instances
Cliquez sur YAML pour modifier les paramètres
Mettez à jour la balise et cliquez sur Enregistrer

Dépannage

Vérifiez les valeurs de déploiement de l’Opérateur dans le fichier yaml déployé
Vérifiez que la contrainte de contexte de sécurité (SCC) pour SUSE® Security à l’étape 2 a été ajoutée avec succès
Examinez et vérifiez les valeurs du chart Helm SUSE® Security
Assurez-vous que le chemin du registre et la balise de version sont correctement définis (l’opérateur communautaire ; le certifié utilisera les valeurs par défaut).
Assurez-vous que la route vers le service de gestion SUSE® Security neuvector-route-webui est configurée.