Helm을 사용하여 Snyk 컨트롤러 설치 (Azure 및 Google Cloud Platform)

Kubernetes 워크로드에 대한 취약점 세부 정보를 받으려면 Snyk 관리자가 먼저 클러스터에 Snyk Controller를 설치해야 합니다. Snyk Controller는 Helm Hub에 게시되어 있습니다.

설치 단계는 다음을 다룹니다.

• 대부분의 Kubernetes 플랫폼을 위한 Snyk 통합

• Amazon Elastic Kubernetes Service (EKS) 클러스터와 함께 Amazon Elastic Container Registry (ECR)를 사용할 때 통합을 위한 추가 구성 단계.

Helm으로 Snyk Controller 설치

Helm으로 Snyk Controller를 설치하려면 다음 필수 단계를 따르십시오.

1. Kubernetes 환경에 액세스합니다. 다음 명령을 실행하여 Helm에 Snyk Charts 리포지토리를 추가합니다.

helm repo add snyk-charts https://snyk.github.io/kubernetes-monitor --force-update

1. 리포지토리가 추가되면 Snyk Controller에 대한 고유한 네임스페이스를 생성합니다.

kubectl create namespace snyk-monitor

Snyk 모니터에는 다음이 필요합니다.

• Snyk 통합 ID

• 서비스 계정 토큰

• dockercfg.json 파일.

공개 컨테이너 레지스트리에서 이미지를 스캔하기 위한 Snyk Controller 설치

공개 컨테이너 레지스트리에서 이미지를 스캔하기 위해 Snyk Controller를 설치하려면 Snyk 통합 ID와 서비스 계정 토큰이 포함된 snyk-monitor라는 Kubernetes 시크릿을 생성해야 합니다.

이를 수행하려면 다음 명령을 실행합니다.

Snyk Helm 차트 설치

자체 Snyk 인스턴스를 실행하는 경우 컨트롤러를 설치할 때 API 엔드포인트를 지정해야 합니다.

다음 명령에서 Snyk 인스턴스의 전체 호스트 이름을 제공합니다.

• "Production cluster"를 모니터링하는 클러스터를 기반으로 한 이름으로 바꿉니다. 나중에 Snyk에서 워크로드를 찾을 때 이 레이블을 사용할 수 있습니다.

• 클러스터 이름에 /(슬래시)를 사용하는 것은 허용되지 않습니다. 클러스터 이름의 /는 제거됩니다.

• 모든 업데이트마다 클러스터 이름을 바꾸지 않으려면 Helm --reuse-values의 기존 옵션을 사용할 수 있습니다. 업그레이드할 때 Helm은 마지막 릴리스의 값을 재사용하고 --set 및 -f를 사용하여 명령줄의 모든 재정의에 병합합니다.

관리 ID를 사용하여 AKS와 ACR 통합

다음을 수행합니다.

1. 사용자 관리 ID와 함께 AKS를 사용하여 ACR에 대한 액세스 권한을 부여하고 VM 확장 집합에 AcrPull 역할을 할당하는 여러 ID가 있는 경우 사용할 원하는 사용자 관리 ID의 클라이언트 ID도 지정해야 합니다. 이 값은 .Values.azureEnvVars에서 재정의로 설정해야 합니다.

1. override.yaml에 저장된 위의 YAML을 사용하여 다음 명령을 실행합니다.

기본적으로 이 값은 빈 문자열로 설정되어 있으며 사용되지 않습니다.

기존 설치 업데이트

기존 고객이고 Snyk Controller를 업데이트하는 경우:

1. 서비스 계정 토큰을 생성합니다. 자세한 내용은 Snyk Controller 설치를 위한 전제 조건을 참조하십시오. 이 토큰은 snyk-monitor 시크릿에 저장됩니다.

2. 기존 snyk-monitor 시크릿을 삭제합니다.

1. 필수 설치 단계를 따릅니다. 최신 Helm 차트 버전을 얻으려면 다음 명령을 실행합니다.