为集群安装Agent
企业主机安全支持防护云CCE集群,本章节为您介绍如何为这些资产安装Agent。
背景信息
HSS在提供“容器安装与配置”功能之前,提供了“集群Agent管理”功能实现集群容器资产接入HSS,但通过“集群Agent管理”功能接入HSS的集群资产,无法使用部分容器相关功能,例如容器防火墙、容器集群防护等。
因此HSS在Linux Agent 3.2.12及以上版本、Windows Agent 4.0.23及以上版本提供“容器安装与配置”功能,替代“集群Agent管理”功能,以实现将集群资产完全接入HSS,并能使用HSS提供的所有容器相关功能。
如果您此前使用“集群Agent管理”功能接入了集群资产,为了您能够享受到更好的容器安全防护服务,建议您为集群卸载Agent,再通过本章节提供的接入方式,重新接入集群资产。
ANP-Agent说明
非CCE集群安装HSS Agent过程中涉及集群连接组件(ANP-Agent),集群连接组件(ANP-Agent)的作用是用于打通企业主机安全到集群的通信,和HSS Agent是两个独立的组件,因此请您注意区分。
为云CCE集群安装Agent
操作场景
本指导适用于在云CCE集群上安装Agent,按照本指导配置完成后,HSS将自动在集群节点上安装Agent,并能够随集群扩容自动为新节点安装Agent,在集群缩容时同步卸载Agent。
约束与限制
容器运行时限制:Docker、Containerd。
集群类型限制:CCE标准版、CCE Turbo版。
节点资源剩余要求:内存必须50MiB及以上,CPU必须200m及以上。
在集群上安装Agent时,HSS会在集群上创建HSS的命名空间。
安装步骤
登录管理控制台。
在页面左上角单击
,选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
在左侧导航栏,选择“安装与配置 > 容器安装与配置”,进入“容器安装与配置”页面。
在“集群”页签,单击“安装容器安全Agent”,弹出“容器资产接入与安装”对话框。
选择“CCE集群安装”,并单击“开始配置”。
勾选目标集群,并单击“下一步”。
配置Agent相关参数。参数说明如下表示。
| 参数名称 | 参数说明 |
|---|---|
| 配置规则 | 选择Agent配置规则。
说明
|
| 高级配置(可选) | 配置规则选择“自定义规则”时,支持配置。 单击
是否开启Agent自动升级,勾选即开启,开启后,每日00:00~06:00,企业主机安全将自动升级低版本的Agent为最新版,以便为您提供更好的服务。
单击“引用节点标签”,可选择需要安装Agent的节点标签。不选择,默认在所有没有配置污点的节点上安装Agent。
如果在进行“节点选择器配置”时,选择了污点节点标签,需要在该污点节点上安装Agent,可单击“引用节点污点”,选择容忍节点污点。 |
配置完成,单击“确定”,开始安装HSS Agent。
在集群列表中,查看集群状态为“运行中”,表示集群接入HSS成功。
修改集群Agent安装信息
操作场景
如遇下列情况您可以修改接入信息:
需要修改安装Agent的集群节点范围。修改后,所有集群节点上的Agent会自动卸载并重新安装。
需要修改容器运行时类型、sock地址。修改后,所有集群节点上的Agent会自动卸载并重新安装。
需要启/停Agent自动升级。
修改接入信息
登录管理控制台。
在页面左上角单击
,选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
在左侧导航栏,选择“安装与配置 > 容器安装与配置”,进入“容器安装与配置”页面。
选择“集群”页签。
在目标集群所在行的“操作”列,单击“编辑接入信息”,弹出“编辑接入信息”对话框。
修改接入信息。可修改的参数说明请参见下表。
| 参数名称 | 参数说明 |
|---|---|
| 配置规则 | 选择Agent配置规则。
说明
|
| 高级配置(可选) | 配置规则选择“自定义规则”时,支持配置。 单击
是否开启Agent自动升级,勾选即开启,开启后,每日00:00~06:00,企业主机安全将自动升级低版本的Agent为最新版,以便为您提供更好的服务。
