Implantar Usando Operadores

Operadores

Os operadores pegam o conhecimento operacional humano e o codificam em software que é mais facilmente compartilhado com os consumidores. Os operadores são peças de software que facilitam a complexidade operacional de executar outra peça de software. Mais tecnicamente, os operadores são um método de empacotamento, implantação e gerenciamento de um aplicativo Kubernetes.

SUSE® Security Operadores

O SUSE® Security Operador é baseado no gráfico Helm SUSE® Security. O SUSE® Security Operador RedHat OpenShift é executado na plataforma de contêiner OpenShift para implantar e gerenciar os componentes do cluster de Segurança SUSE® Security. O SUSE® Security Operador contém todas as informações necessárias para implantar SUSE® Security usando gráficos Helm. Você simplesmente precisa instalar o operador SUSE® Security do hub de operadores incorporado do OpenShift e criar a instância SUSE® Security.

Para implantar as versões mais recentes do contêiner SUSE® Security, use o link:https://catalog.redhat.com/search?searchType=software&deployed_as=Operator&partnerName=SUSE® Security&p=1[Operador Certificado Red Hat] do Operator Hub ou o operador comunitário. A documentação para o operador comunitário pode ser encontrada SUSE® Security operador.

Nota sobre SCC e Fazer upgrade

O SCC privilegiado é adicionado à Conta de Serviço especificada no yaml de implantação pela versão do Operador 1.3.4 e acima em novas implantações. No caso de fazer upgrade do Operador SUSE® Security de uma versão anterior para 1.3.4, por favor, exclua o SCC privilegiado antes de fazer upgrade.

oc delete rolebinding -n neuvector system:openshift:scc:privileged

As versões do Operador Certificado SUSE® Security estão vinculadas às versões do produto SUSE® Security, e cada nova versão deve passar por um processo de certificação com a Red Hat antes de ser publicada. A versão do operador certificado para 5.3.x está vinculada à versão helm 2.7.2 e à versão do aplicativo SUSE® Security 5.3.2. A versão do operador certificado 1.3.9 está vinculada à versão SUSE® Security 5.2.0. A versão do operador certificado 1.3.7 está vinculada à versão SUSE® Security 5.1.0. A versão do operador 1.3.4 está vinculada à versão SUSE® Security 5.0.0. Se você deseja poder alterar as tags de versão dos contêineres SUSE® Security implantados, por favor, use a versão comunitária.
Implantar Usando o Operador Certificado

Implantar Usando o Operador Certificado da Red Hat do Operator Hub

As versões do operador SUSE® Security estão vinculadas às versões do produto SUSE® Security, e cada nova versão do produto deve passar por um processo de certificação com a Red Hat antes de ser publicada.

Notas técnicas

  • As imagens de contêiner SUSE® Security são puxadas de registry.connect.redhat.com usando o segredo de pull de imagem do mercado da Red Hat.

  • A interface do usuário do gerenciador SUSE® Security é tipicamente exposta através de uma rota de passthrough do OpenShift em um domínio. Por exemplo, no IBM Cloud neuvector-route-webui-neuvector.(nome_do_cluster)-(hash_aleatório)-0000.(região).containers.appdomain.cloud. Ela também pode ser exposta como o serviço neuvector-service-webui através de um endereço de porta de nó ou IP público.

  • OpenShift version >=4.6.

    1. Crie o projeto neuvector

      oc new-project neuvector

    2. Instale o Operador Certificado da Red Hat do Operator Hub

      • Na interface do usuário do Console do OpenShift, navegue até o OperatorHub

      • Pesquise por SUSE® Security Operador e selecione a listagem sem o selo de comunidade ou marketplace

      • Clique em Instalar

    3. Configure o canal de atualização

      • O canal atual mais recente é beta, mas pode ser movido para estável no futuro

      • Selecione estável se disponível

    4. Configure o modo de instalação e o namespace instalado

      • Selecione um namespace específico no cluster

      • Selecione neuvector como namespace instalado

      • Configure a estratégia de aprovação

    5. Confirme a instalação

    6. Prepare os valores de configuração YAML para a instalação SUSE® Security conforme mostrado na captura de tela abaixo. O YAML apresentado no Console OpenShift fornece todas as opções de configuração disponíveis e seus valores padrão.

      operator cert

    7. Quando o operador estiver instalado e pronto para uso, uma instância SUSE® Security pode ser instalada.

      • Clique em Ver operador (após a instalação do operador) ou selecione o Operador SUSE® Security na visualização de operadores instalados

      • Clique em Criar instância

      • Selecione Configurar via Visualização YAML

      • Cole os valores de configuração YAML preparados

      • Clique em Criar

    8. Verifique a instalação da instância SUSE® Security

      • Navegue até os Detalhes do Operador SUSE® Security

      • Abra a guia SUSE® Security

      • Selecione a instância neuvector-default

      • Abra a guia Recursos

      • Verifique se os recursos estão com status Criado ou Em execução

Após implantar com sucesso a Plataforma SUSE® Security em seu cluster, faça login no console SUSE® Security em https://neuvector-route-webui-neuvector.(OC_INGRESS). * Faça login com o nome de usuário inicial admin e a senha admin. * Aceite os termos de licença SUSE® Security. * Altere a senha do usuário admin. Opcionalmente, você também pode criar usuários adicionais no menu Configurações → Usuários e Funções. Agora você está pronto para navegar no console SUSE® Security para iniciar a varredura de vulnerabilidades, observar os pods de aplicação em execução e aplicar proteções de segurança aos contêineres.

Fazendo upgrade SUSE® Security

Faça upgrade da versão SUSE® Security atualizando a versão do Operador associada à versão desejada SUSE® Security.

