Despliegue de Cyberwatch en un cluster Kubernetes existente

Esta página describe los pasos a seguir para desplegar Cyberwatch en un clúster Kubernetes existente. Este procedimiento supone que el usuario dispone de conocimientos básicos del orquestador Kubernetes y de Helm.

Procedimiento de despliegue

1. Disponer de un clúster que cumpla con los requisitos técnicos del software.

2. Conectarse al repositorio Helm:

   helm registry login harbor.cyberwatch.fr
   

   Completar el nombre de usuario anteponiendo cbw$, luego proporcionar la contraseña.

   Estas credenciales corresponden a su licencia de Cyberwatch, si no dispone de ellas, por favor póngase en contacto con support@cyberwatch.com.

3. Crear y editar el archivo de configuración values.yml

   Es necesario conservar el archivo values.yml de forma segura. El archivo es requerido para la actualización de las imágenes Docker o para actualizar el chart Helm.

   Los pasos presentados a continuación tienen como objetivo establecer un archivo de configuración mínimo que permita el despliegue de la aplicación Cyberwatch.

   A continuación, un ejemplo de archivo values.yml en su configuración mínima:

   global:
     # storageClass:
   
     image:
       registryCredentials:
         - name: cyberwatch-credentials
           registry: harbor.cyberwatch.fr/cbw-on-premise
           username: changeme
           password: changeme
   
   nginx:
     resolver: changeme
   
   ingress:
     enabled: true
     hosts:
       - hostname: cyberwatch.example.com
         ingressClassName: nginx
         tls:
           enabled: true
   
   thirdParties:
     enabled: false
   
   database:
     password: "changeme"
     root_password: "changeme"
   
   redis:
     password: "changeme"
   
   containerScanner:
     container_scanner_api_key: "changeme:changeme"
   
   webScanner:
     web_scanner_api_key: "changeme:changeme"
   
   key:
     base: "changeme"
     credential: "changeme"
   
   node:
     name: cyberwatch-node-name
     type: single
   

4. Configurar el acceso al registro de contenedores. El par usuario/contraseña es el mismo que el utilizado para conectarse al repositorio Helm

   global:
     image:
       registryCredentials:
         - name: cyberwatch-credentials
           registry: harbor.cyberwatch.fr/cbw-on-premise
           username: changeme
           password: changeme
   

5. Configurar el campo global.storageClass permite definir el tipo de almacenamiento utilizado por los VolumeClaims para conservar los datos persistentes

   Por defecto, el chart Helm configura la aplicación para que los datos se guarden en la máquina que ejecuta el contenedor utilizando VolumeClaims de tipo hostPath. Este comportamiento solo es adecuado si el clúster Kubernetes está compuesto por un solo nodo. En un clúster Kubernetes de varios nodos, Cyberwatch recomienda utilizar un StorageClass:

   global:
     # storageClass:
   

   1. Listar los storageClass disponibles en el clúster:

      kubectl get sc
      

   2. Descomentar el campo global.storageClass y asignarle como valor el nombre de uno de los storageClass disponibles en el clúster.

      Por ejemplo:

      global:
        storageClass: csi-cinder-classic
      

   Si es necesario, hay más información disponible en los comentarios del archivo de configuración por defecto del chart Helm.

6. Configurar el campo nginx.resolver

   1. Recuperar la IP del DNS resolver kube-dns:

      kubectl -n kube-system get svc kube-dns
      

   2. Asignar la dirección IP del resolvedor DNS del clúster Kubernetes al campo nginx.resolver.

      Ejemplo:

      nginx:
        resolver: 10.3.0.10
      

7. Configurar el ingress

   1. Uno o varios ingress pueden configurarse en el campo ingress.hosts. Cada ingress debe tener un hostname único y un ingressClassName. Las IngressClass disponibles en el clúster pueden listarse con el siguiente comando:

      kubectl get ingressclasses
      

   2. Asignar el valor seleccionado al campo ingressClassName y el nombre de dominio que aceptará las solicitudes al campo hostname.

      Ejemplo:

      ingress:
        enabled: true
        hosts:
          - hostname: cyberwatch.example.com
            ingressClassName: nginx
            tls:
            enabled: true
      

      La dirección IP que corresponde al nombre de dominio debe ser la del balanceador de carga del clúster.

   Si es necesario, hay más información disponible en los comentarios del archivo de configuración por defecto del chart Helm.

8. Desactivar el contenedor thirdParties definiendo el parámetro thirdParties.enabled a false:

   thirdParties:
     enabled: false
   

9. Configurar las contraseñas de la aplicación, de la base de datos y de redis

   Todos los secretos pueden generarse con el siguiente comando:

   cat <<-EOF
   database:
     password: "$(openssl rand -hex 16)"
     root_password: "$(openssl rand -hex 16)"
   
   redis:
     password: "$(openssl rand -hex 16)"
   
   containerScanner:
     container_scanner_api_key: "$(openssl rand -hex 16):$(openssl rand -hex 16)"
   
   kibana:
     kibana_password: "$(openssl rand -hex 16)"
   
   key:
     base: "$(openssl rand -hex 64)"
     credential: "$(openssl rand -hex 64)"
   EOF
   

10. Configurar el nombre que tendrá el nodo Cyberwatch en la aplicación utilizando el parámetro node.name

    node:
      name: cyberwatch-node-name
      type: single
    

11. Crear el namespace cyberwatch en el clúster:

     kubectl create namespace cyberwatch
    

12. Desplegar el chart Helm:

    helm -n cyberwatch install cyberwatch oci://harbor.cyberwatch.fr/cbw-on-premise/cyberwatch-chart -f values.yml
    

    El despliegue del chart Helm tendrá en cuenta las configuraciones del archivo values.yml para configurar la aplicación.

13. Verificar el estado de los pods:

    kubectl -n cyberwatch get pods
    

14. Cuando todos los pods estén en ejecución, conectarse a la interfaz web por HTTPS desde la entrada DNS y registrar el usuario Administrador desde la interfaz web

Acceder a la instancia Cyberwatch mediante la dirección IP devolverá un error 404. Es necesario utilizar el nombre de dominio definido anteriormente.

(Opcional) Recuperar el archivo de configuración por defecto del chart Helm

La documentación anterior indica los pasos a seguir para establecer una configuración mínima de Cyberwatch.

Es posible recuperar el archivo de configuración por defecto del chart Helm de Cyberwatch, para disponer de un archivo completo que indique qué valores por defecto son modificables.

El uso de este archivo es recomendable si desea desviarse de la configuración mínima propuesta en esta documentación, especialmente para la configuración de un certificado TLS, por ejemplo.

Para recuperar el archivo de configuración por defecto del chart Helm:

helm show values oci://harbor.cyberwatch.fr/cbw-on-premise/cyberwatch-chart > values.yml

Este archivo puede ser modificado según sus necesidades, y el chart Helm puede ser redeplegado a partir de esta nueva configuración.