选择需要安装Agent的节点标签。不选择,默认在所有没有配置污点的节点上安装Agent。
如果在进行“节点选择器配置”时,选择了污点节点标签,需要在该污点节点上安装Agent,可选择容忍节点污点。 |
单击“完成”,完成修改。
如果您修改了容器运行时类型、容器运行时sock地址、节点选择配置、容忍度配置等,所有集群节点上的Agent会自动卸载并重新安装,请您耐心等待Agent安装完成。
集群管理Agent
前提条件
目标集群状态为“运行中”。
升级集群Agent
企业主机安全会定期迭代版本,优化升级服务能力,因此建议您及时将Agent升级为最新版。
登录管理控制台。
在页面左上角单击
,选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
在左侧导航栏,选择“安装与配置 > 容器安装与配置”,进入“容器安装与配置”页面。
选择“集群”页签。
在目标CCE集群所在行的“操作”列,单击“升级Agent”。
如需批量升级,请先勾选所有目标CCE集群,并单击“批量升级Agent”。
确认待升级相关信息后,单击“确定”,开始升级。
等待5~10分钟后,在集群列表查看Agent为最新版,且升级Agent按钮置灰,表示升级成功。
卸载集群Agent
登录管理控制台。
在页面左上角单击
在左侧导航栏,选择“安装与配置 > 容器安装与配置”,进入“容器安装与配置”页面。
选择“集群”页签。
在目标集群所在行的“操作”列,单击“卸载集群”。
CCE集群如需批量卸载,请先勾选所有目标集群,并单击“批量卸载Agent”。其他类型集群不支持批量卸载。
确认待卸载相关信息后,单击“确定”,开始卸载。
等待5~10分钟后,在集群列表中查看无该集群,表示卸载Agent成功。
查看集群节点列表和权限列表
登录管理控制台。
在页面左上角单击
,选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
在左侧导航栏,选择“安装与配置 > 容器安装与配置”,进入“容器安装与配置”页面。
选择“集群”页签。
单击“同步接入状态”,刷新集群接入状态。
单击“同步最新资产”,同步最新资产信息。
查看集群接入情况。
如需导出集群列表,可在列表上方单击“导出”。
单击目标集群名称,进入集群节点详情页面,查看节点和权限列表。
节点列表
节点列表展示了所有节点的信息以及Agent状态和版本。
权限列表
权限列表展示了企业主机安全提供的容器相关功能特性,该集群是否有权限使用。CCE集群不涉及权限列表。
管理非集群节点Agent
升级非集群节点的Agent
企业主机安全会定期迭代版本,优化升级服务能力,因此建议您及时将Agent升级为最新版。
登录管理控制台。
在页面左上角单击
,选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
在左侧导航栏,选择“安装与配置 > 容器安装与配置”,进入“容器安装与配置”页面。
选择“非集群节点”页签。
通过以下方式升级Agent。
自动升级
节点列表右上角Agent自动升级处,单击开启自动升级。开启后,每日00:00~06:00,企业主机安全将自动升级所有Agent为最新版。您可以在次日06:00后,查看节点的Agent版本确认是否升级成功。
手动升级
在目标节点所在行的操作列单击“升级Agent”,如需批量升级,请先勾选所有目标节点,并单击“批量升级”。
确认待升级相关信息后,单击“确定”,开始升级,等待5~10分钟后,查看到目标节点的Agent版本为最新版,表示升级成功。
卸载非集群节点的Agent
如果您不再需要使用企业主机安全可参考本节卸载Agent。
登录管理控制台。
在页面左上角单击
,选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
在左侧导航栏,选择“安装与配置 > 容器安装与配置”,进入“容器安装与配置”页面。
选择“非集群节点”页签。
在目标节点所在行的“操作”列,单击“卸载Agent”。
如需批量卸载,请先勾选所有目标节点,并单击“批量卸载”。
确认待卸载相关信息后,单击“确定”,开始卸载。
等待5~10分钟后,查看到目标节点的Agent状态为“未安装”,表示卸载成功。
