ビュー:
次の図は、クラスタ環境内のコンポーネントを示し、データフローを説明し、各コンポーネントがクラスタ内でどのように使用されるかを説明します。
k8s-cluster-customer-dataflow=15ce8387-7492-402b-8acc-0c6a5bf6f78e.png
次の表は、Container SecurityのKubernetesクラスターを構成するコンポーネントの簡単な説明を提供します。
注意
注意
ファイアウォールまたはネットワークポリシーの許可リストにポートを追加します。これにより、Container Securityがクラスターからバックエンドにコンポーネント情報を投稿し、健康チェックやメトリクスのような機能を実装し、クラスター内のコンポーネント間の通信を必要とする機能を実現できます。

デフォルトコンポーネント

コンポーネント名
説明
Pod 名
コンテナ名
 ポート
使用コントローラ
Usage Controller は、Cloud One の請求およびインストールされている helm バージョンの決定に使用される使用データを定期的に Reports します。
重要
重要
Usage ControllerはVision Oneで廃止されます。
trendmicro-usage-controller-xxxxxxxxxx-xxxxx
  • controller-manager
  • rbac-proxy
  • 8081
アドミッションコントローラ
Admission Controller は Kubernetes を検証し、デプロイメントポリシーに基づいてブロックまたはログアクションを実行するために使用されます。
重要
重要
Admission Controllerはregistry:typeアーティファクトでのみ機能します。
trendmicro-admission-controller-xxxxxxxxxx-xxxxx
  • trendmicro-admission-controller
  • 443
  • 8443
  • 8083
注意
注意
ポート443は、クラスタ内からバックエンドへのアウトバウンド接続に使用されます。
監視コントローラー
オーバーサイトコントローラーコンポーネントは、継続的なポリシーに対してKubernetesリソースを繰り返しスキャンし、隔離および終了アクションを処理します。継続的なコンプライアンスポリシーの施行に使用されます。
trendmicro-oversight-controller-xxxxxxxxx-xxxxx
  • controller-manager
  • rbac-proxy
  • 8443
  • 8070
  • 8081
Workload Operator
Workload Operator コンポーネントは、ランタイムスキャン機能のためにユニークな実行中のコンテナイメージを検出し、インベントリ機能のために Kubernetes リソースデータも収集します。
trendmicro-workload-operator-xxxxxxxxxx-xxxxx
  • trendmicro-workload-operator
  
ポリシーオペレーター
ポリシーオペレーターは、クラスター、ポリシー、カスタムルールセットなどのContainer Securityリソースのライフサイクルを管理します。ポリシーオペレーターは、これらのリソースをVision Oneと同期させ、認証トークンのローテーションを処理します。他のトレンドマイクロのコンポーネントは、ポリシーを取得し、緩和策の適用を要求するためにポリシーオペレーターに連絡します。
trendmicro-policy-operator-xxxxxxxxxx-xxxxx
  • trendmicro-policy-operator
  • 8070

ランタイムセキュリティコンポーネント

コンポーネント名
説明
Pod 名
コンテナ名
 ポート
スカウト
Scoutは、ランタイムセキュリティ機能を提供し、ランタイムルールを制御し、イベントの集約とアップロードを処理します。デーモンセットはノードごとにデプロイされます。
trendmicro-scout-xxxxx
  • falco
  • スカウト
  
K8s-metacollector
k8s-metacollectorは、APIサーバーからさまざまなKubernetesリソースのメタデータを取得し、Falcoインスタンスのようなクラスタ内コンポーネントにメタデータを送信して、Kubernetes APIサーバーへのパフォーマンス影響を減少させます。
trendmicro-metacollector-xxxxxxxxxx-xxxxx
  • k8s-metacollector
  • 45000
  • 8081
  • 8080
fargate-injector
fargate-injectorコンポーネントは、EKS Fargate環境で実行されているポッドにscoutとfalcoのサイドカーコンテナを注入します。
trendmicro-fargate-injector
  • trendmicro-fargate-injector
  • 443
  • 8443
注意
注意
ポート443は、クラスタ内からバックエンドへのアウトバウンド接続に使用されます。

脆弱性スキャンコンポーネント

コンポーネント名
説明
Pod 名
コンテナ名
 ポート
検索マネージャ
Scan Manager はクラスタ内の脆弱性スキャンを管理し、スキャンジョブを開始します。
trendmicro-scan-manager-xxxxxxxx-xxxxx
  • scan-manager
  • 443
  • 8080
  • 8070
  • 8071
注意
注意
ポート443は、クラスタ内からバックエンドへのアウトバウンド接続に使用されます。
スキャンジョブ
スキャンジョブはコンテナイメージのSBOMを生成し、Scan Managerにレポートします。このポッドはターゲットポッドの名前空間にデプロイされます。
重要
重要
検索ジョブポッドのIPアドレスと検索マネージャポッドのIPアドレス間でポート8070を使用したクロスネームスペースネットワーク通信を許可することをお勧めします。
trendmicro-scan-job-xxxxxxxxxx-xxxxx
  • スキャンジョブ
  

不正プログラムスキャンコンポーネント

コンポーネント名
説明
ポッド名
コンテナ名
 ポート
不正プログラムスキャナー
不正プログラムスキャナーは、ファイルを分析するためのクラスター内不正プログラムスキャン機能を提供します。
トレンドマイクロ不正プログラムスキャナー-xxxxxxxxxx-xxxxx
  • 不正プログラムスキャナー
  • 50051