Развертывание на одном узле: подготовка устройства администратора и целевых устройств

Подготовка к развертыванию на одном узле включает настройку устройства администратора и целевых устройств. В конфигурации с одним узлом кластер Kubernetes и компоненты Kaspersky EDR Expert устанавливаются на том же целевом устройстве. После подготовки целевого устройства и указания конфигурационного файла можно приступить к развертыванию Kaspersky EDR Expert на целевом устройстве с использованием KDT.

Подготовка устройства администратора

Предварительно вам нужно подготовить устройство, которое будет выполнять роль устройства администратора, с которого будет запускаться KDT. Это устройство может быть включено или не включено в кластер Kubernetes, созданный с помощью KDT во время развертывания. Если устройство администратора не включено в кластер, оно будет использоваться только для развертывания и управления кластером Kubernetes и Kaspersky EDR Expert. Если устройство администратора включено в кластер, оно также функционирует в качестве целевого устройства, используемого для работы компонентов Kaspersky EDR Expert. В этом случае будет использовано только одно устройство для развертывания и работы решения.

Чтобы подготовить устройство администратора:

1. Убедитесь, что оборудование и программное обеспечение на устройстве администратора соответствуют требованиям для KDT.
2. Выделите не менее 10 ГБ свободного места в директории временных файлов (/tmp) для KDT. Если у вас недостаточно свободного места в этой директории, выполните следующую команду, чтобы указать путь к другой директории:

   export TMPDIR=<new_directory>/tmp

3. Установите пакет для Docker версии 23 или выше, а затем выполните действия после установки, чтобы настроить устройство администрирования для правильной работы с Docker.

   Не устанавливайте неофициальные версии пакета Docker из хранилищ операционных систем.

4. Для устройства администратора, которое будет включено в кластер, выполните дополнительные подготовительные шаги:
   1. Так как устройство будет действовать как устройство администратора и целевое устройство, убедитесь, что оно соответствует требованиям для развертывания на одном узле.
   2. Убедитесь, что на устройстве администратора поддерживается технология cgroup v2.
      1. Поскольку устройство будет действовать как устройство администратора и целевое устройство, убедитесь, что оно соответствует требованиям для развертывания на одном узле (так как демонстрационное развертывание и развертывание на одном узле имеют схожую схему развертывания).
      2. Убедитесь, что на устройстве администратора поддерживается технология cgroup v2.

         Технология cgroup v2 поддерживается для версии ядра Linux 2.6.24 и выше.

      3. Установите пакет uidmap на устройстве администратора.

         Убедитесь, что файлы /etc/subgid и /etc/subuid содержат учетную запись пользователя, под которой будет запущен KDT. Для этого вы можете выполнить следующую команду:

         getsubids USER

         Если эта команда не возвращает результат, вам нужно вручную добавить учетную запись пользователя в файлы /etc/subgid и /etc/subuid в следующем формате:

         <username>:<min_subid>:<range_length>

         где

         • <username> – имя пользователя учетной записи, под которым будет запущен KDT.
         • <min_subid> – минимальное значение subuid.
         • <range_length> – количество subuid, выделенных для пользователя <username>.

Подготовка целевого устройства

Целевое устройство представляет собой физическую или виртуальную машину, используемую для развертывания Kaspersky EDR Expert и включенную в кластер Kubernetes. Целевой хост управляет кластером Kubernetes и компонентами Kaspersky EDR Expert, которые работают на этом устройстве, и хранит метаданные.

Минимальная конфигурация кластера для развертывания с одним узлом включает одно целевое устройство, которое действует как первичный и рабочий узлы. На этом управляющем рабочем узле установлен кластер Kubernetes и компоненты Kaspersky EDR Expert.

Сервисы KUMA (коллекторы, корреляторы и хранилища) могут быть установлены внутри кластера на основном рабочем узле, на отдельных устройствах вне кластера Kubernetes или частично в кластере Kubernetes и вне его.

Если развертывание Kaspersky EDR Expert требуется запустить с целевого устройства, необходимо подготовить это устройство в качестве устройства администратора, как описано в предыдущей процедуре, а также подготовить целевое устройство.

Чтобы подготовить целевое устройство:

1. Убедитесь, что оборудование и программное обеспечение на целевом устройстве соответствуют требованиям для развертывания на одном узле.

   Если сервисы KUMA установлены в кластере, целевое устройство должно соответствовать требованиям к оборудованию, программному обеспечению и требованиям установки, необходимым для установки сервисов KUMA.

   Поскольку СУБД будет установлена на целевом устройстве, вам также нужно убедиться, что целевое устройство соответствует требованиям для СУБД.

   Для работы Kaspersky EDR Expert на целевом устройстве с операционной системой семейства Ubuntu должно быть установлено ядро Linux 5.15.0.107 или более поздней версии.

   Не устанавливайте Docker на целевом устройстве, если целевое устройство не будет использоваться в качестве устройства администратора. KDT установит все необходимое программное обеспечение и зависимости во время развертывания.

2. Убедитесь, что в файловой системе, смонтированной в /var, на целевом устройстве есть не менее 360 ГБ свободного дискового пространства.
3. Установите СУБД на целевом устройстве.

   СУБД необходимо установить до развертывания Kaspersky EDR Expert, поскольку в данном случае СУБД и компоненты Kaspersky EDR Expert устанавливаются на одном целевом устройстве и СУБД не будет включена в кластер Kubernetes.

