Hakbang 7 - I-install ang mga component ng CDR
Panghuli, i-install ang mga serbisyo ng Glasswall Halo. Para sa bawat Helm chart, tiyaking nakatakda ang image tag sa katumbas na bersyong nakalista sa release notes.
Ang mga halimbawa sa ibaba ay paunang nilagyan ng mga value para sa v2.16.0.
7.1 - Engine
Para i-integrate ang Halo sa ReversingLabs, itakda ang variable na enable_reversing_labs sa true. Tiyaking nagawa na ang mga secret ng ReversingLabs sa Vault, gaya ng inilalarawan sa Hakbang 3.
enable_reversing_labs=""
helm upgrade --install cdrplatform-engine cdrplatform-engine -n cdrplatform \
--set image.tag=165275 \
--set image.registry=glasswallhub.azurecr.io \
--set cloud_provider=oracle \
--set configuration.ENABLE_REVERSING_LABS="${enable_reversing_labs}" \
--atomic
7.2 - Synchronous API
helm upgrade --install cdrplatform-sync-api cdrplatform-sync-api -n cdrplatform \
--set image.tag=166415 \
--set image.registry=glasswallhub.azurecr.io \
--set cloud_provider=oracle
7.3 - Serbisyo ng API Access
Ang serbisyo ng API Access ay nagsisilbing gateway sa Glasswall Halo Synchronous API at sa Policy Management API.
Inilalantad nito ang functionality ng CDR sa pamamagitan ng HTTP. Kung nangangailangan ang iyong environment ng HTTPS na may TLS o SSL, sundin ang mga tagubilin upang i-install ang serbisyo na naka-enable ang TLS o SSL. Kung hindi, sundin ang mga tagubilin para sa pag-install nang walang TLS o SSL.
7.3A - Para sa mga deployment na walang TLS/SSl
helm upgrade --install cdrplatform-api-access -n cdrplatform cdrplatform-api-access \
--set image.registry=glasswallhub.azurecr.io \
--atomic --set image.tag=165925
7.3B - Para gumamit ng mga SSL certificate sa CDR API, gumawa ng private key at certificate para sa domain na gagamitin.
Gumawa ng Kubernetes secret gamit ang key at CRT files sa pamamagitan ng command sa ibaba. Sa command na ito, gumagawa tayo ng secret na may pangalang "tls-secret" mula sa mga file na server.key (private key) at server.crt (certificate). Hindi dapat passphrase protected ang key sa halimbawang ito.
kubectl create secret tls tls-secret --key server.key --cert server.crt
Magagamit ang secret na ito upang i-enable ang TLS sa ingress, na tinitiyak na nakatakda ang domain name sa command sa ibaba:
helm upgrade --install cdrplatform-api-access -n cdrplatform cdrplatform-api-access \
--set image.registry=glasswallhub.azurecr.io \
--set image.tag=165925 \
--set cloud_provider=oracle \
--set ingress.tls.enabled=true \
--set ingress.tls.domain=<domain name> \
--set ingress.tls.secretName=tls-secret \
--atomic
7.3C - I-enable ang API authentication
Naka-disable bilang default ang authentication para sa Glasswall Halo API. Upang i-enable ang authentication, kumpletuhin ang mga hakbang sa ibaba.
-
Magdagdag ng dalawang bagong entry sa Vault secret na
vault_secret_name.- Isang entry para sa organisation ID
- Isang entry para sa mga organisation token
Kapag nagsasaad ng maraming token, paghiwalayin ang mga ito gamit ang mga kuwit. Tiyaking walang kuwit ang bawat indibidwal na token.
-
Dapat sundin ng mga entry ng Vault secret ang mga kombensyon sa pagpapangalan sa ibaba.
-
Organisation ID
- Dapat magsimula sa
organisation - Dapat magtapos sa
-id - Isama ang isang numeric index sa pagitan ng prefix at suffix
- Mga halimbawa:
organisation1-id,organisation2-id,organisation3-id
- Dapat magsimula sa
-
Organisation tokens
- Dapat magsimula sa
organisation - Dapat magtapos sa
-tokens - Isama ang isang numeric index sa pagitan ng prefix at suffix
- Mga halimbawa:
organisation1-tokens,organisation2-tokens,organisation3-tokens
- Dapat magsimula sa
-
{
"organisation1-id": "org-1",
"organisation1-tokens": "org-1-token-1,org-1-token-2"
}
- Itakda ang
configuration.AuthenticationScheme=Basichabang dine-deploy ang helm chart. Halimbawa,
helm upgrade --install cdrplatform-api-access -n cdrplatform cdrplatform-api-access \
--set image.registry=glasswallhub.azurecr.io \
--set image.tag=165925 \
--set configuration.AuthenticationScheme=Basic \
--set cloud_provider=oracle \
--atomic
7.4 - Portal
7.4A - Mga deployment na walang TLS o SSL
Para i-deploy ang serbisyo ng Portal, patakbuhin ang mga command sa ibaba.
