Kubernetesコンテナ
Kubernetes は、コンテナ化されたアプリケーションのデプロイ、スケーリング、および管理を自動化するためのオープンソースのコンテナオーケストレーションシステムです。さまざまなコンテナツールで動作し、クラスタ内のコンテナを実行します。多くの場合、Docker で構築されたイメージを使用します。アプリケーションを構成するコンテナは、管理と検出を容易にするために論理ユニットにグループ化されます。
対応バージョン
名前 | バージョン |
|---|---|
ヘルム | v3.0 |
Kubernetes | v1.16 |
OpenShift | v4.6 Runtime Protection: ワーカーノードはRHCOS で実行されます。 |
Tanzu | TKG v1.2、TKGI v1.10 |
コンテナランタイム | Docker v1.32、コンテナ 1.1、CRI-O |
OS | Linuxカーネル4.14 |
CloudGuard は、Helmでのオンボーディング時にコンテナランタイムを自動的に検出します。
同様に、OpenShift およびTanzu プラットフォームも自動的に検出され、それに応じてHelm デプロイメントが調整されます。
| 注 - CloudGuard では、コンテナランタイムを組み合わせたハイブリッドクラスタはサポートされません。製品がクラスタにオンボードされた後は、コンテナランタイムを変更できません。 |
許可要件
CloudGuard エージェントには、次のKubernetes アクセス許可が必要です。
動詞 | グループ | リソース | 適用範囲 |
|---|---|---|---|
get、list | - | ポッド サービス ノード ノード/プロキシ サービスアカウント namespaces リソース割当 | クラスタ全体 |
アプリ | デーモンセット デプロイメント レプリカセット statefulsets | クラスタ全体 | |
networking.k8s.io | Networkpolicies イングレス | クラスタ全体 | |
拡張機能 | イングレス | クラスタ全体 | |
ポリシー | podsecuritypolicies | クラスタ全体 | |
rbac.authorization.k8s.io | ロール Rolebindings クラスタロール クラスタロールバインディング | クラスタ全体 | |
バッチ | クロンジョブ | クラスタ全体 | |
パッチ | admissionregistration.k8s.io | validatingwebhookconfigurations | クラスタ全体 |
すべて (*) | *.cloudguard.checkpoint.com | すべて (*) | エージェントネームスペース(デフォルト: checkpoint) |
CloudGuard エージェントには、OpenShift Kubernetes クラスタのKubernetes アクセス権限が必要です。
動詞 | グループ | リソース | 適用範囲 |
|---|---|---|---|
get、list | config.openshift.io | clusteroperators (resourceName: openshift-apiserver) | クラスタ全体 |
operator.openshift.io | openshiftapiservers, kuberapiservers (resourceName: cluster) | クラスタ全体 | |
security.openshift.io | securitycontextconstraints | クラスタ全体 | |
取得 - | - | configmaps (resourceName: config) | openshift-kube-controller-manager, openshift-apiserver, openshift-kube-apiserver |
configmaps (resourceName: kube-scheduler-pod) | openshift-kube-scheduler |
| 注 - OpenShift のKubernetes クラスタの場合、CloudGuard はOpenShift ネームスペースに追加のロールを作成します。ロールバインドは、これらのロールをCloudGuard サービスアカウント(エージェントに使用されるCloudGuard ネームスペース) にバインドします。 |
接続要件
CloudGuard Agent は、次のドメインに接続する必要があります。
| ブレードまたはエージェント | アドレス | ||
|---|---|---|---|
CloudGuard Image Assurance ShiftLeft | .checkpoint.com .dome9.com
| ||
ランタイム保護 | https://storage.googleapis.com/cos-tools http://mirrors.edge.kernel.org/ | ||
コンテナ登録 | https://quay.io/checkpoint |
ドメインオブジェクトの代わりに、以下の表のリージョン固有のURL を使用できます。これらのエンドポイントをallowlist に追加します。
| ブレードまたはエージェント | アドレス |
|---|---|
