Kubernetes安全解决方案--StackRox 安装篇

最新推荐文章于 2024-05-15 09:45:44 发布
最新推荐文章于 2024-05-15 09:45:44 发布
阅读量746 收藏 1
点赞数
分类专栏: 技术文章 文章标签: kubernetes 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oasisss/article/details/116661124
版权

【版权声明】
本文首发于Huiling’s blog,欢迎转载,转载须保留作者Huiling的署名和原文链接。如您有合作/授权的需要,请留言:362759348@qq.com

author: Huiling
转载请注明原文来源:https://blog.csdn.net/oasisss/article/details/116661124

Kubernetes安全解决方案–StackRox 安装篇

前提:

以下操作是在root用户下面完成的

安装的环境是openshift4.x

oc命令登陆Openshift

安装helm所需组件

$ mkdir ~/bin
$ wget https://mirror.openshift.com/pub/openshift-v4/clients/helm/latest/helm-linux-amd64 -O ~/bin/helm
$ chmod 0755 ~/bin/helm

用Helm安装stackrox Central

helm repo add rhacs https://mirror.openshift.com/pub/rhacs/charts/
helm search repo -l rhacs/
helm repo update

安装并暴露一个路由

helm install -n stackrox --create-namespace stackrox-central-services rhacs/central-services --set imagePullSecrets.allowNone=true --set central.exposure.route.enabled=true

oc get route central -n stackrox

登陆stackrox图形化界面(上面命令会输出用户名是Admin和密码)
在这里插入图片描述

在集成->StackRox API Token里面创建一个Token,给Token取一个名字,用户名选择为Admin,将Token复制下来,这一步很简单,不再截图。

建立环境变量

下面的TOKEN改成自己刚才创建的

[root@bastion ~]# export ROX_API_TOKEN=eyJhbGciOiJSUzI1NiIsImtpZCI6Imp3dGswIiwidHlwIjoiSldUIn0.eyJhdWQiOlsiaHR0cHM6Ly9zdGFja3JveC5pby9qd3Qtc291cmNlcyNhcGktdG9rZW5zIl0sImV4cCI6MTY1MjI1MjQwMywiaWF0IjoxNjIwNzE2NDAzLCJpc3MiOiJodHRwczovL3N0YWNrcm94LmlvL2p3dCIsImp0aSI6IjNiMmM2YTFkLWQ5YTMtNGM5Mi1hZmQ3LTVmNDA3NjFlZjVjZCIsIm5hbWUiOiJvcGVuc2hpZnQgc2Vuc29yIiwicm9sZXMiOlsiQWRtaW4iXX0.SqioXJ0q9Yb7HTuJcQnKjfP1RTm7fiQVeQt9YFhE-qTivGHso_UDEvx6pzg553dG3x4IQhxXC8xZGY27gf5oo5nKBnKHa5EPakJ-LY-bW95Ddj17GxX9ZuV6Yipy___OVTp-BUeZb6QqNDIgnLx6teeLd9XvtZ8YFCGxXSpOc4-DthR7sqWt9doSfX-2UngmXKw0a48oT0uVaBxYbUZfj3muyldXWzR51dKuP6FzH9tMeNMvEWAT5gW9abjyjUKIoBM44C0G8X0MoI3mZ9ccW9goUnkJmd-YWU9fzexcSri0YxBzdeDQKjmG73J5fxkkyqDVNsekIHOKcjqR_yw9zZzM8_hqdB13H-ST0PKZcjiIb5hM6HKcXoSNCd-Hqn2VUpF7gZnJrHLYELW3a_23id9IvjCHA_eUMNRdYqVEUnHSq3Nu0kLKwkP-3i_MCLdVJy_jrZsWDI2hXrwt8Z6NzaHhVY3Gj4AaEN-_YQIMfoPSL5tIl8XIhyYFt2rL_HuQajs4h2nykG5k3jOYT6SW01m2yRknLgHNkUpz5V5wplcSIP2ZV9dnWogy1vimwkcuab9XIBXNqjw9WvnonFHVbhgtTkb0ENhcqbdqeA8DtMymLovpY9nqJZdDbk9UGzxdJAYLRlT4BWQl20wRDSDYd5aCZQ9BkBRgnvRd8tU9FRU

[root@bastion ~]# export ROX_CENTRAL_ADDRESS=central-stackrox.apps.cluster-skph5.skph5.example.opentlc.com:443

下载roxctl命令

curl -O https://mirror.openshift.com/pub/rhacs/assets/3.0.59.1/bin/Linux/roxctl
chmod 777 roxctl

生成bundle文件

./roxctl -e "$ROX_CENTRAL_ADDRESS" central init-bundles generate init-bundle --output cluster-init-bundle.yaml

在openshift集群里安装sensor,并且纳管到Stackrox central

helm install -n stackrox --create-namespace stackrox-secured-cluster-services rhacs/secured-cluster-services \
  -f cluster-init-bundle.yaml \
  --set centralEndpoint=central-stackrox.apps.cluster-skph5.skph5.example.opentlc.com:443 \
  --set clusterName=ocp1 \
  --set imagePullSecrets.allowNone=true

完成后,可以在控制台上看到纳管的集群:

在这里插入图片描述
在这里插入图片描述

【版权声明】
本文首发于Huiling’s blog,欢迎转载,转载须保留作者Huiling的署名和原文链接。如您有合作/授权的需要,请留言:362759348@qq.com

author: Huiling
转载请注明原文来源:https://blog.csdn.net/oasisss/article/details/116661124
Huiling's blog
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Kubernetes安装
吴小恒的博客
01-30 1689
Kubernetes介绍 Kubernetes是一门基于go语言开发的容器编排的技术。容器编排技术有哪些?Docker Swarm、Google Kubernetes和Apache Mesos。各有千秋,同学们自行百度每个软件的区别,Kubernetes目前是使用最为广泛的容器编排软件。 安装说明 Kubernetes有用二进制安装安装的方式,但是比较费劲,我估计你很快就对k8s失去信心,...
kubernetes 安装
Sino_Crazy_Snail的小窝
02-10 1572
环境 ubuntu-19.10-live-server-amd64 关闭防火墙 sudo ufw disable 关闭系统swap sudo swapoff -a 或者去修改/etc/fstab文件 UUID=ae07b0eb-6d6b-4edd-8989-d07ef0226e0f / ext4 defaults 0 0 #/swap.img none swap sw 0 0 即注释掉 sw...
推荐:StackRox Kubernetes 安全平台
最新发布
gitblog_00025的博客
05-15 339
推荐:StackRox Kubernetes 安全平台 stackroxThe StackRox Kubernetes Security Platform performs a risk analysis of the container environment, delivers visibility and runtime alerts, and provides recommendatio...
OpenShift Security (1) - 红帽多集群安全管理 RHACS 的主要功能和技术架构
多恩斯基的博客
12-08 730
Red Hat Advanced Cluster Security for Kubernetes (RHACS) - 红帽高级集群安全是企业级的 Kubernetes 原生容器安全防护解决方案,可帮助用户更安全地构建、部署和运行云原生应用。
OpenShift Security (2) - 安装 Red Hat Advanced Cluster Security(RHACS)
多恩斯基的博客
12-07 1268
《OpenShift 4.x HOL教程汇总》 本文在 OpenShift4.10环境中进行验证。 文章目录环境要求安装 ACS Operator创建 ACS 环境创建 Central 实例将 OpenShift 集群注册到 RHACS获取 Authentication Token创建 Secured Cluster 实例在 ACS 控制台查看 OpenShift 集群 环境要求 OpenShift 4.7/OpenShift 4.8/OpenShift 4.9 集群 安装 ACS Operator 在
OpenShift Security (18) - 定制 RHACS 安全策略,阻断生产集群使用高风险 Registry(附视频)
多恩斯基的博客
07-28 378
在 RHACS 中自带丰富的安全策略,可以帮助用户实现从镜像到容器、从网络到宿主机操作系统等各方面的安全检查。用户也可以定制个性化的策略来实现特性安全检查需求。 本示例将创建一个定制安全策略,该策略只针对 “生产集群” ,它不允许在生产环境中部署来自安全高风险的 docker.io 的容器镜像。............
OpenShift Security (13) - 用 RHACS 为应用自动生成 NetworkPolicy
多恩斯基的博客
01-05 502
NP-Guard 是 IBM 发起的一个开源项目,用来自动创建 Kubernetes (K8s) 的 network policy 以提高云原生应用网络安全。在 RHACS 3.73.1 中内置了 NP-Guard 的核心功能,使用 RHACS 的客户端可以对本地目录中的 Service, ConfigMap, Pod, Deployment, ReplicaSet, Job, DaemonSet, 和 StatefulSet 的 manifest 进行自动分析,并生成最小范围的 NetworkPolic
kubernetes-v1.16.2-server-linux-amd64.tar.gz
