Prasyarat

Sebelum anda memulakan proses mengerahkan Glasswall Halo, pastikan anda telah memasang dan menyediakan alat serta sumber berikut.

Keperluan sistem​

Panduan berikut telah ditulis dengan andaian bahawa ia dijalankan pada shell Linux. Jika dijalankan pada shell yang berbeza, sesetengah arahan mungkin perlu diubah suai untuk dijalankan.

Jika dijalankan pada Windows, sila pastikan anda menggunakan Windows subsystem for Linux.

Alat yang diperlukan​

• Helm
• Kubectl
• AWS CLI

Sumber AWS yang diperlukan​

1. Kluster EKS​

• Jumlah keseluruhan yang disyorkan ialah sekurang-kurangnya 8 vCPU dan 32 GB RAM.
• Saiz nod minimum ialah 4 vCPU dan 16 GB RAM.
• Untuk beban kerja pengeluaran, minimum 2 nod adalah disyorkan.
• Make sure the EKS cluster has an IAM OIDC provider.
  • Sila rujuk dokumentasi AWS untuk menentukan sama ada kluster mempunyai penyedia IAM OIDC atau jika anda perlu menciptanya.
• Dalam langkah-langkah di bawah, kluster EKS dirujuk sebagai: eksname

Nota : Glasswall Halo tidak menyokong VM nod ARM64.

Untuk panduan tentang mencipta kluster EKS, sila rujuk:

• Create EKS Cluster - Console
• Create EKS Cluster - CLI
• AWS Elastic Kubernetes Service - Best Practices

2. EFS​

AWS Elastic File System (EFS) digunakan untuk mencipta volum berterusan dalam EKS.

• Cipta EFS dalam VPC yang sama tempat EKS dicipta.

Untuk panduan tentang mencipta EFS, sila rujuk:

• Cipta EFS - Console
• Cipta EFS - CLI

3. Peranan IAM untuk akaun perkhidmatan​

Dua peranan IAM perlu dicipta untuk 2 akaun perkhidmatan Kubernetes yang digunakan melalui carta Helm. Amazon Resource Names (ARN) bagi peranan ini diperlukan semasa penggunaan carta Helm.

• Peranan 1: role-cdrp-efs-csi-<suffix\>
• Peranan 2: role-cdrp-ext-secrets-<suffix\>

• Skrip shell ini boleh digunakan untuk mencipta peranan IAM.
• Berikan rantau AWS, nama kluster EKS, ID sistem fail dan suffix sebagai 4 argumen kepada skrip. Contohnya.

bash create-aws-roles.sh eu-west-1 eks-cdrp-dev fs-582a03f3 dev

Untuk panduan tentang mencipta peranan IAM untuk akaun perkhidmatan, sila rujuk dokumentasi AWS.

4. Pangkalan data MongoDB​

MongoDB menyimpan policy pengurusan kandungan Glasswall Halo dan digunakan oleh perkhidmatan cdrplatform-policy-api.

• Gunakan instance DocumentDB yang serasi dengan MongoDB API.

• Anda boleh melangkau langkah ini jika anda tidak memerlukan Policy Management API atau Asynchronous API.

• Jika DocumentDB tidak tersedia dalam AWS GovCloud, gunakan MongoDB Kubernetes Operator untuk menggunakan MongoDB dalam kluster EKS.

Nota: sebagai alternatif, MongoDB boleh digunakan terus dalam kluster anda menggunakan carta Helm MongoDB, seperti yang diterangkan dalam Langkah 7.

Akses kepada Glasswall Artifact Registry​

• Anda dibekalkan dengan token & ID token untuk mengakses Artifact Registry Glasswall.
• Ini membolehkan anda menarik imej kontena dan carta Helm secara terus daripada kluster AKS anda.
• Dalam langkah-langkah di bawah, token dan ID token akan dirujuk sebagai: token dan token_id.