Kubernetes 커넥터란 무엇인가요?
목표 중 하나는 네트워크 구성을 통해 공개적으로 액세스 가능한 워크로드에 대한 리스크 요인을 식별하는 것입니다. 이를 위해 Snyk은 어떤 이미지가 어떤 워크로드에 배포되었는지, 그리고 그것들이 어떻게 구성되었는지 이해해야 합니다.
따라서 Snyk은 다음과 같은 정보를 수집해야 합니다.
배포된 이미지 목록과 해당 이미지의 ID 및 SHA.
서비스 및 관련 구성(예: 사용 중인 네트워킹 서비스).
Kubernetes 커넥터는 이러한 정보를 수집하기 위해 Kubernetes 클러스터에 배포되는 에이전트입니다.
Kubernetes 클러스터에 Kubernetes 커넥터를 배포하기 전에 다음 사항을 확인하십시오.
수집된 Kubernetes 정보가 전송되어 저장될 Snyk 조직(Organization). 이는 새로운 조직일 수도 있습니다.
Kubernetes 커넥터와 함께 사용하도록 특별히 생성된 Snyk 서비스 계정. 서비스 계정 생성에 대한 지침은 서비스 계정 을 참조하십시오. 역할 및 권한에 대해 Snyk은 다음을 권장합니다.
이 서비스 계정을 위한 새로운 특정 역할 생성
최소 권한 접근 방식을 취하여, 새로운 특정 역할에 Publish Kubernetes Resources 에 필요한 단일 권한만 부여
Kubernetes 커넥터를 위한 별도의 조직을 생성하는 경우, Snyk 설명서의 단계에 따라 Snyk 조직을 생성 하십시오. 새로운 Snyk 조직은 다른 Snyk 프로젝트가 있는 동일한 Snyk 그룹 내에 있어야 합니다.
별도의 Snyk 조직을 생성하지 않는 경우 다음 단계를 계속하십시오.
새로운 역할을 생성하려면 새 역할 생성 을 참조하십시오.
이 예시는 Kubernetes connector 라는 새로운 역할을 생성하는 것을 보여줍니다.
Kubernetes connector 역할 생성 새로 생성된 역할로 이동하여 편집을 선택 하십시오. 역할을 생성한 직후에도 이 페이지로 이동하게 됩니다.
페이지 하단으로 스크롤하여 Publish Kubernetes Resources 권한을 체크하고 Update Role Permissions 버튼을 클릭하여 변경 사항을 저장합니다.
Publish Kubernetes Resources 권한 서비스 계정 생성 및 역할 할당
다음으로 Kubernetes 커넥터 통합을 위한 새로운 서비스 계정 을 생성합니다.
해당 Snyk 조직 > Settings > Service Account 로 이동합니다.
원하는 이름으로 새로운 서비스 계정을 생성하고, 드롭다운에서 이전 단계에서 생성한 역할을 선택합니다.
서비스 계정이 생성되면 API 토큰이 표시됩니다. API 토큰을 복사하여 안전한 곳에 저장하십시오. Helm 차트에서 에이전트를 구성하는 데 필요합니다.
Kubernetes 클러스터에 Kubernetes 커넥터 설치
Snyk은 에이전트 배포를 위해 Helm 차트를 사용할 것을 권장합니다. Helm 차트는 에이전트가 클러스터에서 실행되는 데 필요한 관련 권한을 생성합니다. Helm 차트를 설치하는 사용자는 새로운 역할을 생성하기 위해 Kubernetes 클러스터에 대한 충분한 권한이 있어야 합니다.
Kubernetes-scanner GitHub 리포지토리arrow-up-right 의 지침에 따라 Helm 차트를 사용하여 최신 릴리스 버전arrow-up-right 을 배포하십시오.
Kubernetes 모니터 (Snyk 컨트롤러 또는 Snyk-Monitor라고도 함)와 Kubernetes 커넥터의 차이점은 무엇인가요?
Kubernetes 모니터는 Kubernetes 클러스터의 워크로드에서 이미지를 추출하고 취약점을 스캔합니다. Kubernetes 모니터는 배포됨(Deployed) 리스크 요인을 보고합니다.
Kubernetes 커넥터는 Kubernetes 클러스터에서 워크로드 구성을 추출합니다. Kubernetes 커넥터는 외부 노출(Public facing) 및 배포됨(Deployed) 리스크 요인을 보고합니다.
circle-exclamation
리스크 요인은 구현한 통합 옵션에 따라 사용 가능 여부가 결정됩니다.
이미 기존 에이전트를 사용 중인 고객이라면 Kubernetes 커넥터도 설치해야 하나요?
배포됨(Deployed) 및 외부 노출(Public Facing) 리스크 요인을 모두 보려면 Kubernetes 클러스터에 Kubernetes 커넥터를 설치해야 합니다.
기존 에이전트만 설치된 경우 Snyk은 배포됨(Deployed) 리스크 요인만 계산할 수 있습니다.
Kubernetes 커넥터가 수집하는 워크로드 데이터는 무엇인가요?
Snyk이 수집하는 데이터 목록arrow-up-right 은 Kubernetes scanner GitHub 리포지토리에서 확인할 수 있습니다.
Kubernetes 커넥터를 삭제하면 내 데이터는 어떻게 되나요?
Kubernetes 커넥터를 삭제하더라도 데이터와 리스크 요인은 48시간 동안 계속 사용할 수 있습니다.
Kubernetes 커넥터 작동이 중지되면 내 데이터는 어떻게 되나요?
어떤 이유로든 Kubernetes 커넥터 작동이 중지되더라도 데이터와 리스크 요인은 48시간 동안 계속 사용할 수 있습니다.
