Langkah 7 - Pasang komponen CDR
Akhir sekali, pasang perkhidmatan Glasswall Halo. Bagi setiap carta Helm, pastikan tag imej ditetapkan kepada versi sepadan yang disenaraikan dalam nota keluaran.
Contoh di bawah telah dipraisi dengan nilai untuk v2.16.0.
7.1 - Engine
Untuk menyepadukan Halo dengan ReversingLabs, tetapkan pemboleh ubah enable_reversing_labs kepada true. Pastikan rahsia ReversingLabs telah dicipta dalam Vault, seperti yang diterangkan dalam Langkah 3.
enable_reversing_labs=""
helm upgrade --install cdrplatform-engine cdrplatform-engine -n cdrplatform \
--set image.tag=165275 \
--set image.registry=glasswallhub.azurecr.io \
--set cloud_provider=oracle \
--set configuration.ENABLE_REVERSING_LABS="${enable_reversing_labs}" \
--atomic
7.2 - API Segerak
helm upgrade --install cdrplatform-sync-api cdrplatform-sync-api -n cdrplatform \
--set image.tag=166415 \
--set image.registry=glasswallhub.azurecr.io \
--set cloud_provider=oracle
7.3 - Perkhidmatan API Access
Perkhidmatan API Access bertindak sebagai gerbang kepada Glasswall Halo Synchronous API dan Policy Management API.
Ia mendedahkan fungsi CDR melalui HTTP. Jika persekitaran anda memerlukan HTTPS dengan TLS atau SSL, ikuti arahan untuk memasang perkhidmatan dengan TLS atau SSL didayakan. Jika tidak, ikuti arahan untuk pemasangan tanpa TLS atau SSL.
7.3A - Untuk deployment tanpa TLS/SSl
helm upgrade --install cdrplatform-api-access -n cdrplatform cdrplatform-api-access \
--set image.registry=glasswallhub.azurecr.io \
--atomic --set image.tag=165925
7.3B - Untuk menggunakan sijil SSL pada CDR API, cipta kunci peribadi dan sijil untuk domain yang akan digunakan.
Cipta secret Kubernetes menggunakan fail key dan CRT dengan menggunakan arahan di bawah. Dengan arahan ini, kita mencipta secret bernama "tls-secret" daripada fail server.key (kunci peribadi) dan server.crt (sijil). Dalam contoh ini, key tersebut tidak sepatutnya dilindungi dengan frasa laluan.
kubectl create secret tls tls-secret --key server.key --cert server.crt
Rahsia ini kemudiannya boleh digunakan untuk mendayakan TLS pada ingress bagi memastikan nama domain ditetapkan pada arahan di bawah:
helm upgrade --install cdrplatform-api-access -n cdrplatform cdrplatform-api-access \
--set image.registry=glasswallhub.azurecr.io \
--set image.tag=165925 \
--set cloud_provider=oracle \
--set ingress.tls.enabled=true \
--set ingress.tls.domain=<domain name> \
--set ingress.tls.secretName=tls-secret \
--atomic
7.3C - Dayakan pengesahan API
Pengesahan untuk Glasswall Halo API dinyahdayakan secara lalai. Untuk mendayakan pengesahan, lengkapkan langkah-langkah di bawah.
-
Tambah dua entri baharu pada rahsia Vault
vault_secret_name.- Satu entri untuk ID organisasi
- Satu entri untuk token organisasi
Apabila menentukan berbilang token, asingkannya dengan koma. Pastikan token individu tidak mengandungi koma.
-
Entri rahsia Vault mesti mengikut konvensyen penamaan di bawah.
-
ID Organisasi
- Mesti bermula dengan
organisation - Mesti berakhir dengan
-id - Sertakan indeks berangka antara awalan dan akhiran
- Contoh:
organisation1-id,organisation2-id,organisation3-id
- Mesti bermula dengan
-
Token organisasi
- Mesti bermula dengan
organisation - Mesti berakhir dengan
-tokens - Sertakan indeks berangka antara awalan dan akhiran
- Contoh:
organisation1-tokens,organisation2-tokens,organisation3-tokens
- Mesti bermula dengan
-
{
"organisation1-id": "org-1",
"organisation1-tokens": "org-1-token-1,org-1-token-2"
}
- Tetapkan
configuration.AuthenticationScheme=Basicsemasa menggunakan carta helm. Contohnya,
helm upgrade --install cdrplatform-api-access -n cdrplatform cdrplatform-api-access \
--set image.registry=glasswallhub.azurecr.io \
--set image.tag=165925 \
--set configuration.AuthenticationScheme=Basic \
--set cloud_provider=oracle \
--atomic
7.4 - Portal
7.4A - Deployment tanpa TLS atau SSL
Untuk melaksanakan perkhidmatan Portal, jalankan arahan di bawah.
