Google Cloudとコンテナの継続的なセキュリティ
Google Cloud Platform上のKubernetes Engineに新規にクラスターを作成し、その後、Sysdig Monitorのトライアルアカウントを用いて実際に初期設定を行ってみましょう!
注意ポイント:Sysdigを利用する場合は、ノードイメージで「Ubuntu」を使用します。
デフォルトで2週間のトライアルアカウントが発行されます。
アクティベート用のメールが送られてきますので、メールのリンクをクリックしてアクティベートします。その後、GKE上にsysdig agentをインストールするステップに進みます。
設定ステップは、下記の通りです。
kubectl create clusterrolebinding your-user-cluster-admin-binding --clusterrole=cluster-admin --user=<user-name>
curl -O https://raw.githubusercontent.com/draios/sysdig-cloud-scripts/master/agent_deploy/kubernetes/sysdig-agent-clusterrole.yaml
kubectl apply -f sysdig-agent-clusterrole.yaml
kubectl create serviceaccount sysdig-agent
kubectl create clusterrolebinding sysdig-agent --clusterrole=sysdig-agent --serviceaccount=default:sysdig-agent
curl -O https://raw.githubusercontent.com/draios/sysdig-cloud-scripts/master/agent_deploy/kubernetes/sysdig-agent-daemonset-v2.yaml
curl -O https://raw.githubusercontent.com/draios/sysdig-cloud-scripts/master/agent_deploy/kubernetes/sysdig-agent-configmap.yaml
kubectl create secret generic sysdig-agent --from-literal=access-key= <your sysdig access key>
vi sysdig-agent-daemonset-v2.yaml
serviceAccount: sysdig-agent 行の「#」を削除します。
vi sysdig-agent-configmap.yaml
new_k8s: true 行の「#」を削除します。
(任意)下記のようにタグをつけた設定も可能です。
tags: linux:ubuntu,dept:shimizu,local:tokyo -- 省略-- new_k8s: true k8s_cluster_name: sysdig-k8s
kubectl apply -f sysdig-agent-configmap.yaml
kubectl apply -f sysdig-agent-daemonset-v2.yaml
Sysdig agentがSysdig Cloudへ送信するKubernetes関連のメタデータがSysdig Cloud上で識別されるまで一度、コーヒーなどを飲んで休憩しましょう。:-)