Image Assurance | https://shiftleft.portal.checkpoint.com https://cloudinfra-gw.portal.checkpoint.com https://rpm-serv.sg.iaas.checkpoint.com |
ランタイム保護 | https://storage.googleapis.com/cos-tools http://mirrors.edge.kernel.org/ |
コンテナ登録 | https://quay.io/checkpoint |
米国 (US) | ブレードまたはエージェント | アドレス |
|---|---|
CloudGuard | https://api-cpx.dome9.com https://api.dome9.com |
ShiftLeft | https://shiftleft-prod-bucket.sg.iaas.checkpoint.com https://us-gw.sg.iaas.checkpoint.com |
欧州(EU) | ブレードまたはエージェント | アドレス |
|---|---|
CloudGuard | https://api-cpx.eu1.dome9.com https://api.eu1.dome9.com |
ShiftLeft | https://shiftleft-prod-bucket.sg.iaas.checkpoint.com https://eu-gw.sg.iaas.checkpoint.com |
シンガポール(SG) | ブレードまたはエージェント | アドレス |
|---|---|
CloudGuard | https://api-cpx.ap1.dome9.com https://api.ap1.dome9.com |
ShiftLeft | https://shiftleft-prod-bucket.sg.iaas.checkpoint.com https://sg-gw.sg.iaas.checkpoint.com |
オーストラリア(AU) | ブレードまたはエージェント | アドレス |
|---|---|
CloudGuard | https://api-cpx.ap2.dome9.com https://api.ap2.dome9.com |
ShiftLeft | https://shiftleft-prod-bucket.sg.iaas.checkpoint.com https://au-gw.sg.iaas.checkpoint.com |
インド(IN) | ブレードまたはエージェント | アドレス |
|---|---|
CloudGuard | https://api-cpx.ap3.dome9.com https://api.ap3.dome9.com |
ShiftLeft | https://shiftleft-prod-bucket.sg.iaas.checkpoint.com https://in-gw.sg.iaas.checkpoint.com |
CloudGuard ポッドイメージがプライベートリポジトリにアップロードされる場合、コンテナレジストリへの接続は不要です。この場合、Helm チャートパラメータimage.repository を変更して、イメージの場所を示す必要があります。このパラメータの設定の詳細については、以下を参照してください。
https://github.com/CheckPointSW/charts/tree/master/checkpoint/cp-resource-management
https://github.com/CheckPointSW/charts/tree/master/checkpoint/cloudguard
リソース要件
それぞれのCloudGuard機能には、デーモンセットで実行されるポッドとデプロイで実行されるポッドを含めることができます。デーモンセット内のポッドのリソースは、per node の下の表に示されています。デプロイメントのポッドの場合、リソースはper cluster にあります。デプロイメントで実行されるポッドは、確実に異なるノードで実行できます。
defaults.yaml のHelm Chart には、リクエストと制限のデフォルト値があります。
機能 | クラスタまたはノードごと | CPU(ミリコア) | メモリ(MiB) | ||
|---|---|---|---|---|---|
要求 | 限界 | 要求 | 限界 | ||
ポスチャー管理 | クラスタあたり | 200 | 400 | 70 | 80 |
Image Assurance | クラスタあたり | 300 | 1200 | 520 | 2530 |
ノードごとに | 300 | 600 | 120 | 130 | |
per node - OpenShift | 300 | 600 | 220 | 230 | |
アドミッションコントロール | クラスタあたり | 1300 | 2200 | 490 | 620 |
ランタイム保護 | クラスタあたり | 200 | 400 | 50 | 80 |
ノードごとに | 300 | 2200 | 520 | 1030 | |
フローログ | ノードごとに | 200 | 400 | 50 | 130 |
合計 | クラスタあたり | 2000 | 4200 | 1130 | 3310 |
ノードごとに | 800 | 3200 | 690 | 1290 | |
per node - OpenShift | 800 | 3200 | 790 | 1390 | |
