必要なコンポーネントを設定する 親トピック

  • kubectl とHelm 3 (バージョン3.0.1以降) をローカルコンピュータに設定します。Kubernetesクラスタをリモートで管理できるようにします。Helmのインストールおよびアップグレードに関するヒントについては、Container Security Helm READMEを参照してください。
  • Trend Micro Cloud One Container Security は、Kubernetesネットワークポリシーを利用して隔離軽減を実行します。ネットワークポリシーは、ネットワークプラグインによって実装されます。Container Securityの継続的コンプライアンス機能を使用するには、NetworkPolicyをサポートするネットワークプラグインが必要です。詳細については、Container Security Helm Readmeを参照してください。

Kubernetesクラスタを作成する 親トピック

すでにKubernetesクラスタを使用できる場合は、このセクションを省略できます。
注意
注意
Container SecurityはKubernetes 1.14以降をサポートしています。Amazon Elastic Container Service (ECS) はサポートされていません。
Kubernetesクラスタは、任意の方法でデプロイできます。クラウドプロバイダでKubernetesクラスタを作成する方法に慣れていない場合は、次のリソースが役立つことがあります。
注意
注意
[Bottlerocket] ノードを使用してEKSクラスタに配置する場合は、調整ヘルムグラフでをオーバーライドする必要があります。

ポリシーベースの配信コントローラをインストールしてランタイムセキュリティを有効にする 親トピック

ポリシーベースの配信制御機能を使用するには、保護する各クラスタに非常に小さなポッドを配信する必要があります。
注意
注意
インストールする必要があるのは、KubernetesクラスタごとにポリシーベースのDeployment Controllerを1つだけです。

手順

  1. Trend Micro Cloud One consoleを開き、[Container Security]を選択します。
  2. icon-clusters=a22bb538-bab2-4494-8f14-d6dba6b2f0da.pngClustersページに移動します。
  3. 次のいずれかを実行します。
    • これが最初のクラスタである場合は、[+ Add a cluster]をクリックします。
      first-cluster=71053881-40de-4b08-bd11-3e922dc229c0.png
    • これが最初のクラスタでない場合は、[+ Add]を選択します。
      add-cluster-btn=a8fed162-b613-4ba0-b46a-1de9f7e396e8.png
  4. 次の情報が含まれます。
    • [Name:] クラスタの識別に役立つ一意の名前です
    • [Description:] クラスタの説明 (オプション)
    • [Policy:] ポリシーを選択してください。まだポリシーを作成していない場合は、後で作成してからこの設定を更新できます。(ポリシーを作成するを参照)
    • [Namespace Exclusions:] リソースを無視する名前空間を選択します。Kube System名前空間が初期設定で選択されています。Container Security は、選択した名前空間のリソースを無視します。これらのリソースは、ポリシーによって監視、評価、または軽減されません。使用例については、OpenShiftのベストプラクティス を参照してください。
      add-cluster=f8768d58-1b7f-49bc-8d3a-634c73a7f680.png
  5. 実行時のセキュリティを有効にするには、[Enabled]チェックボックスを選択します。この機能の詳細については、実行時のセキュリティを構成するを参照してください。
  6. ランタイム脆弱性検索を有効にするには、[Enabled]チェックボックスをオンにします。この機能の詳細については、現在プレビューに記載されています。ランタイム脆弱性検索の設定を参照してください。
  7. [Next]を選択してください。
  8. ページの最初のスニペットには、クラスタのAPIキーが含まれています。このキーはクラスタに一意であるため、他のクラスタで再利用しないでください。スニペットをコピーしてオーバーライドファイル (通常は overrides.yaml) に追加します。
    警告
    警告
    この画面を閉じると、APIキーは表示されなくなります。
    add-cluster-2=45cc99fe-56e7-4fc1-ac23-51cfac4e259f.png
  9. ページの2番目のスニペットには、helm installコマンドが含まれています。これを使用して、クラスタにDeployment Controllerをインストールします。配信コントローラのインストールの詳細については、Container Security Helm Readmeを参照してください。

次に進む前に

注意
注意
Container Security を純粋なAWS EKS Fargate環境で実行している場合は、Fargateプロファイルを調整して、初期設定以外の名前空間 (例: trendmicro-system) のポッドをスケジュールできるようにする必要があります。Fargateプロファイルの詳細については、AWSのドキュメント を参照してください。
次に、まだ作成していない場合は、ポリシーを作成する必要があります。

トラブルシューティング 親トピック

正常にインストールするには、「Ready」アドミッションコントローラポッドが1つ含まれている必要があります。
問題が発生した場合は、kubectl get podskubectl logs deployment/trendmicro-admission-controller を使用して、インストール中に発生した問題をデバッグします。