デプロイメント準備

SUSE® Securityのデプロイ方法を理解する

Kubernetes、OpenShift、Rancher、Docker、または他のプラットフォームを使用してSUSE® Securityコンテナをデプロイします。各タイプのSUSE® Securityコンテナは独自の目的を持ち、最適な操作のために特別なパフォーマンスやノード選択要件が必要な場合があります。

SUSE® Securityのオープンソースイメージは、`/neuvector/{image name}`のDocker Hubにホストされています。

オンボーディングガイドをダウンロードするには、オンボーディング/ベストプラクティスセクションを参照してください。

Kubernetes、OpenShift、Rancher、または他のKubernetesベースのツールを使用してデプロイします。

Kubernetes、OpenShift、Rancher、または他のオーケストレーションツールを使用してSUSE® Securityをデプロイするには、デプロイするSUSE® Securityセクションの準備手順とサンプルファイルを参照してください。これにより、マネージャー、コントローラー、スキャナー、およびエンフォーサーコンテナがデプロイされます。SUSE® Security オールインワンコンテナを使用した簡単なテストについては、オールインワンの特別な使用ケースに関するセクションを参照してください。

SUSE® Securityは、 https://github.com/neuvector/neuvector-helm.にあるHelmチャートを使用したHelmベースのデプロイをサポートしています。

自動デプロイは、Helm、Red Hat/Community Operators、REST API、またはKubernetes ConfigMapを使用してサポートされています。デプロイの自動化に関する詳細は、ConfigMapを使用してデプロイするセクションを参照してください。

Dockerネイティブを使用してデプロイします。

docker runまたはcomposeでデプロイするSUSE® Security前に、CLUSTER_JOIN_ADDRを適切なIPアドレスに設定する必要があります。オールインワン(コントローラー)が"`node IP`"のdocker-composeファイルで使用するためのノードIPアドレス、ノード名(ネームサーバを使用している場合)またはノード変数(オーケストレーションツールを使用している場合)を見つけてください。 次に例を示します。

- CLUSTER_JOIN_ADDR=192.168.33.10

Swarmベースのデプロイメントの場合、次の環境変数も追加してください:

- NV_PLATFORM_INFO=platform=Docker

指示と例については、SUSE® Security → Docker本番デプロイメントというセクションを参照してください。

設定ファイルのバックアップ

デフォルトではSUSE® Securityはコントローラーまたはオールインワンノードの/var/neuvector/config/backupにさまざまな設定ファイルを保存します。

このボリュームは永続ストレージにマッピングして設定を維持できます。フォルダー内のファイルは、一から再構築するために削除する必要がある場合があります。

ボリュームマッピング

ボリュームが正しくマッピングされていることを確認してください。SUSE® Securityは正しく動作するために、これらのボリュームが必要です(/var/neuvectorはコントローラーまたはオールインワンでのみ必要です)。次に例を示します。

volumes:
        - /lib/modules:/lib/modules:ro
        - /var/neuvector:/var/neuvector
        - /var/run/docker.sock:/var/run/docker.sock:ro
        - /proc:/host/proc:ro
        - /sys/fs/cgroup:/host/cgroup:ro

また、他のツールがdocker.sockインターフェースへのアクセスをブロックしていないことを確認する必要があります。

ポートとポートマッピング

必要なポートが正しくマッピングされ、ホストで開いていることを確認してください。マネージャーまたはオールインワンは8443を必要とします(コンソールを使用する場合)。オールインワンとコントローラーは18300、18301、18400、18401を必要とし、オプションで10443、11443、20443、30443も必要です。エンフォーサーは18301と18401を必要とします。

Dockerネイティブ(SWARMを含む)をデプロイする場合、firewalldなどの必要なポートへのアクセスをブロックしているホストファイアウォールがないことを確認してください。有効になっている場合、docker0インターフェースはオールインワン/コントローラーのホストの信頼ゾーンとして追加する必要があります。

ポートの概要

以下の表は各SUSE® Securityコンテナからの通信をリストしています。オールインワンコンテナは、マネージャー、コントローラー、エンフォーサーコンテナを統合しているため、それぞれのコンテナに必要なポートを備えています。

ポート

以下の表は各SUSE® Securityコンテナのリスニングポートを要約しています。

リスニング

追加のポート

バージョン5.1では、ローカルコントローラー間の通信専用として、コントローラー上の8181番ポートが新たにリスナーとして追加されました。

tcp        0      0 :::8181                 :::*                    LISTEN      8/opa

SUSE® Security 画像

SUSE® Security 画像は Docker Hub に公開されています。コアコンポーネントには固定バージョンタグを使用し、スキャナーおよびアップデーター画像には latest タグを使用してください。

マネージャー、コントローラー、およびエンフォーサー画像には同じバージョンタグを使用してください。スキャナーおよびアップデーター画像には latest を使用してください。

画像タグの例
neuvector/manager:5.4.1
neuvector/controller:5.4.1
neuvector/enforcer:5.4.1
neuvector/scanner:latest
neuvector/updater:latest

Kubernetes マニフェストまたは Helm 値ファイル内の画像参照をターゲットの NeuVector バージョンに合わせて更新してください。

Helm チャートの設定

Helm チャートバージョン 1.8.9 以降を使用して product-nam をデプロイする際は、values.yaml 内の以下の設定を更新してください:

  • 画像レジストリを docker.io に設定してください。

  • 画像名とタグを必要なバージョンに更新してください。

  • imagePullSecrets を空のままにしてください。

Rancher レジストリ画像

SUSE® Security 画像は、Rancher を通じて管理されるデプロイメントのために Rancher レジストリにもミラーリングされます。

  • 画像の可用性は、各リリース後に数日遅れる場合があります。

  • デプロイメントの詳細については、Rancher のデプロイメント ドキュメントを参照してください。