Tandaan: ang <IP-address> na tinutukoy sa mga command na ito ay ang pampublikong IP address ng load balancer. Makukuha ito sa pamamagitan ng pagsunod sa mga hakbang ng Portal and API Access sa ibaba.
helm upgrade --install cdrplatform-portal cdrplatform-portal -n cdrplatform \
--set image.registry=glasswallhub.azurecr.io \
--set configuration.OIDC=null \
--set image.tag=166435 \
--set configuration.BackendUrl=http://<IP-address> \
--set configuration.HaloVersion=2.16.0 \
--atomic
7.4B - Mga deployment na may TLS o SSL
Upang paganahin ang TLS, idagdag ang mga parameter na --set ingress.tls.enable_tls=true at --set ingress.tls.domain=<domain name>.
Sa halimbawa sa ibaba, ang parehong Kubernetes secret na ginawa para sa serbisyo ng API Access ay ginagamit upang kunin ang mga TLS certificate.
helm upgrade --install cdrplatform-portal cdrplatform-portal -n cdrplatform \
--set image.tag=166435 \
--set image.registry=glasswallhub.azurecr.io \
--set ingress.tls.enabled=true \
--set ingress.tls.domain=<domain name> \
--set ingress.tls.secretName=tls-secret \
--set configuration.BackendUrl=https://<domain name> \
--set configuration.OIDC=null \
--set configuration.HaloVersion=2.16.0 \
--atomic
7.4C - Paganahin ang admin access nang walang authentication
Kapag hindi pinagana ang Single Sign On login para sa Portal, hindi maa-access ang mga administratibong feature gaya ng pamamahala ng lisensya at configuration ng policy.
Para paganahin ang access sa mga administratibong feature na ito nang hindi kino-configure ang SSO, i-deploy ang Helm chart gamit ang sumusunod na configuration.
helm upgrade --install cdrplatform-portal cdrplatform-portal \
--set image.tag=166435 \
--set image.registry=glasswallhub.azurecr.io \
--set ingress.tls.enabled=true \
--set ingress.tls.domain=${portal_domain} \
--set ingress.tls.secretName=tls-secret \
--set configuration.AutoAdmin="true" \
--atomic
7.5 - MongoDB
Ang MongoDB ay isang kinakailangan para sa Policy Management API at Asynchronous API.
helm upgrade -i cdrplatform-mongodb cdrplatform-mongodb -n cdrplatform --atomic \
--set cloud_provider=oracle
Pagkatapos ma-deploy ang MongoDB, kunin ang connection string ng MongoDB at idagdag ito sa key value secret.
- Kunin ang connection string mula sa Kubernetes secret:
kubectl get secret mongodb-cdrplatform-cdrp-user -o jsonpath='{.data.connectionString\.standard}' | base64 -d
- I-update ang Oracle Vault secret sa pamamagitan ng pagdaragdag ng key-value pair:
{
"mongodb-connectionstring": "<output-from-previous-step>"
}
- Pagkatapos i-update ang Oracle Vault, patakbuhin ang sumusunod na command upang i-sync ang mga secret sa Kubernetes.
kubectl annotate externalsecret external-secret updated_at=$(date +%s) --overwrite -n cdrplatform
- I-describe ang
cdrplatform-secretsKubernetes secret at tiyaking naroon at naka-sync angmongodb-connectionstring. Pagkatapos, magpatuloy sa pag-deploy ng mga susunod na Helm chart.
kubectl describe secret cdrplatform-secrets
7.6 - API sa Pamamahala ng Policy
Ginagamit ang Policy Management API upang pamahalaan ang mga flag ng content management ng Glasswall Halo. Opsyonal ang serbisyong ito at dapat lamang i-install kung plano mong gumawa at gumamit ng mga custom na policy.
helm upgrade --install cdrplatform-policy-api -n cdrplatform cdrplatform-policy-api \
--set image.registry=glasswallhub.azurecr.io \
--set image.tag=165921 \
--set cloud_provider=oracle
7.7 - Access sa Portal
Ang serbisyo ng Portal Access ay nagsisilbing backend para sa Portal. Binibigyang-daan nito ang Portal na ma-access ang Policy Management API at ang Synchronous API.
7.7A - Mga deployment na may TLS o SSL
Kung kinakailangan ang TLS, idagdag ang mga parameter na --set ingress.tls.enable_tls=true at --set ingress.tls.domain=<domain name>.
