ข้อกำหนดเบื้องต้น

ก่อนที่คุณจะเริ่มกระบวนการปรับใช้ Glasswall Halo โปรดตรวจสอบให้แน่ใจว่าคุณได้ติดตั้งและตั้งค่าเครื่องมือและทรัพยากรต่อไปนี้แล้ว

ข้อกำหนดของระบบ​

คู่มือต่อไปนี้เขียนขึ้นโดยสมมติว่าใช้งานบน Linux shell หากใช้งานบน shell อื่น คำสั่งบางรายการอาจต้องมีการปรับแก้เพื่อให้สามารถรันได้

หากใช้งานบน Windows โปรดตรวจสอบให้แน่ใจว่าคุณกำลังใช้ Windows subsystem for Linux

เครื่องมือที่จำเป็น​

• Helm
• Kubectl
• AWS CLI

ทรัพยากร AWS ที่จำเป็น​

1. คลัสเตอร์ EKS​

• แนะนำให้มีรวมอย่างน้อย 8 vCPU และ RAM 32 GB
• ขนาดโหนดขั้นต่ำคือ 4 vCPU และ RAM 16 GB
• สำหรับเวิร์กโหลดระดับ production แนะนำให้มีอย่างน้อย 2 โหนด
• Make sure the EKS cluster has an IAM OIDC provider.
  • โปรดดู เอกสาร AWS เพื่อพิจารณาว่าคลัสเตอร์มี IAM OIDC provider อยู่แล้วหรือคุณจำเป็นต้องสร้างขึ้นมา
• ในขั้นตอนด้านล่างนี้ EKS cluster จะถูกอ้างถึงเป็น: eksname

หมายเหตุ : Glasswall Halo ไม่รองรับ ARM64 node VMs

สำหรับคำแนะนำในการสร้าง EKS cluster โปรดดู:

• สร้าง EKS Cluster - Console
• สร้าง EKS Cluster - CLI
• AWS Elastic Kubernetes Service - แนวทางปฏิบัติที่ดีที่สุด

2. EFS​

AWS Elastic File System (EFS) ใช้สำหรับสร้าง persistent volumes ใน EKS

• สร้าง EFS ใน VPC เดียวกันกับที่สร้าง EKS

สำหรับคำแนะนำในการสร้าง EFS โปรดดูที่:

• สร้าง EFS - Console
• สร้าง EFS - CLI

3. IAM roles สำหรับ service accounts​

ต้องสร้าง IAM roles สองรายการสำหรับ Kubernetes service accounts 2 รายการที่ปรับใช้ผ่าน Helm charts ต้องใช้ Amazon Resource Names (ARN) ของ roles เหล่านี้ระหว่างการปรับใช้ Helm charts

• Role 1: role-cdrp-efs-csi-<suffix\>
• Role 2: role-cdrp-ext-secrets-<suffix\>

• สามารถใช้shell scriptนี้เพื่อสร้าง IAM roles ได้
• ส่ง AWS region, ชื่อ EKS cluster, filesystem ID และ suffix เป็นอาร์กิวเมนต์ 4 ตัวให้กับสคริปต์ ตัวอย่างเช่น

bash create-aws-roles.sh eu-west-1 eks-cdrp-dev fs-582a03f3 dev

สำหรับคำแนะนำในการสร้าง IAM roles สำหรับ service accounts โปรดดูเอกสาร AWS

4. ฐานข้อมูล MongoDB​

MongoDB จัดเก็บ policy การจัดการเนื้อหาของ Glasswall Halo และถูกใช้งานโดยบริการ cdrplatform-policy-api

• ปรับใช้ instance ของ DocumentDB ที่เข้ากันได้กับ MongoDB API

• คุณสามารถข้ามขั้นตอนนี้ได้หากคุณไม่ต้องการใช้ Policy Management API หรือ Asynchronous API

• หากไม่มี DocumentDB ใน AWS GovCloud ให้ใช้ MongoDB Kubernetes Operator เพื่อปรับใช้ MongoDB ใน EKS cluster

หมายเหตุ: อีกทางเลือกหนึ่งคือสามารถปรับใช้ MongoDB ได้โดยตรงภายในคลัสเตอร์ของคุณโดยใช้ MongoDB Helm charts ตามที่อธิบายไว้ในStep 7.

การเข้าถึง Glasswall Artifact Registry​

• คุณจะได้รับ token และ token ID เพื่อเข้าถึงGlasswall's Artifact Registry.
• ซึ่งช่วยให้คุณดึง container images และ Helm charts ได้โดยตรงจากคลัสเตอร์ AKS ของคุณ
• ในขั้นตอนด้านล่าง token และ token ID จะถูกอ้างถึงเป็น: token และ token_id.