12-15
此外,还需要设置存储解决方案,如使用持久卷(Persistent Volumes)来存储数据,以及认证和授权策略,确保集群的安全性。 Kubernetes v1.16.2引入了一些重要的变更,例如,它废弃了API版本v1beta1和v1beta2,强制...
基于Open vSwitch的Kubernetes网络解决方案-Golang开发
05-26
它在第3/4层运行,以利用Open vSwitch作为网络为Kubernetes集群提供网络和安全服务概述Antrea是旨在成为Kubernetes原生的Kubernetes网络解决方案。 它使用Open vSwitch作为网络数据平面,在Layer3 / 4上运行,以为...
kubernetes-server-linux-amd64.tar
01-17
在实际应用中,"kubernetes-server-linux-amd64.tar"的部署并不止于基本的安装,还包括配置自定义的存储解决方案(如持久卷)、服务发现、负载均衡、自动扩展、安全策略等。Kubernetes的生态系统丰富,包括Ingress、...
kubernetes-server-linux-amd64.tar.gz 安装
08-28
这个"**kubernetes-server-linux-amd64.tar.gz**"安装包包含了在基于Linux的AMD64架构系统上部署Kubernetes集群所需的核心组件。该版本是v1.20.15,这是一款稳定版本,提供了大量的修复和优化。 Kubernetes主要由...
kubernetes-server-linux-amd64.tar.gz
08-28
在这个场景中,我们关注的是针对Linux AMD64架构的Kubernetes 1.25.10服务器二进制安装包——"kubernetes-server-linux-amd64.tar.gz"。这个压缩包包含了在AMD64平台上运行Kubernetes集群所需的所有核心组件。 首先...
用Trivy扫描容器镜像
多恩斯基的博客
12-20 609
《OpenShift 4.x HOL教程汇总》 红帽 RHACS 支持自动对其管理的 OpenShift 或 Kubernetes 上的容器进行漏洞扫描、合规评估。在 RHACS 中使用了开源的 Clair 来扫描镜像,而红帽 Quay 使用的镜像扫描也是 Clair。因为 RHACS 和 Quay 都是企业平台,因此对运行环境的要求较高。而 Trivy 是一个轻量级漏洞扫描工具,支持基于 CVE 对常用的 Linux 、镜像和应用进行安全扫描。 以下是使用Trivy扫描镜像的过程: $ curl -OL
OpenShift 4 - DevSecOps (2) - 修复 RHACS 发现的安全隐患(附视频)
多恩斯基的博客
04-01 472
workspace PVC: petclinic-build-workspace maven-settings Config Map: maven-settings oc apply -f https://raw.githubusercontent.com/liuxiaoyu-git/SecurityDemos/master/2021Labs/OpenShiftSecurity/documentation/labs-artifacts/s2ijava-mgr.yaml -n cicd .
OpenShift 4 - 在 DevOps 的构建、存储和运行阶段对容器镜像进行漏洞扫描(附视频)
多恩斯基的博客
04-03 413
说明:本文已经在 OpenShift 4.12 + RHACS 3.74 + RH Quay 3.8.4 等环境中验证。
每个人都必须遵循的九项Kubernetes安全最佳实践
weixin_34378767的博客
01-15 141
作者:StackRox产品经理Connor Gilbert 上个月,Kubernetes(世界上最受欢迎的容器编排器)生态系统因发现Kubernetes的第一个主要安全漏洞而动摇。该漏洞(CVE-2018-1002105)使攻击者能够通过Kubernetes API服务器破坏集群,允许他们运行代码来安装恶意软件等恶意活动。 今年早些时候,...
30个不可不知的容器技术工具和资源
热门推荐
Rancher
02-22 1万+
软件容器技术影响着从开发人员、测试人员、运维人员到分析人员的IT团队中的每一个人,它不像虚拟化一样只是系统管理员的工具。容器包的大小和完整性使得团队成员能够在几秒钟内部署完整的环境。容器是一个很好的工具,同时带来了一系列下游决策,包括使用何种标准、如何存储旧版本和部署镜像、如何在生产中管理这些镜像等等。但是,该如何正确的组装产品和服务,才能在环境中有效地构建、运行和管理容器?为了回答这个问题,我们调
OpenShift Security 16 - 用 RHACS 为加固应用镜像安全提供线索(附视频)
多恩斯基的博客
01-23 1038
《OpenShift 4.x HOL教程汇总》 本文在 OpenShift 4.8 + RHACS 环境中进行验证。 演示视频 文章目录部署测试应用镜像漏洞分析应用镜像安全加固 部署测试应用 向 OpenShift 导入一个老版本的 “httpd” 镜像以作为安全漏洞较多的基础镜像。 $ oc import-image httpd:2.4-el7-120 --from=registry.redhat.io/rhscl/httpd-24-rhel7:2.4-120 --confirm -n openshi
重启后K8S没有启动问题的解决
oasisss的博客
01-16 2802
主机重启后K8S没有启动
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值