Mga kinakailangan

Bago mo simulan ang proseso ng pag-deploy ng Glasswall Halo, tiyaking naka-install at naka-setup ang mga sumusunod na tool at resource.

Mga kinakailangan ng system​

Ang sumusunod na gabay ay isinulat sa pag-aakalang ito ay tatakbo sa isang Linux shell. Kung tatakbo sa ibang shell, maaaring kailangang baguhin ang ilan sa mga command upang gumana.

Kung tumatakbo sa Windows, pakitiyak na ginagamit mo ang Windows subsystem for Linux.

Mga kinakailangang tool​

• Helm > 3.8 (upang paganahin ang buong suporta para sa mga OCI repository)

• Kubectl

• Azure CLI

Mga kinakailangang Azure resource​

1. AKS instance​

• Inirerekomendang kabuuan na hindi bababa sa 8 vCPU at 32 GB RAM.

• Ang minimum na laki ng node ay 4 vCPU at 16 GB RAM.

• Para sa mga production workload, inirerekomenda ang minimum na 2 node.

• Sa mga hakbang sa ibaba, ang AKS cluster ay tinutukoy bilang: aksname

Tandaan: Hindi sinusuportahan ng Glasswall Halo ang arm64 node VMs.

Para sa gabay sa paggawa ng AKS cluster, mangyaring sumangguni sa:

• Gumawa ng AKS cluster - Portal

• Gumawa ng AKS cluster - CLI

• Azure Kubernetes service - pinakamahuhusay na kasanayan

2. Key Vault​

• Ang mga sikreto ng Glasswall Halo ay pinamamahalaan gamit ang Azure Key Vault. Ang mga sikretong ito ay sini-sync papunta sa AKS cluster sa pamamagitan ng External secrets.

• Sa mga hakbang sa ibaba, ang Key Vault ay tinutukoy bilang: kvname

Para sa gabay sa paggawa ng Azure Key Vault, pakitingnan ang:

• Gumawa ng Key Vault - Portal

• Gumawa ng Key Vault - CLI

• Azure Key Vault - mga pinakamahusay na kasanayan

3. Storage account​

• Ginagamit ang isang storage account upang mag-imbak ng mga ulat para sa bawat file na pinoproseso ng platform. Ang SKU ng storage account ay hindi nakaaapekto sa performance, ngunit inirerekomenda namin ang hindi bababa sa GRS configuration.

• Ginagamit ang karagdagang storage account bilang Azure file share na sumusuporta sa persistent volume ng cluster. Awtomatiko itong idinadagdag sa resource group ng AKS cluster.

• Sa mga hakbang sa ibaba, ang storage account na nangongolekta ng mga ulat ng CDR ay tinutukoy bilang: saname

Mga file share:

• 1 X 10 TB provisioned capacity (1100.0 MiB/s throughput)

  • Ginagamit para sa transient file store ng Glasswall Halo at Glasswall Halo RabbitMQ

4. Database​

Opsyon 1 - MongoDB database​

Maaaring gamitin ang MongoDB upang iimbak ang mga policy sa pamamahala ng content ng Glasswall Halo at ang data na kinakailangan para sa asynchronous na pagproseso ng file. Ginagamit ang MongoDB ng mga serbisyong cdrplatform-policy-API, cdrplatform-async-API, cdrplatform-metrics-projection, cdrplatform-tally-accumulator.

• Mag-deploy ng CosmosDB na may compatibility sa MongoDB API.

• Tiyakin na ang instance ay naka-setup gamit ang naaangkop na throughput allocation, depende sa dami ng data na inaasahang dadaan sa Glasswall Halo.

Tandaan: bilang alternatibo, maaaring i-deploy ang MongoDB nang direkta sa loob ng iyong cluster. Maaaring i-deploy gamit ang MongoDB Helm charts, gaya ng makikita sa Hakbang 8.

Opsyon 2 - CosmosDB database​

Bilang alternatibo, maaaring gamitin ang CosmosDB upang mag-imbak ng mga policy sa pamamahala ng nilalaman ng Glasswall Halo, data para sa asynchronous na pagproseso ng file, at mga sukatan.

• Mag-deploy ng isang CosmosDB instance sa Azure.

  • Tiyakin na ang instance ay naka-setup gamit ang naaangkop na throughput allocation, depende sa dami ng data na inaasahang dadaan sa Glasswall Halo.

5. Mga app registration​

Dapat i-configure ang isang domain name para magamit ng Portal ng Glasswall Halo ang SSO authentication.

Kinakailangan ang mga Azure app registration tuwing kailangang paganahin ang SSO authentication gamit ang Azure AD.

May 3 app registration na kailangang gawin:

• cdrplatform-API-access

• cdrplatform-portal-access

• cdrplatform-portal-client

Nakakatulong ang nakalakip na shell script sa paggawa ng 3 app registration na ito. Ilagay ang domain name na nais mong gamitin para sa portal bilang argument sa shell script. Halimbawa, gamitin ang halo.glasswall.com bilang domain name at patakbuhin ang script:

bash create-azure-app-registrations.sh halo.glasswall.com

Access sa Glasswall Artifact Registry​

• Bibigyan ka ng token at token ID upang ma-access ang Artifact Registry ng Glasswall.

• Nagbibigay-daan ito sa iyo na direktang kumuha ng mga container image at Helm chart mula sa iyong AKS cluster.

• Sa mga hakbang sa ibaba, ang token at token ID ay tatawaging: token at token_id.

Pagtatalaga ng mga variable​

Mga variable na itinalaga bago ka magsimula​

Ang mga variable na binanggit sa Required Tools sa itaas ay kailangang italaga bago mo masimulan ang pag-install ng Glasswall Halo. Kakailanganin mong palitan ang **"..." **ng sarili mong mga halaga.

• Pangalan ng Azure resource group: rgp="..."

• Pangalan ng Azure Kubernetes service: aksname="..."

• Pangalan ng Azure Key Vault: kvname="..."

• Pangalan ng Azure storage account: saname="..."

• Azure container registry token ID: token_id="..."

• Azure container registry token: token="..."

**Tandaan: ipinapalagay ng mga hakbang sa itaas na ang bawat resource ay nasa parehong resource group na tinutukoy bilang: rgp. **

Mga variable na itinalaga habang isinasagawa ang mga hakbang​

Ang mga sumusunod na variable ay kailangang italaga habang isinasagawa ang proseso ng pag-install habang nalilikha ang mga resource.

• Azure storage account connection string: saconnstring ="..."

• Access ng managed identity sa key vault get at list permissions gamit ang objectid: objectid ="..."

• Access ng managed identity sa key vault gamit ang client ID para sa Helm install: miclientid ="..."

Tandaan: tiyaking naka-setup ang tamang database provider at ang mga kaugnay na secret ay nasa Key Vault gaya ng nabanggit sa Hakbang 3.