在 Kubernetes 上部署 IAST 代理程序

AppScan 支持在 Kubernetes 集群上自动安装 IAST 代理程序。使用 MutatingAdmissionWebhook 可以将 IAST 代理程序自动安装在任何启动 Pod 上。

关于此任务

在 Kubernetes 上安装 IAST 代理程序(支持 Java、.Net 和 Node.js 应用程序)的步骤说明。

显示 Kubernetes 上的安装的图像

过程

  1. 按照此处所述的方法下载 ASoC Kubernetes IAST 代理程序。
  2. 解压缩 ZIP 文件的内容。
  3. 要在 Kubernetes 集群中安装 IAST 代理程序:
    1. 运行 install-secagent-webhook.sh 脚本。
      该脚本将在集群中安装 MutatingAdmissionWebhook,该程序在启动时会将 IAST 代理程序添加到每个 Pod。
    2. 要应用 IAST 代理程序,请重新启动任何现有的 Pod。
  4. 可选: 您可以将 IAST 安装程序配置为跳过特定的 Pod,或者指定用于代理程序检测的 Pod 语言。在运行 install-secagent-webhook.sh 脚本之前,必须将配置文件放在“config”文件夹中。
    配置示例可在解压缩的 zip 文件的“examples”文件夹中找到。
    { 
                            // don't install IAST agent on service1. Default for ignore is false 
                            "name":"service1", 
                            "namespace":"default", 
                            "ignore":true 
                            }, 
                            { 
                            // hint IAST installer that service2 is Java. Possible values: java, net-core, nodejs 
                            "name":"service2", 
                            "namespace":"my-namespace", 
                            "agents":["java"] 
                            }, 
  5. 要查看不同 Pod 报告的问题的 Pod 名称,请参阅问题详细信息选项卡的附加信息部分。
  6. 要在 Kubernetes 集群中卸载 IAST 代理程序:
    1. 运行 uninstall-secagent-webhook.sh 脚本。
    2. 要完成卸载过程,您需要重新启动任何正在运行的 Pod,因为在卸载过程中不会自动从这些 Pod 中删除代理程序。