Указание параметров установки с помощью мастера настройки

Для развертывания Kaspersky EDR Expert на нескольких узлах и развертывания на одном узле необходимо подготовить конфигурационный файл, содержащий параметры установки компонентов Kaspersky EDR Expert. Мастер настройки позволяет указать параметры установки, необходимые для развертывания Kaspersky EDR Expert, и сформировать итоговый конфигурационный файл. Необязательные параметры установки имеют значения по умолчанию, и их не следует указывать в мастере настройки. Вы можете вручную добавить эти параметры в конфигурационный файл, чтобы перезаписать их значения по умолчанию.

Предварительные требования

Перед указанием параметров установки с помощью мастера настройки нужно установить систему управления базами данных на отдельном сервере, расположенном вне кластера Kubernetes, выполнить все подготовительные действия, необходимые для устройства администратора, целевых устройств (в зависимости от развертывания на нескольких узлах или развертывания на одном узле) и устройств KUMA.

Процесс

Чтобы указать параметры установки с помощью мастера настройки:

  1. На устройстве администратора, на котором расположена утилита KDT, запустите мастер настройки с помощью следующей команды:

    ./kdt wizard -k <путь_к_транспортному_архиву> -o <путь_к_конфигурационному_файлу>

    где:

    • <путь_к_транспортному_архиву> – путь к транспортному архиву.
    • <путь_к_конфигурационному_файлу> – путь, по которому вы хотите сохранить конфигурационный файл и имя конфигурационного файла.

    Мастер настройки предложит вам указать параметры установки. Список параметров установки, характерных для развертывания на нескольких узлах и развертывания на одном узле, различается.

    Если у вас нет прав на запись в указанной директории или в этой директории находится файл с таким же именем, возникает ошибка и мастер завершает работу.

  2. Введите количество управляющих узлов.

    Возможные значения:

    • 1 – развертывание на одном или нескольких узлах.
    • 2 или более – развертывание на нескольких узлах.

    Кластер Kubernetes может иметь несколько управляющих узлов только в случае развертывания на нескольких узлах.

  3. Введите IPv4-адрес управляющего узла (или управляющего рабочего узла, если вы будете выполнять развертывание на одном узле). Это значение соответствует параметру host конфигурационного файла.

    Этот узел должен быть включен в ту же подсеть, что и шлюз кластера Kubernetes.

  4. Введите имя пользователя учетной записи, используемой для подключения к управляющему узлу с помощью KDT (параметр user конфигурационного файла).

    Значение должно соответствовать следующим правилам:

    • Длина имени пользователя должна быть от 1 до 31 символов.
    • Имя пользователя может содержать следующие символы:
      • нижний регистр (a-z);
      • числа (0–9);
      • нижнее подчеркивание (_), дефис (-).
  5. Введите путь к закрытой части SSH-ключа, который находится на устройстве администратора и используется для подключения к управляющему узлу KDT (параметр key конфигурационного файла).

    Значение параметра должно быть Linux-путем к файлу или содержимым файла в кодировке Base64.

  6. Введите количество рабочих узлов.

    Возможные значения:

    • 0 – развертывание на одном узле.
    • 3 или более – развертывание на нескольких узлах.

    Этот шаг определяет вариант развертывания Kaspersky EDR Expert. Если вы хотите выполнить развертывание на одном узле, следующие параметры, характерные для этого варианта развертывания, примут значения по умолчанию:

    • type – primary-worker
    • low_resources – true
    • openbao_ha_modefalse
    • openbao_standalonetrue
    • default_class_replica_count – 1
  7. Для каждого рабочего узла введите IPv4-адрес (параметр host конфигурационного файла).

    Все узлы должны быть включены в ту же подсеть, что и шлюз кластера Kubernetes.

    Для развертывания на нескольких узлах для параметра kind первого рабочего узла по умолчанию установлено значение admsrv. Это означает, что Сервер администрирования будет установлен на первом рабочем узле. При развертывании на одном узле параметр kind не указывается.

  8. Для каждого рабочего узла введите имя пользователя, используемое для подключения к рабочему узлу с помощью KDT (параметр user конфигурационного файла).

    Значение должно соответствовать следующим правилам:

    • Длина имени пользователя должна быть от 1 до 31 символов.
    • Имя пользователя может содержать следующие символы:
      • нижний регистр (a-z);
      • числа (0–9);
      • нижнее подчеркивание (_), дефис (-).
  9. Для каждого рабочего узла введите путь к закрытой части SSH-ключа, который используется для подключения к рабочему узлу с помощью KDT (параметр key конфигурационного файла).

    Значение параметра должно быть Linux-путем к файлу или содержимым файла в кодировке Base64. Также значение должно совпадать со значением параметра ssh_pk.

  10. Введите 1, если у вас имеется несколько управляющих узлов и требуется внешний балансировщик нагрузки. Если у вас имеется несколько управляющих узлов, но вы не хотите использовать внешний балансировщик нагрузки, введите 0. В последнем случае рабочие узлы будут играть роль балансировщика нагрузки.
  11. Введите IPv4-адрес внешнего балансировщика нагрузки. Это значение соответствует параметру host конфигурационного файла.
  12. Введите имя пользователя учетной записи, используемой для подключения к внешнему балансировщику нагрузки с помощью KDT (параметр user конфигурационного файла).

    Значение должно соответствовать следующим правилам:

    • Длина имени пользователя должна быть от 1 до 31 символов.
    • Имя пользователя может содержать следующие символы:
      • нижний регистр (a-z);
      • числа (0–9);
      • нижнее подчеркивание (_), дефис (-).
  13. Введите путь к закрытой части SSH-ключа, который находится на устройстве администратора и используется для подключения к внешнему балансировщику нагрузки с помощью KDT (параметр key конфигурационного файла).

