本文の内容は、2021年10月7日現在における、docs.sysdig.com上のAdmission Controller: Installationを元に日本語に翻訳・再構成した内容となっております。
アドミッションコントローラーをインストールした後に使用するには、「アドミッションコントローラー」を参照してください。
アドミッションコントローラーについて
Kubernetesのアドミッションコントローラは、クラスターで許可されるリクエストを定義し、カスタマイズするのに役立ちます。アドミッションコントローラは、Kubernetes APIへのリクエストを傍受し、オブジェクトの永続化の前に処理しますが、リクエストが認証され、認可された後に処理します。イメージスキャン機能:Sysdigのアドミッションコントローラ(UIベース)は、Kubernetesをベースに、イメージスキャナーの機能を強化し、CVE(Common Vulnerabilities and Exposures)、設定ミス、古いイメージなどをチェックし、スキャンポリシーを検知から実際の防止にまでを可能にします。設定されたアドミッションポリシーを満たさないコンテナイメージは、ノードに割り当てられて実行が許可される前に、クラスターから拒否されます。
Kubernetesの監査ログ機能(SaaSのみ):アドミッションコントローラーでKubernetes監査ログ機能を使用するには、features.k8sAuditDetections=trueオプションを有効にします。(参照: Kubernetes Audit Logging.)
Sysdig Labsでの有効化(イメージスキャン用)
- Sysdig Secureに管理者としてログインし、「Settings」→「User Profile」を選択します。
- Sysdig LabsでAdmission Controller機能を有効にし、Saveをクリックします。
Admission Controllerのページへのリンクは、左側のナビゲーションのImage Scanningの下に表示されます。
インストール方法
このコンポーネントは、使用する各クラスタにインストールする必要があります。備考
アドミッションコントローラのCLIベースのバージョンをインストールした場合、UIベースのバージョンには後方互換性がありません。古いバージョンをアンインストールして、代わりにUIベースのバージョンをインストールする必要があります。
前提条件
- Helm 3
- Kubernetes 1.16またはそれ以降
アドミッションコントローラのインストール
- kubectlがアドミッションコントローラがインストールされるターゲットクラスターを指していることを確認します。
- Helmのリポジトリを追加して同期します
helm repo add sysdig https://charts.sysdig.com helm repo update
- アドミッションコントローラーをターゲットクラスターにインストールします。
helm install sysdig-admission-controller \ --create-namespace \ --namespace sysdig-admission-controller \ --set sysdig.secureAPIToken=$SYSDIG_API_TOKEN \ --set clusterName=$CLUSTER_NAME \ --set sysdig.url=https://$SYSDIG_SECURE_ENDPOINT \ --set features.k8sAuditDetections=true \ sysdig/admission-controller
- Sysdig UIでインストールが成功したことを確認します。Sysdig Secureにログインし、Image Scanning>Admission Controller>Policy Assignmentsを選択します。
デフォルトでは、クラスターはConnected(健全)であるが、Disabled(名前の右にあるグレーのドット)と表示されています。アドミッションコントローラは、誤ってデプロイメントをブロックしないように、デフォルトでは無効になっています。
インストールパラメーター
- sysdig.secureAPIToken: Sysdig Secure API token: Sysdig UIの「Settings/User Profile」で確認できるSysdig Secure API token。このユーザは管理者権限を持っている必要があります。
- clusterName: Sysdigのバックエンドのアドミッションコントローラインターフェイスに表示される、このクラスターのユーザ定義の名前です。クラスター名はエージェントクラスター名と一致する必要があります。
- Sysdig.url: Sysdigのエンドポイント。Sysdigのエンドポイント。
- デフォルトのhttps://secure.sysdig.com はus-eastリージョン用です。
- us-westの場合は https://us2.app.sysdig.com
- European Unionの場合は https://eu1.app.sysdig.com を使用します。 SaaSのリージョンとIPレンジも参照してください。
- features.k8sAuditDetections: true/false. アドミッションコントローラーを介してKubernetesの監査ログを有効にするには、trueを設定します。以下も参照してください。Kubernetes Audit Logging(レガシーインストール)」および「Select the Policy Type(Kubernetes Audit Policies)」も参照してください。
備考
アドミッションコントローラーをインストールした後に使用するには、「アドミッションコントローラー」を参照してください。
アップグレードについて
Scanning-Only Admission Controllerからのアップグレード
Sysdig アドミッションコントローラーがすでにインストールされていて、アップグレードしたい場合:helm upgrade \
--namespace sysdig-admission-controller \
--set features.k8sAuditDetections=true \
--reuse-values \
sysdig-admission-controller sysdig/admission-controller備考
すでにアドミッションコントローラーをお持ちで、従来の方法でKubernetesの監査ロギングを有効にしているお客様は、新しいアドミッションコントローラーをインストール/アップグレードすることができます。重複するイベントの収集と表示を避けるために、features.k8sAuditDetections=falsを設定することを確認してください。
CLIベースのバージョンをアンインストールする方法
アドミッションコントローラーのCLIベースのバージョンをインストールした場合、UIベースのバージョンには後方互換性がありません。古いバージョンをアンインストールして、代わりにUIベースのバージョンをインストールする必要があります。以下のようにデプロイします:
$ helm uninstall -n sysdig-admission-controller sysdig-admission-controller