4. Установите пакет sudo, если этот пакет еще не установлен. Для операционных систем семейства Debian установите пакет UFW.
5. Настройте файл /etc/environment. Если инфраструктура вашей организации использует прокси-сервер для доступа в интернет, настройте доступ в интернет, используя прокси-сервер на целевых устройствах.
6. На первичном рабочем узле с конфигурацией UFW разрешите IP-переадресацию. В файле /etc/default/ufw установите для параметра DEFAULT_FORWARD_POLICY значение ACCEPT.
7. Предоставьте доступ к репозиторию пакетов, содержащему следующие пакеты, необходимые для Kaspersky EDR Expert:
   • nfs-common
   • tar
   • iscsi-package
   • wireguard
   • wireguard-tools

   KDT попытается установить эти пакеты во время развертывания из хранилища пакетов. Также эти пакеты можно установить вручную.

8. Убедитесь, что пакеты python3-apt, curl и libnfs установлены на первичном рабочем узле.

   Пакеты python3-apt, curl и libnfs не устанавливаются во время развертывания из хранилища пакетов с помощью KDT. Вам нужно установить эти пакеты вручную, если они еще не установлены. Используется пакет libnfs версии 12 и выше.

9. Зарезервируйте статические IP-адреса для целевого устройства и шлюза кластера Kubernetes.

   Шлюз Kubernetes предназначен для подключения компонентов Kaspersky EDR Expert, установленных внутри кластера Kubernetes. IP-адрес шлюза является IPv4-адресом (например, 10.80.23.182). IP-адрес шлюза указан в конфигурационном файле (параметр ingress_ip).

   Убедитесь, что целевое устройство и шлюз соединения кластера Kubernetes находятся в одном широковещательном домене.

   Для шлюза кластера Kubernetes и целевых устройств требуется IPv4-адресация. Если в вашей среде требуется подключение по протоколу IPv6, настройте операционные системы на целевых устройствах и шлюзе кластера Kubernetes для маршрутизации трафика IPv6 через шлюз IPv6 (NAT64) или туннель IPv6. Эта конфигурация поддерживает работу кластера на IPv4, обеспечивая взаимодействие с сетями IPv6.

10. На своем DNS-сервере зарегистрируйте FQDN служб для подключения к службам Kaspersky EDR Expert.

    По умолчанию службы Kaspersky EDR Expert доступны по следующим адресам:

    • <console_host>.<smp_domain> – доступ к интерфейсу Консоли OSMP.
    • <ksc_host>.<smp_domain> – взаимодействие с Сервером администрирования.
    • <kuma_host>.<smp_domain> – доступ к компоненту SIEM.
    • <api_host>.<smp_domain> – доступ к API Kaspersky EDR Expert.
    • <monitoring_host>.<smp_domain> – доступ к метрикам OSMP.

      Где <console_host>, <ksc_host>, <kuma_host>, <api_host> и <monitoring_host> являются именами устройств сервисов, <smp_domain> является доменным именем сервиса. Эти параметры являются частями сервисов FQDN, которые вы можете указать в конфигурационном файле. Если вы не указываете пользовательские значения имен служб устройств, используются значения по умолчанию: console_host – "console", ksc_host – "admsrv", kuma_host – "kuma", api_host – "api", monitoring_host – "monitoring".

    Перечисленные FQDN служб должны разрешаться в IP-адрес кластера Kubernetes Например, если адрес кластера Kubernetes – 10.80.23.182, FQDN служб должны разрешаться в IP-адрес следующим образом:

    • <console_host>.<smp_domain> – 10.80.23.182
    • <ksc_host>.<smp_domain> – 10.80.23.182
    • <kuma_host>.<smp_domain> – 10.80.23.182
    • <api_host>.<smp_domain> – 10.80.23.182
    • <monitoring_host>.<smp_domain> – 10.80.23.182
11. Создайте учетные записи, которые будут использоваться для развертывания Kaspersky EDR Expert.

    Эти учетные записи используются для SSH-соединения и должны иметь возможность повышать привилегии (sudo) без ввода пароля. Для этого добавьте созданные учетные записи пользователей в файл /etc/sudoers.

    Просмотреть информацию

    Чтобы добавить созданные учетные записи пользователей в файл /etc/sudoers:

    1. Откройте файл /etc/sudoers с помощью команды:

       sudo visudo

    2. Под строкой root ALL=(ALL:ALL) ALL добавьте следующую строку:

       <имя_пользователя> ALL=(ALL) NOPASSWD: ALL

       Где <имя_пользователя> – имя созданного пользователя.

    3. Сохраните файл /etc/sudoers.
12. Настройте SSH-соединение между устройством администратора и целевыми устройствами:
    1. На устройстве администратора сгенерируйте SSH-ключи с помощью утилиты ssh-keygen без парольной фразы.
    2. Скопируйте открытый ключ на целевое устройство (например, в директорию /home/<имя_пользователя>/.ssh) с помощью утилиты ssh-copy-id.

       Если вы используете целевое устройство в качестве устройства администратора, вам нужно скопировать на него открытый ключ.

13. Для корректной работы компонентов Kaspersky EDR Expert откройте требуемые порты на сетевом экране устройства администратора и целевых устройств.
14. Настройте синхронизацию времени по протоколу Network Time Protocol (NTP) на устройстве администратора и целевых устройствах.
15. При необходимости подготовьте пользовательские сертификаты для работы с публичными службами Kaspersky EDR Expert.

    Вы можете использовать один промежуточный сертификат, выданный на основе корневого сертификата организации, или конечные сертификаты для каждой службы. Подготовленные пользовательские сертификаты будут использоваться вместо самоподписанных сертификатов.

В начало