Kubernetes-Integration

Kubernetes ist eine Open Source-Container-Orchestrierungs-Engine zur Automatisierung der Bereitstellung, Skalierung und Verwaltung von Container-Anwendungen.

Das Kubernetes Cloud-Anbieter-Plugin ermöglicht Ihnen die einfache Integration in öffentliche oder private Cloud-Ökosysteme, auf die über die Kubernetes-API zugegriffen werden kann (z. B. AWS, Azure oder Google Cloud).

Mit einem Kubernetes-Cloud-Anbieterprofil können Sie eine Liste von Images angeben, die für Kubernetes-basierte virtuelle Ausführungsserver ausgewählt werden können. Wenn ein solcher Ausführungsserver einer Silk Central-Ausführung zugewiesen wird, wird ein neuer Kubernetes-Pod (basierend auf dem ausgewählten Image) zur Ausführung bereitgestellt und dann wieder entfernt.

Erforderlicher Proxy in Kubernetes

Als Voraussetzung müssen Sie innerhalb der Kubernetes-Cloud-Umgebung einen HTTP-Proxy starten, der die Methode HTTP CONNECT (SSL-Tunneling) unterstützt. Dieser Proxy stellt sicher, dass beim entfernten Cloud-Dienst nur ein öffentlicher Port zur Verfügung steht, der von Silk Central aus erreichbar ist, um den verschlüsselten Verkehr zwischen Silk Central und den Ausführungsservern, die innerhalb von Kubernetes ausgeführt werden, zu tunneln. Stellen Sie sicher, dass Sie den Proxy als Servergruppen-Proxy (bevorzugt) oder System-Proxy in Silk Central konfigurieren. Weitere Informationen finden Sie unter Konfigurieren eines System-Proxy und Bearbeiten von Servergruppen. Es wird empfohlen, einen Servergruppen-Proxy anzugeben und die Kubernetes-basierten virtuellen Ausführungsserver in dieser Servergruppe zu erstellen.

Anmerkung: Im Gegensatz zu physischen Ausführungsservern ist es nicht erforderlich, die Port-Konfiguration des Ausführungsservers für das Image zu ändern. Wenn Sie das Image mit dem Docker Image Packageerstellen, ist der sichere Port weiterhin 19125. Silk Central erstellt einen Kubernetes-Dienst vom Typ ClusterIP für jeden Ausführungsserver, der Port 443 abhört und den Datenverkehr an Port 19125 weiterleitet.

Starten eines Beispiel-Proxys in Kubernetes

Silk Central wird mit einer Batch-Datei ausgeliefert, mit der Sie einen Beispiel-Proxy in Kubernetes starten können.

Um die Batch-Datei zu verwenden, laden Sie das Docker Image Package aus dem Menü Extras unter Silk Central herunter. Entpacken Sie das Paket und doppelklicken Sie auf kubernetesStartTinyProxy.cmd. Die Batch-Datei stellt einen Pod mit dem Namen tinyproxy mit einem Tinyproxy-Image bereit. Weitere Informationen finden Sie unter https://tinyproxy.github.io/.

Anmerkung: Dies ist nur ein Beispiel-Proxy. Der tatsächlich verwendete Proxy ist nicht Teil der Silk Central-Kubernetes-Integration. Sie können jeden Proxy verwenden, der HTTP CONNECT unterstützt. Zu Demonstrationszwecken schränkt das Beispiel den Zugriff auf den Proxy nicht ein. Stellen Sie sicher, dass Sie den verwendeten Proxy gründlich für Ihre Sicherheitsanforderungen konfigurieren, z. B. indem Sie die Client-IP-Adressen einschränken und nur Verbindungen zu Port 443 zulassen.

Die Beispiel-Batch-Datei wendet auch tinyproxy-service.yaml an, um einen Kubernetes-Dienst mit dem Namen tinyproxyservice vom Typ NodePort zu erstellen. Der Dienst erstellt einen öffentlichen Port 30888 auf diesem Knoten, der an den eigentlichen Proxy-Port 8888 weiterleitet. Das bedeutet, dass Sie Port 30888 in Silk Central angeben müssen, um auf den Proxy zuzugreifen. Je nach Ihrer Kubernetes-Infrastruktur müssen Sie den Dienst möglicherweise an einen anderen Typ anpassen.

Erstellen eines sicheren Ausführungsserver-Docker-Images

Um ein Docker-Image zu erstellen, laden Sie das Docker Image Package aus dem Menü Tools in Silk Central herunter und extrahieren Sie es. Öffnen Sie eine Eingabeaufforderung, navigieren Sie zum Paketverzeichnis, und geben Sie den folgenden Befehl ein:

docker build -t silkcentral-execserver:21.0

Dieser Befehl erstellt das Docker-Image silkcentral-execserver:21.0 für Linux (unter Verwendung der Standard-Dockerfile) im lokalen Docker-Repository. Um ein Image für einen Windows-Container zu erstellen, verwenden Sie die Datei Dockerfile-Windows.