Nota: <IP-address> yang dirujuk dalam arahan ini ialah alamat IP awam bagi load balancer. Ini boleh diperoleh dengan mengikuti langkah Portal and API Access di bawah.
helm upgrade --install cdrplatform-portal cdrplatform-portal -n cdrplatform \
--set image.registry=glasswallhub.azurecr.io \
--set configuration.OIDC=null \
--set image.tag=166435 \
--set configuration.BackendUrl=http://<IP-address> \
--set configuration.HaloVersion=2.16.0 \
--atomic
7.4B - Deployment dengan TLS atau SSL
Untuk mendayakan TLS, tambahkan parameter --set ingress.tls.enable_tls=true dan --set ingress.tls.domain=<domain name>.
Dalam contoh di bawah, secret Kubernetes yang sama yang dicipta untuk perkhidmatan API Access digunakan untuk mendapatkan sijil TLS.
helm upgrade --install cdrplatform-portal cdrplatform-portal -n cdrplatform \
--set image.tag=166435 \
--set image.registry=glasswallhub.azurecr.io \
--set ingress.tls.enabled=true \
--set ingress.tls.domain=<domain name> \
--set ingress.tls.secretName=tls-secret \
--set configuration.BackendUrl=https://<domain name> \
--set configuration.OIDC=null \
--set configuration.HaloVersion=2.16.0 \
--atomic
7.4C - Dayakan akses pentadbir tanpa pengesahan
Apabila log masuk Single Sign On tidak didayakan untuk Portal, ciri pentadbiran seperti pengurusan lesen dan konfigurasi policy tidak boleh diakses.
Untuk mendayakan akses kepada ciri pentadbiran ini tanpa mengkonfigurasi SSO, laksanakan carta Helm dengan konfigurasi berikut.
helm upgrade --install cdrplatform-portal cdrplatform-portal \
--set image.tag=166435 \
--set image.registry=glasswallhub.azurecr.io \
--set ingress.tls.enabled=true \
--set ingress.tls.domain=${portal_domain} \
--set ingress.tls.secretName=tls-secret \
--set configuration.AutoAdmin="true" \
--atomic
7.5 - MongoDB
MongoDB ialah prasyarat untuk Policy Management API dan Asynchronous API.
helm upgrade -i cdrplatform-mongodb cdrplatform-mongodb -n cdrplatform --atomic \
--set cloud_provider=oracle
Selepas MongoDB digunakan, dapatkan rentetan sambungan MongoDB dan tambahkannya pada rahsia nilai kunci.
- Dapatkan rentetan sambungan daripada rahsia Kubernetes:
kubectl get secret mongodb-cdrplatform-cdrp-user -o jsonpath='{.data.connectionString\.standard}' | base64 -d
- Kemas kini rahsia Oracle Vault dengan menambahkan pasangan nilai kunci:
{
"mongodb-connectionstring": "<output-from-previous-step>"
}
- Selepas mengemas kini Oracle Vault, jalankan arahan berikut untuk menyegerakkan rahsia ke Kubernetes.
kubectl annotate externalsecret external-secret updated_at=$(date +%s) --overwrite -n cdrplatform
- Terangkan rahsia Kubernetes
cdrplatform-secretsdan sahkan bahawamongodb-connectionstringwujud serta telah disegerakkan. Kemudian teruskan dengan menggunakan carta Helm seterusnya.
kubectl describe secret cdrplatform-secrets
7.6 - API Pengurusan Policy
API Pengurusan Policy digunakan untuk mengurus flag pengurusan kandungan Glasswall Halo. Perkhidmatan ini adalah pilihan dan hanya perlu dipasang jika anda bercadang untuk mencipta dan menggunakan policy tersuai.
helm upgrade --install cdrplatform-policy-api -n cdrplatform cdrplatform-policy-api \
--set image.registry=glasswallhub.azurecr.io \
--set image.tag=165921 \
--set cloud_provider=oracle
7.7 - Akses Portal
Perkhidmatan Portal Access bertindak sebagai bahagian belakang untuk Portal. Ia membolehkan Portal mengakses Policy Management API dan Synchronous API.
7.7A - Deployment dengan TLS atau SSL
Jika TLS diperlukan, tambahkan parameter --set ingress.tls.enable_tls=true dan --set ingress.tls.domain=<domain name>.
