ビュー:
Container Security Operatorは、Trend Vision OneContainer SecurityアプリケーションをHelmチャートのようにデプロイおよび管理する方法です。Helmチャートについて詳しく学んでください。
オペレーターは、OpenShiftコンテナプラットフォーム上で実行され、Container Securityアプリケーションのデプロイと管理を行います。オペレーターはHelmチャートを自動的にインストールし、新しいアップデートがリリースされるとチェックします。OpenShift Operatorハブからオペレーターをインストールするには、次の手順を使用してください。

クラスターを Container Security に登録します

Automatically register
Container Securityがインストールされると、クラスターを自動的に登録するように設定できます。
以下の手順を使用して、Trend Vision OneAPIキーを使用してContainer Securityに複数のクラスターを自動的に登録します。
  1. Trend Vision Oneコンソールで [Cloud Security][Container Security] を開きます。
  2. Trend Vision OneAPIキーを作成し、「クラスターを自動登録する」権限のみを含むロールを設定してください。
    詳細については、自動クラスター登録のためのAPIキーを取得するを参照してください。
  3. Trend Vision OneAPIキーをtrendmicro-container-security-registration-keyという名前のシークレットとしてregistration.keyキーでtrendmicro-systemネームスペースに保存します。
Manually register
Trend Vision Oneコンソールでブートストラップトークンを使用してクラスターを作成します。
  1. Trend Vision Oneコンソールで [Cloud Security][Container Security] を開きます。
  2. Kubernetesセクションの[+ Add Cluster]をクリックします。
  3. Red Hat OpenShiftクラスターにユニークな名前を付けてください。
  4. ブートストラップトークンをコピーします。
    注意
    注意
    ブートストラップトークンはインストールプロセス中に使用されます。

オペレーターをインストール

  1. https://console-openshift-console.apps.<cluster-name>.<base-domain>にアクセスして、OpenShiftクラスターWeb管理コンソールを開きます
    注意
    注意
    以下のコマンドを使用して、OpenShift CLIで正確なWebコンソールURLを取得してください。 
    oc whoami --show-console
  2. OpenShift管理コンソールの左側パネルで[オペレータ]を選択し、OperatorHubを開くように移動します。
  3. OperatorHubページの上部にある検索ボックスでVisionOneを検索します。Trend Vision OneTM Container Securityをクリックして、オペレーター情報ダイアログを開きます。
  4. [インストール] をクリックします。
    注意
    注意
    • デフォルトでは、オペレーターはインストールする最新バージョンのstableチャンネルを選択します。プレビューリリースをインストールするには、チャンネルをalphaに変更できます。
    • Container Security Operatorはインストールのためにtrendmicro-system namespaceを作成する必要があります。デフォルトで推奨されるtrendmicro-system名前空間を使用してください。
    • Automaticを選択すると自動アップグレードが行われ、Manualを選択すると手動でのアップデート承認が必要な手動アップグレードが行われます。
  5. オペレーターをインストールした後、オペレーターを表示に移動してオペレーターのステータスを確認してください。
  6. トップメニューからVisionOneContainerSecurityに移動し、Create VisionOneContainerSecurityをクリックしてオペランド作成フォームを開きます。
  7. VisionOneContainerSecurityオペランドフォームを作成する際、VisionOneをクリックして、Trend Vision Oneに接続するために必要な設定を表示するリストを展開します。
    VisionOneセクションで次の内容を定義してください。
    • 自動登録のために、次の値を設定してください:
      注意
      注意
      Trend Vision OneAPIキーが、自動登録の説明に従って、クラスターにシークレットとして保存されていることを確認してください。
      • [clusterRegistrationKey]: 値をtrueとして設定します。
      • [clusterName]: VisionOneのクラスター名。指定しない場合、名前はランダムな文字列になります。
      • [clusterNamePrefix]: クラスター名のオプションのプレフィックス。
      • [policyId]: 新しいクラスターに割り当てられるVisionOne内の既存のポリシーID。
      • [groupId]: 新しいクラスターに割り当てられるVisionOne内の既存のグループID。
      注意
      注意
      詳細については、自動クラスターレジスタREADMEを参照してください。
    • 手動登録の場合:
      注意
      注意
      手動登録で説明されているように、overrides.yamlファイルでbootstrapToken値を設定してください。
      • [clusterRegistrationKey]: 値をfalseとして設定します。
      • [bootstrapToken]: 必要なトークンを入力してください。
        注意
        注意
        bootstrapTokenは1日後に期限切れになります。この値は自動登録には必要ありません。
    • 手動登録の場合、次の値をoverrides.yamlファイルの同じ値に設定してください。自動登録の場合は、新しいクラスターの要件に基づいて値を設定してください。値が存在しない場合は空白のままにしてください。
      • [exclusion]: 検索から除外する名前空間のリスト。これらの名前空間に対してイベントは生成されません。
      • [エンドポイント]: Trend Vision One APIエンドポイント。
        デフォルトのエンドポイント (https://api.xdr.trendmicro.com/external/v2/direct/vcs/external/vcs) はほとんどの地域で機能します。中東およびアフリカ (MEA) の場合、エンドポイントをhttps://api.mea.xdr.trendmicro.com/external/v2/direct/vcs/external/vcsに更新してください。
      • [inventoryCollection]: インベントリスキャン機能を有効にします。
      • [malwareScanning]: 不正プログラム検索機能を有効にします。
      • [runtimeSecurity]: ランタイムセキュリティ機能を有効にします。
      • [secretScanning]: シークレットスキャン機能を有効にします。
      • [vulnerabilityScanning]: 脆弱性スキャン機能を有効にします。
      • [policyOperator]: クラスター登録後に作成されたポリシー名を設定します。指定されたポリシー名を使用して新しいクラスター ポリシーを作成するには、GitHubのサンプルClusterPolicy YAMLを参照してください。
  8. [作成]をクリックしてオペランドインスタンスを作成し、Container Security Helmチャートをインストールします。
  9. Trend Vision Oneから、[Inventory/Overview][セルフマネージド]の下でRead Hat OpenShiftクラスターのノードの保護ステータスを確認できます。