Điều kiện tiên quyết

Trước khi bắt đầu quá trình triển khai Glasswall Halo, hãy đảm bảo rằng bạn đã cài đặt và thiết lập các công cụ và tài nguyên sau.

Yêu cầu hệ thống​

Hướng dẫn sau đây được viết với giả định rằng hướng dẫn sẽ được chạy trên Linux shell. Nếu chạy trên shell khác, một số lệnh có thể cần được chỉnh sửa để chạy.

Nếu chạy trên Windows, vui lòng đảm bảo bạn đang sử dụng Windows subsystem for Linux.

Công cụ bắt buộc​

• Helm
• Kubectl
• AWS CLI

Các tài nguyên AWS bắt buộc​

1. Cụm EKS​

• Khuyến nghị tổng cộng ít nhất 8 vCPU và 32 GB RAM.
• Kích thước node tối thiểu là 4 vCPU và 16 GB RAM.
• Đối với workload production, khuyến nghị tối thiểu 2 node.
• Make sure the EKS cluster has an IAM OIDC provider.
  • Vui lòng tham khảo tài liệu AWS để xác định xem cụm có IAM OIDC provider hay không hoặc bạn có cần tạo một provider hay không.
• Trong các bước bên dưới, cụm EKS được gọi là: eksname

Lưu ý : Glasswall Halo không hỗ trợ VM node ARM64.

Để được hướng dẫn về cách tạo cụm EKS, vui lòng tham khảo:

• Tạo cụm EKS - Console
• Tạo cụm EKS - CLI
• AWS Elastic Kubernetes Service - Các phương pháp tốt nhất

2. EFS​

AWS Elastic File System (EFS) được sử dụng để tạo persistent volume trong EKS.

• Tạo EFS trong cùng VPC nơi EKS được tạo.

Để được hướng dẫn về cách tạo EFS, vui lòng tham khảo:

• Tạo EFS - Console
• Tạo EFS - CLI

3. Vai trò IAM cho các tài khoản dịch vụ​

Cần tạo hai vai trò IAM cho 2 tài khoản dịch vụ Kubernetes được triển khai thông qua các biểu đồ Helm. Amazon Resource Name (ARN) của các vai trò này là bắt buộc trong quá trình triển khai các biểu đồ Helm.

• Vai trò 1: role-cdrp-efs-csi-<suffix\>
• Vai trò 2: role-cdrp-ext-secrets-<suffix\>

• Có thể sử dụng shell script này để tạo các vai trò IAM.
• Truyền AWS region, tên cụm EKS, ID hệ thống tệp và hậu tố làm 4 đối số cho script. Ví dụ:

bash create-aws-roles.sh eu-west-1 eks-cdrp-dev fs-582a03f3 dev

Để được hướng dẫn về cách tạo vai trò IAM cho tài khoản dịch vụ, vui lòng tham khảo tài liệu AWS.

4. Cơ sở dữ liệu MongoDB​

MongoDB lưu trữ các policy quản lý nội dung của Glasswall Halo và được sử dụng bởi dịch vụ cdrplatform-policy-api.

• Triển khai một phiên bản DocumentDB tương thích với MongoDB API.

• Bạn có thể bỏ qua bước này nếu không cần Policy Management API hoặc Asynchronous API.

• Nếu DocumentDB không khả dụng trong AWS GovCloud, hãy sử dụng MongoDB Kubernetes Operator để triển khai MongoDB trong cụm EKS.

Lưu ý: ngoài ra, MongoDB có thể được triển khai trực tiếp trong cụm của bạn bằng cách sử dụng MongoDB Helm charts, như được mô tả trong Bước 7.

Truy cập Glasswall Artifact Registry​

• Bạn sẽ được cung cấp một token & token ID để truy cập Artifact Registry của Glasswall.
• Điều này cho phép bạn trực tiếp kéo container image và Helm chart từ cụm AKS của mình.
• Trong các bước bên dưới, token và token ID sẽ được gọi là: token và token_id.