    Значение параметра должно быть Linux-путем к файлу или содержимым файла в кодировке Base64.

  14. Введите строку подключения для доступа к СУБД, которая установлена и настроена на отдельном сервере (параметр psql_dsn конфигурационного файла).

    Укажите этот параметр следующим образом: postgres://<dbms_username>:<password>@<fqdn>:<port>

    где:

    • dbms_username – имя пользователя привилегированной внутренней учетной записи СУБД. Этой учетной записи предоставлены права на создание баз данных и других учетных записей СУБД. С использованием этой привилегированной учетной записи СУБД во время развертывания будут созданы базы данных и другие учетные записи СУБД, необходимые для работы компонентов Kaspersky EDR Expert.
    • password – пароль привилегированной внутренней учетной записи СУБД.
    • fqdn:port – полное имя домена и порт подключения целевого устройства, на котором установлена СУБД.

    При использовании отказоустойчивого кластера, задайте для этого параметра следующее значение: psql_dsn=postgres://<имя_пользователя_СУБД>:<пароль>@<fqdn1>:<порт>,<fqdn2>:<порт>,<fqdn3>:<порт>

    Значение параметра psql_dsn должно соответствовать URI-формату. Если URI-подключение включает специальные символы в любой из его частей, символы должны быть экранированы с помощью процентной кодировки.

    Символы, которые требуется заменить в значении параметра psql_dsn:

    • Пробел → %20
    • %%25
    • &%26
    • /%2F
    • :%3A
    • =%3D
    • ?%3F
    • @%40
    • [%5B
    • ]%5D

    Дополнительную информацию см. в статье Строка подключения PostgreSQL.

    Мастер задает параметры установки только для варианта развертывания с установленной СУБД на отдельном сервере, расположенном вне кластера Kubernetes.

  15. Введите IPv4-адрес шлюза кластера Kubernetes (параметр ingress_ip конфигурационного файла).

    Шлюз кластера должен быть включен в ту же подсеть, что и все узлы кластера.

  16. Введите пароль учетной записи Kaspersky EDR Expert, которая будет создана KDT при установке (параметр admin_password конфигурационного файла).

    Имя пользователя по умолчанию для этой учетной записи – "admin". Этой учетной записи пользователя назначена роль Главного администратора.

    Пароль должен соответствовать следующим правилам:

    • Пароль пользователя не может содержать менее 8 или более 256 символов.
    • Пароль должен содержать символы как минимум трех групп из списка ниже:
      • верхний регистр (A–Z);
      • нижний регистр (a-z);
      • числа (0–9);
      • специальные символы (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;).
    • Пароль не должен содержать пробелов или комбинации ".@".

    Когда вы указываете значение параметра admin_password вручную (не с помощью мастера настройки), убедитесь, что это значение соответствует требованиям стандарта YAML для значений в строках:

    • Значение параметра, содержащего специальные символы, должно быть заключено в одинарные кавычки.
    • Любая одинарная кавычка ' внутри значения параметра должна быть удвоена, чтобы избежать этой одинарной кавычки.

    Пример: пароль учетной записи пользователя Any_pass%1234'5678"90 для параметра admin_password должен быть указан как 'Any_pass%1234''5678"90'.

  17. Введите путь к файлу инвентаря KUMA, расположенному на устройстве администратора (параметр inventory конфигурационного файла).

    Файл инвентаря KUMA содержит параметры установки для развертывания сервисов KUMA, не входящих в кластер Kubernetes. Значение параметра должно быть Linux-путем к файлу или содержимым файла в кодировке Base64.

  18. Введите путь к закрытой части SSH-ключа, которая находится на устройстве администратора и используется для подключения к рабочему узлу и к узлам с сервисами KUMA (коллекторам, корреляторам и хранилищам) с помощью утилиты KDT (параметр конфигурационного файла ssh_pk).

    Значение параметра должно быть Linux-путем к файлу или содержимым файла в кодировке Base64. Также значение должно совпадать со значением параметра key.

  19. Введите путь к файлу с Лицензионным соглашением Ядра KUMA (параметр license конфигурационного файла).

    Значение параметра должно быть Linux-путем к файлу или содержимым файла в кодировке Base64.

  20. Введите имя домена, которое используется в FQDN публичных служб Kaspersky EDR Expert (параметр smp_domain конфигурационного файла).

    Значение параметра должно соответствовать требованиям назначения имен доменов второго уровня.

  21. Укажите путь к пользовательским сертификатам, которые используются для работы с публичными службами Kaspersky EDR Expert (параметр intermediate_bundle конфигурационного файла).

    Значение параметра должно быть Linux-путем к файлу или содержимым файла в кодировке Base64.

    Если вы хотите использовать самоподписанные сертификаты, нажмите на клавишу Enter, чтобы пропустить этот шаг.

  22. Чтобы указать параметр extended_incident_lifecycle, пропустите этот шаг. Это служебный параметр. По умолчанию параметр extended_incident_lifecycle отключен, не изменяйте его.
  23. Проверьте указанные параметры, которые отображаются в нумерованном списке.

    Чтобы изменить параметр, введите его номер и затем укажите новое значение. В противном случае нажмите на клавишу Enter, чтобы продолжить.

  24. Нажмите Y, чтобы сохранить новый конфигурационный файл с указанными параметрами, или N, чтобы остановить мастер настройки без сохранения.

Конфигурационный файл с указанными параметрами сохраняется в формате YAML.

Остальные параметры установки включены в конфигурационный файл со значениями по умолчанию. Конфигурационный файл можно отредактировать вручную перед развертыванием Kaspersky EDR Expert.

В начало