Kubernetesコンテナ

Kubernetes は、コンテナ化されたアプリケーションのデプロイ、スケーリング、および管理を自動化するためのオープンソースのコンテナオーケストレーションシステムです。さまざまなコンテナツールで動作し、クラスタ内のコンテナを実行します。多くの場合、Docker で構築されたイメージを使用します。アプリケーションを構成するコンテナは、管理と検出を容易にするために論理ユニットにグループ化されます。

対応バージョン

名前

バージョン

ヘルム

v3.0

Kubernetes

v1.16

OpenShift

v4.6

Runtime Protection: ワーカーノードはRHCOS で実行されます。

Tanzu

TKG v1.2、TKGI v1.10

コンテナランタイム

Docker v1.32、コンテナ 1.1、CRI-O

OS

Linuxカーネル4.14

CloudGuard は、Helmでのオンボーディング時にコンテナランタイムを自動的に検出します。

同様に、OpenShift およびTanzu プラットフォームも自動的に検出され、それに応じてHelm デプロイメントが調整されます。

- CloudGuard では、コンテナランタイムを組み合わせたハイブリッドクラスタはサポートされません。製品がクラスタにオンボードされた後は、コンテナランタイムを変更できません。

許可要件

CloudGuard エージェントには、次のKubernetes アクセス許可が必要です。

動詞

グループ

リソース

適用範囲

get、list

-

ポッド

サービス

ノード

ノード/プロキシ

サービスアカウント

namespaces

リソース割当

クラスタ全体

アプリ

デーモンセット

デプロイメント

レプリカセット

statefulsets

クラスタ全体

networking.k8s.io

Networkpolicies

イングレス

クラスタ全体

拡張機能

イングレス

クラスタ全体

ポリシー

podsecuritypolicies

クラスタ全体

rbac.authorization.k8s.io

ロール

Rolebindings

クラスタロール

クラスタロールバインディング

クラスタ全体

バッチ

クロンジョブ

クラスタ全体

パッチ

admissionregistration.k8s.io

validatingwebhookconfigurations

クラスタ全体

すべて (*)

*.cloudguard.checkpoint.com

すべて (*)

エージェントネームスペース(デフォルト: checkpoint)

CloudGuard エージェントには、OpenShift Kubernetes クラスタのKubernetes アクセス権限が必要です。

動詞

グループ

リソース

適用範囲

get、list

config.openshift.io

clusteroperators (resourceName: openshift-apiserver)

クラスタ全体

operator.openshift.io

openshiftapiservers, kuberapiservers (resourceName: cluster)

クラスタ全体

security.openshift.io

securitycontextconstraints

クラスタ全体

取得

-

-

configmaps (resourceName: config)

openshift-kube-controller-manager, openshift-apiserver, openshift-kube-apiserver

configmaps (resourceName: kube-scheduler-pod)

openshift-kube-scheduler

- OpenShift のKubernetes クラスタの場合、CloudGuard はOpenShift ネームスペースに追加のロールを作成します。ロールバインドは、これらのロールをCloudGuard サービスアカウント(エージェントに使用されるCloudGuard ネームスペース) にバインドします。

接続要件

CloudGuard Agent は、次のドメインに接続する必要があります。

ブレードまたはエージェントアドレス

CloudGuard

Image Assurance

ShiftLeft

.checkpoint.com

.dome9.com

- ドメイン.checkpoint.com および.dome9.com は、Check Pointのネットワークドメインオブジェクト を表します。

ランタイム保護

https://storage.googleapis.com/cos-tools

http://mirrors.edge.kernel.org/

コンテナ登録

https://quay.io/checkpoint

ドメインオブジェクトの代わりに、以下の表のリージョン固有のURL を使用できます。これらのエンドポイントをallowlist に追加します。

ブレードまたはエージェントアドレス

Image Assurance

https://shiftleft.portal.checkpoint.com

https://cloudinfra-gw.portal.checkpoint.com

https://rpm-serv.sg.iaas.checkpoint.com

ランタイム保護

https://storage.googleapis.com/cos-tools

http://mirrors.edge.kernel.org/

コンテナ登録

https://quay.io/checkpoint

ブレードまたはエージェントアドレス

CloudGuard

https://api-cpx.dome9.com

https://api.dome9.com

ShiftLeft

https://shiftleft-prod-bucket.sg.iaas.checkpoint.com

https://us-gw.sg.iaas.checkpoint.com

ブレードまたはエージェントアドレス

CloudGuard

https://api-cpx.eu1.dome9.com

https://api.eu1.dome9.com

ShiftLeft

https://shiftleft-prod-bucket.sg.iaas.checkpoint.com

https://eu-gw.sg.iaas.checkpoint.com

ブレードまたはエージェントアドレス

CloudGuard

https://api-cpx.ap2.dome9.com

https://api.ap2.dome9.com

ShiftLeft

https://shiftleft-prod-bucket.sg.iaas.checkpoint.com

https://au-gw.sg.iaas.checkpoint.com

CloudGuard ポッドイメージがプライベートリポジトリにアップロードされる場合、コンテナレジストリへの接続は不要です。この場合、Helm チャートパラメータimage.repository を変更して、イメージの場所を示す必要があります。このパラメータの設定の詳細については、以下を参照してください。

リソース要件

それぞれのCloudGuard機能には、デーモンセットで実行されるポッドとデプロイで実行されるポッドを含めることができます。デーモンセット内のポッドのリソースは、per node の下の表に示されています。デプロイメントのポッドの場合、リソースはper cluster にあります。デプロイメントで実行されるポッドは、確実に異なるノードで実行できます。

defaults.yamlHelm Chart には、リクエストと制限のデフォルト値があります。

機能

クラスタまたはノードごと

CPU(ミリコア)

メモリ(MiB)

要求

限界

要求

限界

ポスチャー管理

クラスタあたり

200

400

70

80

Image Assurance

クラスタあたり

300

1200

520

2530

ノードごとに

300

600

120

130

per node - OpenShift

300

600

220

230

アドミッションコントロール

クラスタあたり

1300

2200

490

620

ランタイム保護

クラスタあたり

200

400

50

80

ノードごとに

300

2200

520

1030

フローログ

ノードごとに

200

400

50

130

合計

クラスタあたり

2000

4200

1130

3310

ノードごとに

800

3200

690

1290

per node - OpenShift

800

3200

790

1390