twistlock defender helm
Twistlock Defender DaemonSet Helm Chart 33.01.137
Twistlock Defender를 배치하기 위한 투구 차트.
이 차트는 CNCF가 승인한 외부 비밀 운영자와 협력하여 내부 비밀을 관리할 수 있습니다.
메모
이 차트는 AWS Secrets Manager 및 Azure Key Vault를 비밀 관리 시스템으로 사용하여 테스트되었습니다.
이 Helm 차트가 작동하는 데 필요한 값을 얻으려면 관리 > 방어자 > 수동 배포로 이동하여 Prisma Cloud Compute 콘솔에서 Helm 차트를 다운로드하고 다음 매개변수를 선택하세요.
배포 방법: Orchestrator
오케스트레이터 유형: Kubernetes 또는 Openshift
기타 모든 기본 및 고급 설정은 환경에 따라 달라집니다.
적절한 옵션을 선택한 후 Helm 차트를 다운로드하세요.
다운로드된 파일의 이름은 Twistlock-defender-helm.tar.gz 입니다. 이 압축 폴더 내에서 배포에 대한 참조로 도움이 될 파일 value.yaml을 추출해야 합니다.
비밀 관리 시스템에 방어자 배포와 관련된 비밀을 저장하려면 다음 프로세스를 사용하십시오.
다음 명령을 사용하여 외부 비밀 연산자를 설치합니다.
helm repo는 외부 비밀 추가 https://charts.external-secrets.io helm install external-secrets external-secrets/external-secrets -n external-secrets --create-namespace
설치에 관한 자세한 내용은 시작 안내서를 참조하세요.
외부 비밀 운영자가 비밀을 검색할 수 있도록 SecretStore 또는 ClusterSecretStore 설치에 대한 해당 가이드를 따르십시오. 방어자가 배포되는 네임스페이스에 대한 연결이 없으므로 이 차트에서는 기본적으로 ClusterSecretStore를 사용합니다. SecretStore로 변경하려면 value.yaml 파일에서 다음 값을 설정하세요.
비밀_저장소:
종류: SecretStore다음 JSON 형식으로 보안 비밀을 만듭니다.
{"SERVICE_PARAMETER":"service_parameter","DEFENDER_CA":"defender_ca_cert","DEFENDER_CLIENT_CERT":"defender_client_cert","DEFENDER_CLIENT_KEY":"defender_client_key","ADMISSION_CERT":"admission_ cert","ADMISSION_KEY":"admission_key","INSTALL_BUNDLE":"install_bundle","WS_ADDRESS":"ws_address","REGISTRY_USER":"registry.user","REGISTRY_PASS":"registry.password","REGISTRY" :"registry.name"}방어자 배포에 해당하는 값으로 값을 대체 해야 합니다 .
Azure Key Vault의 경우 콘텐츠 유형을 application/json 으로 설정해야 합니다.
SERVICE_PARAMETER부터 WS_ADDRESS까지의 값은 이전에 Prisma Cloud에서 다운로드한 helm 차트의 value.yaml 파일에서 확인할 수 있는 값입니다.
Defender Public Registry를 사용하는 경우 레지스트리 구성 값은 다음과 같아야 합니다.
레지스트리: Registry.twistlock.com
REGISTRY_USER: 원하는 항목
REGISTRY_PASS: 이미지를 다운로드하는 데 사용되는 액세스 토큰
컨테이너 이미지를 다운로드하는 방법에 대한 자세한 내용은 Prisma Cloud 컨테이너 이미지 설명서를 참조하세요.
기본 구성은 다음과 같습니다.
Collect_pod_labels: true # 배포 레이블이 Prismamonitor_service_accounts에서 감지된 레이블의 일부가 되도록 네임스페이스 컬렉션을 허용합니다.
다른 모든 기본 설정은 value.yaml 파일에서 찾을 수 있습니다.
다음은 외부 비밀이 없는 value.yaml 의 가장 간단한 권장 샘플입니다.
image_name: Registry.twistlock.com/twistlock/defender:defender_<VERSION>registry:이름: Registry.twistlock.com사용자 이름: Twistlockpassword: <ACCESS_TOKEN># Secretsservice_PARAMETER: <YOUR_SERVICE_PARAMETER>defender_ca_cert: <YOUR_DEFENDER_CA>defender_client_cert: <YOUR_DEFENDER_CERT>defender_client_key: <YOUR_DEFENDER_KEY>admission_cert: <YOUR_ADMISSION_CERT>admission_key: <YOUR_ADMISSION_KEY> install_bundle: <YOUR_INSTALL_BUNDLE>ws_address: <YOUR_WS_ADDRESS>
액세스 토큰의 값은 헬름 차트 다운로드 시 이미지 이름에서 얻을 수 있습니다. tw_ 옆의 값이어야 합니다.
프라이빗 레지스트리를 사용하는 경우 이미지 이름과 레지스트리 세부정보를 대체할 수도 있습니다.
다음은 외부 비밀이 포함된 value.yaml 의 가장 간단한 권장 샘플입니다.
image_name: Registry.twistlock.com/twistlock/defender:defender_<VERSION>secret_store:이름: <YOUR_SECRETSTORE_NAME>remote_key: <YOUR_SECRET_NAME>
GKE Autopilot에 배포하려면 다음 값을 설정해야 합니다.
gke_autopilot_annotation: 'autopilot.gke.io/no-connect: "true"'
OpenShift 배포의 경우 다음 값을 설정합니다.
openshift: trueselinux_header: 'seLinuxOptions:'selinux_options: '유형: spc_t'
승인 컨트롤러를 포함하려면 다음 값을 포함해야 합니다.
defender_ca_cert: <YOUR_DEFENDER_CA>admission_path: <YOUR_ADMISSION_PATH>
이 값은 Prisma Compute Console에서 관리 > 방어자 > 설정 으로 이동하여 얻을 수 있습니다.
최신 버전을 설치하려면 다음 명령을 실행하십시오.
helm 업그레이드 --install -n Twistlock -f value.yaml --create-namespace --repo https://paloaltonetworks.github.io/twistlock-defender-helm Twistlock-defender Twistlock-defender
특정 버전을 설치하려면 다음 명령을 실행하십시오.
helm 업그레이드 --install -n Twistlock -f value.yaml --create-namespace --repo https://paloaltonetworks.github.io/twistlock-defender-helm --version <버전> Twistlock-defender Twistlock-defender
