我們的供應鏈安全系列中的KubeClarity :安裝和測試文章介紹了在本地 Docker 和 Kubernetes 環境中輕鬆安裝 KubeClarity。如果您已經嘗試過 KubeClarity 並希望將其整合到您的 EKS 叢集中以進行嚴格的雲端應用程式掃描,那麼這篇部落格文章是一個完美的指南。
讓我們深入了解 AWS EKS 架構,並探討如何從一開始就增強雲端安全性。準備好完整演練 AWS EKS 叢集上的 KubeClarity 安裝。
從根本上來說,KubeClarity 安裝過程透過無論安裝在 KinD 或 EKS 叢集上,Helm圖表都保持不變。主要區別在於準備安裝環境的初步步驟。假設您已經擁有一個正常運行的 EKS 集群,本文將引導您完成 EKS 集群上 KubeClarity 的必要先決條件和安裝過程。那麼,加入騎行吧!
步驟 0:在 AWS EKS 架構上安裝 KubeClarity 的先決條件
注意:如果您的 EKS 叢集版本為 1.23 或更高版本,請繼續執行此步驟。否則,請隨意跳到步驟 1。
若要在 AWS EKS 叢集版本 1.23 及更高版本上安裝 KubeClarity,請確保您已包含必要的附加元件。例如,KubeClarity 包含具有磁碟區綁定的 PostgreSQL DB pod,因此需要 EBS CSI 驅動程式附加元件。您可以在此處了解Amazon EKS 架構插件,並查看您的部署需要哪些插件。在 EKS 1.23 及更高版本上安裝 KubeClarity 需要 EBS CSI 驅動程式附加元件。
安裝後,必須使用 IAMServiceRole 和政策來設定 EBS CSI 驅動程式。按照說明操作此處配置 CSI IAM 服務角色和原則。 如果您的部署符合此先決條件,並且您已成功配置所需的附加元件和支援的 IAM 角色,請直接繼續執行下面的步驟 1,並跳過本節中的更多詳細資訊。
如果您需要有關安裝和配置附加元件的更多指導,請堅持。我們將在此步驟中探索更多詳細信息,顯示我的附加元件和 IAM 配置的範例參考和輸出。
安裝 AWS EKS 叢集附加元件
首先,找到並安裝附加元件。從您的 AWS 控制台,瀏覽到您的叢集以檢查您的叢集資訊和配置選項,如下圖 2 所示:
圖 2:EKS 叢集資訊和設定選項
繼續選擇附加元件並新增它們。選項如下圖3所示:
圖 3:配置 EKS 叢集插件
接下來,驗證附加元件是否已安裝且處於作用中狀態,如下圖 4 所示:
圖 4:EKS 叢集中已配置的附加元件列表
這樣就完成了附加元件的安裝。或者,您也可以透過 CLI 安裝附加元件。為此,請按照說明進行操作這裡。
配置附加元件
現在我們已經安裝並啟動了附加元件,我們需要確保使用 IAM 服務角色來設定 EBS CSI 驅動程式附加元件。
第一步是創建一個您的叢集的IAM OIDC 提供者。再次點擊連結並選擇要設定的控制台或 CLI 選項。請務必在命令中提供您的叢集名稱。
接下來,執行以下命令並記下傳回的 OIDC 值,因為您將需要使用該值來完成後續步驟中的配置。再次,將命令中的叢集名稱替換為
注意:請確保使用執行上述命令返回的您自己的 OIDC ID。另外,插入該區域;在我 的例子 中,它是“us – west-1”。
接下來,是時候繼續建立 CSI 驅動程式 IAMServiceRole。按照說明操作此處配置 CSI IAM 服務角色和原則。
注意: KubeClarity 安裝不需要 KMS 加密設定。可以安全地跳過說明中的 KMS 步驟。
您已滿足在 AWS EKS 上安裝的所有先決條件,並且您的叢集現在已準備好安裝 KubeClarity。
步驟 1:在 AWS EKS 架構上安裝 KubeClarity
檢查 中的目前配置 values.yaml,並根據需要更新所需的值。若要啟用和設定受支援的 SBOM 產生器和漏洞掃描器,請檢查「漏洞掃描器」部分下的「分析器」和「掃描器」配置。您可以跳過更改配置並將其保留為預設值。
在我的部署中,我更喜歡在叢集前端使用負載平衡器。但這是完全可選的。因此,如果您已經設定了負載平衡器或想要跳過此步驟,則可以直接跳到步驟 2 。如果您有興趣,我將在這裡描述負載平衡器配置。
負載平衡器配置(可選)
為您的 EKS 叢集配 置負載平衡器並透過它存取 KubeClarity UI 前端。這是一個可選步驟,但考慮到大多數雲端應用程式都部署 沙烏地阿拉伯 電話號碼數據 在負載平衡器後面,了解如何配置它可能會很有用。我們必須從設定檔開始來建立負載平衡器配置。您可以在下面看到我的設定檔的範例。按照說明並在您的一端建立負載平衡器來部署負載平衡器。
建立配置
現在使用此位址請務必將您的值替換為 $KUBECLARITYIP。
步驟 2:用於掃描的範例應用程式安裝(選用)
我們將安裝一個範例襪子店微服務應用程式。這是一個完全可選的步驟。 您可以按照 電子商務應用程式開發公司如何塑造線上購物的未來 步驟安裝同一個應用程序,也可以安裝您自己的應用程式。我建議按照我的步驟為初學者安裝相同的應用程式。
為我們即將安裝的襪子店應用程式建立一個命名空間
步驟 3:開始掃描
現在您已啟動並運行 KubeClarity,並且您的自訂應用程式在同一 EKS 叢集中運行,讓我們執行一些掃描。
正如您可能在先前 資料庫資料庫 基於 KinD 的安裝中註意到的那樣,KubeClarity UI 在全新安裝後沒有報告漏洞的資料。儀表板顯示預設值,如下圖 5 所示:
圖 5:全新安裝後的 KubeClarity UI 儀表板
讓我們開始對我們安裝的 sock-shop 應用程式進行運行時掃描,看看它發現了什麼。在左側導覽列中選擇「運行時掃描」選項,如下圖6所示:
圖 6:導航 KubeClarity UI 儀表板以啟動運行時掃描
接下來,選擇新安裝的 sock-shop 應用程式命名空間以開始掃描,方法是選擇如下圖 7 所示的選項:
圖 7:用於啟動運行時掃描的 KubeClarity UI 儀表板選項
您可以查看正在進行的掃描的狀態,如下圖 8 所示:
圖 8:顯示掃描狀態的 KubeClarity UI 儀表板
第四步:檢查結果
圖 9 顯示了完成的掃描結果,顯示了受影響組件的綜合報告,例如「應用程式」、「應用程式資源」、「套件」和「漏洞」。您可以透過點擊每個元素來收集有關調查結果的更多資訊。例如,我選擇“應用程式”來查看掃描結果的詳細資訊。在這裡,您可以注意到襪子商店命名空間中的 14 個應用程式已被標記為存在漏洞。