Dalam contoh di bawah, secret Kubernetes yang sama yang dicipta untuk perkhidmatan API Access digunakan untuk mendapatkan sijil TLS.
helm upgrade --install cdrplatform-portal-access -n cdrplatform cdrplatform-portal-access \
--set image.registry=glasswallhub.azurecr.io \
--set image.tag=166410 \
--set ingress.tls.enabled=true \
--set ingress.tls.domain=<domain-name> \
--set ingress.tls.secretName=tls-secret \
--set configuration.AuthenticationScheme=None \
--atomic
7.7B - Untuk deployment tanpa TLS/SSL
helm upgrade --install cdrplatform-portal-access -n cdrplatform cdrplatform-portal-access \
--set image.registry=glasswallhub.azurecr.io \
--set configuration.AuthenticationScheme=None \
--set image.tag=166410 \
--atomic
7.8 - Pengurusan lesen
Perkhidmatan pengurusan lesen digunakan untuk mengurus lesen dalam Glasswall Halo.
helm upgrade --install cdrplatform-license-management cdrplatform-license-management \
--set image.registry=glasswallhub.azurecr.io \
--set image.tag=157724 \
-n license-management \
--atomic
7.9 - Perkhidmatan pembersihan
Perkhidmatan pembersihan memadam fail asal dan fail yang dibina semula daripada storan berterusan selepas fail diproses.
helm upgrade --install cdrplatform-cleanup cdrplatform-cleanup \
--set image.registry=glasswallhub.azurecr.io \
--set cloud_provider=oracle \
--set image.tag=165228 \
--atomic
7.10 API Tak Segerak
API Tak Segerak boleh digunakan menggunakan arahan di bawah. Pangkalan data MongoDB diperlukan untuk API Tak Segerak.
helm upgrade --install cdrplatform-async-api cdrplatform-async-api \
--set image.tag=166413 \
--set image.registry=glasswallhub.azurecr.io \
--atomic
7.11 - Pengumpulan metrik (dibuang daripada versi 2.6.2)
Perkhidmatan pengumpulan metrik menangkap peristiwa daripada CDRPlatform dan menyimpannya dalam MongoDB. Hanya deploy perkhidmatan ini apabila menggunakan Halo versi 2.6.1 dan ke bawah.
helm upgrade --install cdrplatform-metrics-collation cdrplatform-metrics-collation \
--set image.tag=120018 \
--set image.registry=glasswallhub.azurecr.io \
--set cloud_provider=oracle \
--atomic
7.12 - Unjuran metrik
Perkhidmatan unjuran metrik digunakan untuk menarik data pelaporan daripada MongoDB untuk dipaparkan dalam Portal UI.
helm upgrade --install cdrplatform-metrics-projection cdrplatform-metrics-projection \
--set image.tag=166407 \
--set image.registry=glasswallhub.azurecr.io \
--set cloud_provider=oracle \
--atomic
7.13 - Pengekstrak laporan
Perkhidmatan Report extractor mengekstrak laporan analisis dan menerbitkannya untuk pelaporan.
helm upgrade --install cdrplatform-report-extractor cdrplatform-report-extractor \
--set image.tag=166411 \
--set image.registry=glasswallhub.azurecr.io \
--wait --atomic
7.11 - Pengumpul tally
Perkhidmatan Tally accumulator menjejak dan mengekalkan tally statistik penggunaan.
helm upgrade --install cdrplatform-tally-accumulator cdrplatform-tally-accumulator \
--set image.tag=165227 \
--set image.registry=glasswallhub.azurecr.io \
--set cloud_provider=oracle \
--wait --atomic
7.12 - Perkhidmatan pemantauan storan
Perkhidmatan Storage Monitoring menyediakan API untuk melanggan dan menjejak perubahan yang dibuat pada dokumen dalam perkhidmatan storan yang dikonfigurasikan seperti SharePoint.
TLS mesti didayakan untuk webhook.
Tambahkan parameter --set ingress.tls.enable_tls=true dan --set ingress.tls.domain=<domain name>.
Dalam contoh di bawah, secret Kubernetes yang sama yang dicipta untuk perkhidmatan API Access digunakan untuk mendapatkan sijil TLS.
helm upgrade --install cdrplatform-storage-monitor cdrplatform-storage-monitor --wait --atomic \
--set image.tag="165098" \
--set image.repository="glasswallhub.azurecr.io/cdrplatform-storage-monitor" \
--set configuration.DATABASE__Provider="${database_provider}" \
--set configuration.WEBHOOKS__CallbackBaseAddress="https://<domain-name>" \
--set ingress.tls.enabled=true \
--set ingress.tls.domain=<domain-name> \
--set ingress.tls.secretName=tls-secret \
--atomic
7.13 - Akses Portal dan API
Gunakan arahan di bawah untuk menentukan alamat IP luaran yang dikaitkan dengan kluster anda.
Nota: IP luaran adalah sama seperti alamat IP awam yang diberikan kepada load balancer Oracle Cloud.
kubectl get services --namespace cdrplatform nginx-ingress-ingress-nginx-controller --output jsonpath='{.status.loadBalancer.ingress[0].ip}'
Anda kini boleh menggunakan IP yang dipulangkan di atas untuk pergi ke dokumentasi Portal dan API (gunakan https jika TLS didayakan):
Portal: http://<ip>
API Documentation: http://<ip>/swagger