Sa halimbawa sa ibaba, ang parehong Kubernetes secret na ginawa para sa serbisyo ng API Access ay ginagamit upang kunin ang mga TLS certificate.
helm upgrade --install cdrplatform-portal-access -n cdrplatform cdrplatform-portal-access \
--set image.registry=glasswallhub.azurecr.io \
--set image.tag=166410 \
--set ingress.tls.enabled=true \
--set ingress.tls.domain=<domain-name> \
--set ingress.tls.secretName=tls-secret \
--set configuration.AuthenticationScheme=None \
--atomic
7.7B - Para sa mga deployment na walang TLS/SSL
helm upgrade --install cdrplatform-portal-access -n cdrplatform cdrplatform-portal-access \
--set image.registry=glasswallhub.azurecr.io \
--set configuration.AuthenticationScheme=None \
--set image.tag=166410 \
--atomic
7.8 - Pamamahala ng lisensya
Ang serbisyo ng License management ay ginagamit upang pamahalaan ang mga lisensya sa Glasswall Halo.
helm upgrade --install cdrplatform-license-management cdrplatform-license-management \
--set image.registry=glasswallhub.azurecr.io \
--set image.tag=157724 \
-n license-management \
--atomic
7.9 - Linisin ang serbisyo
Tinatanggal ng serbisyo ng Clean up ang mga orihinal at muling binuong file mula sa persistent storage pagkatapos maproseso ang mga file.
helm upgrade --install cdrplatform-cleanup cdrplatform-cleanup \
--set image.registry=glasswallhub.azurecr.io \
--set cloud_provider=oracle \
--set image.tag=165228 \
--atomic
7.10 Asynchronous API
Maaaring i-deploy ang Asynchronous API gamit ang command sa ibaba. Kinakailangan ang isang MongoDB database para sa Asynchronous API.
helm upgrade --install cdrplatform-async-api cdrplatform-async-api \
--set image.tag=166413 \
--set image.registry=glasswallhub.azurecr.io \
--atomic
7.11 - Pagsasama-sama ng metrics (inalis mula sa bersyon 2.6.2)
Kinukuha ng serbisyo ng Metrics collation ang mga event mula sa CDRPlatform at iniimbak ang mga ito sa MongoDB. I-deploy lamang ito kapag gumagamit ng Halo bersyon 2.6.1 at mas mababa.
helm upgrade --install cdrplatform-metrics-collation cdrplatform-metrics-collation \
--set image.tag=120018 \
--set image.registry=glasswallhub.azurecr.io \
--set cloud_provider=oracle \
--atomic
7.12 - Projection ng metrics
Ginagamit ang serbisyo ng Metrics projection upang kunin ang reporting data mula sa MongoDB para maipakita sa Portal UI.
helm upgrade --install cdrplatform-metrics-projection cdrplatform-metrics-projection \
--set image.tag=166407 \
--set image.registry=glasswallhub.azurecr.io \
--set cloud_provider=oracle \
--atomic
7.13 - Extractor ng ulat
Kinukuha ng serbisyo ng Report extractor ang mga ulat ng pagsusuri at inilalathala ang mga ito para sa reporting.
helm upgrade --install cdrplatform-report-extractor cdrplatform-report-extractor \
--set image.tag=166411 \
--set image.registry=glasswallhub.azurecr.io \
--wait --atomic
7.11 - Tally accumulator
Sinusubaybayan at pinananatili ng serbisyo ng Tally accumulator ang tally ng mga istatistika ng paggamit.
helm upgrade --install cdrplatform-tally-accumulator cdrplatform-tally-accumulator \
--set image.tag=165227 \
--set image.registry=glasswallhub.azurecr.io \
--set cloud_provider=oracle \
--wait --atomic
7.12 - Serbisyo sa pagsubaybay ng storage
Ang serbisyo ng Storage Monitoring ay nagbibigay ng API upang mag-subscribe at subaybayan ang mga pagbabagong ginawa sa mga dokumento sa mga naka-configure na storage service gaya ng SharePoint.
Dapat na naka-enable ang TLS para sa webhook.
Idagdag ang mga parameter na --set ingress.tls.enable_tls=true at --set ingress.tls.domain=<domain name>.
Sa halimbawa sa ibaba, ang parehong Kubernetes secret na ginawa para sa serbisyo ng API Access ay ginagamit upang kunin ang mga TLS certificate.
helm upgrade --install cdrplatform-storage-monitor cdrplatform-storage-monitor --wait --atomic \
--set image.tag="165098" \
--set image.repository="glasswallhub.azurecr.io/cdrplatform-storage-monitor" \
--set configuration.DATABASE__Provider="${database_provider}" \
--set configuration.WEBHOOKS__CallbackBaseAddress="https://<domain-name>" \
--set ingress.tls.enabled=true \
--set ingress.tls.domain=<domain-name> \
--set ingress.tls.secretName=tls-secret \
--atomic
7.13 - Access sa Portal at API
Gamitin ang command sa ibaba upang matukoy ang external IP address na nauugnay sa iyong cluster.
Tandaan: ang external IP ay kapareho ng public IP address na itinalaga sa Oracle Cloud load balancer.
kubectl get services --namespace cdrplatform nginx-ingress-ingress-nginx-controller --output jsonpath='{.status.loadBalancer.ingress[0].ip}'
Maaari mo na ngayong gamitin ang IP na ibinalik sa itaas upang pumunta sa Portal at dokumentasyon ng API (gamitin ang https kung naka-enable ang TLS):
Portal: http://<ip>
API Documentation: http://<ip>/swagger