Если вы планируете защитить сетевую инфраструктуру KUMA с помощью программы Kaspersky Endpoint Security for Linux, необходимо сначала установить KUMA в кластере Kubernetes и только потом разворачивать Kaspersky Endpoint Security for Linux.
При установке KUMA в отказоустойчивом варианте, должны выполняться следующие требования:
На хостах, которые планируются под узлы кластера Kubernetes, не используются IP-адреса из следующих блоков Kubernetes
serviceCIDR: 10.96.0.0/12
podCIDR: 10.244.0.0/16
Также для адресов этих блоков исключен трафик на прокси-серверы.
Установлен и настроен балансировщик нагрузки nginx (подробнее о настройке nginx). Для установки можно воспользоваться, например,следующей командой:
sudo yum install nginx
Если вы хотите, чтобы nginx был настроен автоматически в процессе установки KUMA, установите nginx и откройте к нему доступ по SSH так же, как для хостов кластера Kubernetes.
Установщик создает файл конфигурации /etc/nginx/kuma_nginx_lb.conf, пример содержимого которого приведен ниже. Разделы upstream формируются динамически и содержат IP-адреса контроллеров кластера Kubernetes (в примере – 10.0.0.2-4 в разделах upstream kubeAPI_backend, upstream konnectivity_backend, controllerJoinAPI_backend) и IP-адреса рабочих узлов (в примере 10.0.1.2-3), для которых в файле инвентаря в переменной extra_args содержится значение "kaspersky.com/kuma-ingress=true".
В конец файла /etc/nginx/nginx.conf дописывается строка "include /etc/nginx/kuma_nginx_lb.conf;" позволяющая применить сформированный файл конфигурации.
Пример файла конфигурации:
# Ansible managed
#
# LB KUMA cluster
#
stream {
server {
listen 6443;
proxy_pass kubeAPI_backend;
}
server {
listen 8132;
proxy_pass konnectivity_backend;
}
server {
listen 9443;
proxy_pass controllerJoinAPI_backend;
}
server {
listen 7209;
proxy_pass kuma-core-hierarchy_backend;
proxy_timeout 86400s;
}
server {
listen 7210;
proxy_pass kuma-core-services_backend;
proxy_timeout 86400s;
}
server {
listen 7220;
proxy_pass kuma-core-ui_backend;
proxy_timeout 86400s;
}
server {
listen 7222;
proxy_pass kuma-core-cybertrace_backend;
proxy_timeout 86400s;
}
server {
listen 7223;
proxy_pass kuma-core-rest_backend;
proxy_timeout 86400s;
}
upstream kubeAPI_backend {
server 10.0.0.2:6443;
server 10.0.0.3:6443;
server 10.0.0.4:6443;
}
upstream konnectivity_backend {
server 10.0.0.2:8132;
server 10.0.0.3:8132;
server 10.0.0.4:8132;
}
upstream controllerJoinAPI_backend {
server 10.0.0.2:9443;
server 10.0.0.3:9443;
server 10.0.0.4:9443;
}
upstream kuma-core-hierarchy_backend {
server 10.0.1.2:7209;
server 10.0.1.3:7209;
}
upstream kuma-core-services_backend {
server 10.0.1.2:7210;
server 10.0.1.3:7210;
}
upstream kuma-core-ui_backend {
server 10.0.1.2:7220;
server 10.0.1.3:7220;
}
upstream kuma-core-cybertrace_backend {
server 10.0.1.2:7222;
server 10.0.1.3:7222;
}
upstream kuma-core-rest_backend {
server 10.0.1.2:7223;
server 10.0.1.3:7223;
}
}
На сервере балансировщика добавлен ключ доступа с устройства, с которого осуществляется установка KUMA.
На сервере балансировщика в операционной системе НЕ включен модуль SELinux.
На хостах установлены пакеты tar, systemctl, setfacl.
При установке KUMA автоматически проверяется соответствие хостов указанным ниже аппаратным требованиям. Если эти условия не выполняются, установка прерывается.
Проверку этих условий при установке для демонстрации можно отключить, указав в файле инвентаря переменную low_resources: true.
Количество ядер CPU (потоков) – 12 или больше.
ОЗУ – 22528 МБ или больше.
Объем свободного пространства на диске в разделе /opt/ – 1000 ГБ или больше.
Если производится первичная установка, то в /var/lib/ должно быть не менее 32GB свободного места. Если установка кластера на данный узел ранее уже проводилась, то размер требуемого свободного пространства уменьшается на размер директории /var/lib/k0s.
Дополнительные требования при установке на операционной системе Astra Linux Special Edition
Установка KUMA в отказоустойчивом варианте поддерживается на операционной системе Astra Linux Special Edition РУСБ.10015-01 (2022-1011SE17MD, оперативное обновление 1.7.2.UU.1). Требуется версия ядра 5.15.0.33 или выше.
На машинах, предназначенных для развертывания кластера Kubernetes, установлены следующие пакеты:
open-iscsi
wireguard
wireguard-tools
Пакеты можно установить с помощью следующей команды: