Google Cloudとコンテナの継続的なセキュリティ
本文の内容は、2021年10月7日現在における、docs.sysdig.com上のAdmission Controller: Installationを元に日本語に翻訳・再構成した内容となっております。
アドミッションコントローラーをインストールした後に使用するには、「アドミッションコントローラー」を参照してください。
Kubernetesのアドミッションコントローラは、クラスターで許可されるリクエストを定義し、カスタマイズするのに役立ちます。アドミッションコントローラは、Kubernetes APIへのリクエストを傍受し、オブジェクトの永続化の前に処理しますが、リクエストが認証され、認可された後に処理します。
イメージスキャン機能:Sysdigのアドミッションコントローラ(UIベース)は、Kubernetesをベースに、イメージスキャナーの機能を強化し、CVE(Common Vulnerabilities and Exposures)、設定ミス、古いイメージなどをチェックし、スキャンポリシーを検知から実際の防止にまでを可能にします。設定されたアドミッションポリシーを満たさないコンテナイメージは、ノードに割り当てられて実行が許可される前に、クラスターから拒否されます。
Kubernetesの監査ログ機能(SaaSのみ):アドミッションコントローラーでKubernetes監査ログ機能を使用するには、features.k8sAuditDetections=trueオプションを有効にします。(参照: Kubernetes Audit Logging.)
Admission Controllerのページへのリンクは、左側のナビゲーションのImage Scanningの下に表示されます。
このコンポーネントは、使用する各クラスタにインストールする必要があります。
helm repo add sysdig
https://charts.sysdig.com
helm repo update
helm install sysdig-admission-controller \
--create-namespace \
--namespace sysdig-admission-controller \
--set sysdig.secureAPIToken=$SYSDIG_API_TOKEN \
--set clusterName=$CLUSTER_NAME \
--set sysdig.url=https://$SYSDIG_SECURE_ENDPOINT \
--set features.k8sAuditDetections=true \
sysdig/admission-controller
詳しい情報は Admission Controller Helmチャートのドキュメントの全文を参照してください。
Sysdig アドミッションコントローラーがすでにインストールされていて、アップグレードしたい場合:
helm upgrade \
--namespace sysdig-admission-controller \
--set features.k8sAuditDetections=true \
--reuse-values \
sysdig-admission-controller sysdig/admission-controller
アドミッションコントローラーのCLIベースのバージョンをインストールした場合、UIベースのバージョンには後方互換性がありません。古いバージョンをアンインストールして、代わりにUIベースのバージョンをインストールする必要があります。
以下のようにデプロイします:
$ helm uninstall -n sysdig-admission-controller sysdig-admission-controller