Implantar Usando o Operador da Comunidade

Implantar Usando o SUSE® Security Operador da Comunidade do Operator Hub

Notas técnicas

  • As imagens de contêiner SUSE® Security são puxadas do Docker Hub da conta SUSE® Security.

  • A interface do usuário do gerenciador SUSE® Security é tipicamente exposta através de uma rota de passthrough do OpenShift em um domínio. Por exemplo, no IBM Cloud neuvector-route-webui-neuvector.(nome_do_cluster)-(hash_aleatório)-0000.(região).containers.appdomain.cloud. Ela também pode ser exposta como o serviço neuvector-service-webui através de um endereço de porta de nó ou IP público.

  • Versão do OpenShift 4.6+

  • É recomendado revisar e modificar a configuração de instalação do SUSE® Security alterando os valores yaml antes de criar a instância SUSE® Security. Os exemplos incluem nome de imagePullSecrets, versão da tag, acesso ingress/console, federação multi-cluster, PVC de volume persistente, etc. Por favor, consulte as instruções do Helm em https://github.com/neuvector/neuvector-helm para os valores que podem ser modificados durante a instalação.

    1. Crie o projeto neuvector

      oc new-project neuvector

    2. Instale o SUSE® Security Operador da Comunidade do Operator Hub

      • Na interface do usuário do Console do OpenShift, navegue até o OperatorHub

      • Pesquise pelo Operador SUSE® Security e selecione a listagem com o selo da comunidade

      • Clique em Instalar

      • Configure o canal de atualização. O canal atual mais recente é beta, mas pode ser movido para estável no futuro. Selecione estável se disponível.

      • Configure o modo de instalação e o namespace instalado

      • Selecione um namespace específico no cluster

      • Selecione neuvector como namespace instalado

      • Configure a estratégia de aprovação

      • Confirme a instalação

    3. Baixe o manifesto secreto do Kubernetes que contém as credenciais para acessar o registro de contêiner SUSE® Security. Salve o arquivo de manifesto YAML em ./neuvector-secret-registry.yaml.

    4. Aplique o manifesto secreto do Kubernetes contendo as credenciais do registro.

      kubectl apply -n neuvector -f ./neuvector-secret-registry.yaml

    5. Prepare os valores de configuração YAML para a instalação do SUSE® Security começando pelo seguinte trecho YAML. Certifique-se de especificar a versão desejada SUSE® Security no valor 'tag'. Verifique a referência de valores no gráfico Helm SUSE® Security para obter opções de configuração disponíveis. Existem outros valores possíveis do Helm que podem ser configurados no YAML, como se você irá configurar o cluster para permitir gerenciamento multi-cluster expondo os serviços do Master (Master Federado) ou remotos (Trabalhador Federado).

      apiVersion: apm.neuvector.com/v1alpha1
kind: Neuvector
metadata:
  name: neuvector-default
  namespace: neuvector
spec:
  openshift: true
  tag: 4.3.0
  registry: docker.io
  exporter:
    image:
      repository: prometheus-exporter
      tag: 0.9.0
  manager:
    enabled: true
    env:
      ssl: true
    image:
      repository: manager
    svc:
      type: ClusterIP
      route:
        enabled: true
        termination: passthrough
  enforcer:
    enabled: true
    image:
      repository: enforcer
  cve:
    updater:
      enabled: true
      image:
        repository: updater
        tag: latest
      schedule: 0 0 * * *
    scanner:
      enabled: true
      replicas: 3
      image:
        repository: scanner
        tag: latest
  controller:
    enabled: true
    image:
      repository: controller
    replicas: 3

    6. Quando o operador estiver instalado e pronto para uso, uma instância SUSE® Security pode ser instalada.

      • Clique em Ver operador (após a instalação do operador) ou selecione o Operador SUSE® Security na visualização de operadores instalados

      • Clique em Criar instância

      • Selecione Configurar via Visualização YAML

      • Cole os valores de configuração YAML preparados

      • Clique em Criar

    7. Verifique a instalação da instância SUSE® Security.

      • Navegue até os Detalhes do Operador SUSE® Security

      • Abra a guia SUSE® Security

      • Selecione a instância neuvector-default

      • Abra a guia Recursos

      • Verifique se os recursos estão com status Criado ou Em execução

    8. Após implantar com sucesso a Plataforma SUSE® Security em seu cluster, faça login no console SUSE® Security em https://neuvector-route-webui-neuvector.(INGRESS_DOMAIN).

      • Faça login com o nome de usuário inicial admin e a senha admin.

      • Aceite os termos de licença SUSE® Security.

      • Altere a senha do usuário admin.

      • Opcionalmente, você também pode criar usuários adicionais no menu Configurações → Usuários e Funções.

Agora você está pronto para navegar no console SUSE® Security para iniciar a varredura de vulnerabilidades, observar os pods de aplicação em execução e aplicar proteções de segurança aos contêineres.

Fazendo upgrade SUSE® Security

  1. De Operadores > Operadores Instalados > SUSE® Security Operador

    1 Installed

  2. Clique em SUSE® Security para listar instâncias

    2 Instance

  3. Clique em YAML para editar parâmetros

    3 YAML

  4. Atualizar Tag e clicar em Salvar

    4 tag save

Solução de problemas

  • Verifique os valores de implantação do Operador no arquivo yaml implantado

  • Verifique se a restrição de contexto de segurança (SCC) para SUSE® Security na etapa 2 foi adicionada com sucesso

  • Revise e verifique os SUSE® Security valores do Helm chart

  • Certifique-se de que o caminho do registro e a tag de versão estão configurados corretamente (operador comunitário; os operadores certificados usarão os padrões)

  • Certifique-se de que a rota para o SUSE® Security serviço de gerenciamento neuvector-route-webui está configurada