在 Kubernetes 上部署 IAST 代理程式

AppScan 支援在 Kubernetes 叢集上自動安裝 IAST 代理程式。若使用 MutatingAdmissionWebhook,IAST 代理程式會自動安裝在任何啟動的 Pod 上。

執行這項作業的原因和時機

在 Kubernetes 上安裝 IAST 代理程式的步驟說明,支援 Java、.Net 與 Node.js 應用程式。

顯示在 Kubernetes 上安裝的影像

程序

  1. 此處所述,下載 ASoC Kubernetes IAST 代理程式。
  2. 解壓縮 ZIP 檔內容。
  3. 若要在 Kubernetes 叢集中安裝 IAST 代理程式:
    1. 執行 install-secagent-webhook.sh 指令碼。
      此指令碼會在叢集中安裝 MutatingAdmissionWebhook,接著在啟動時將 IAST 代理程式新增至每個 Pod。
    2. 若要套用 IAST 代理程式,請重新啟動任何現有的 Pod。
  4. 選擇性的: 您可以將 IAST 安裝程式配置為略過特定 Pod,或指定 Pod 的代理程式偵測語言。在執行 install-secagent-webhook.sh 指令碼之前,配置檔必須置於 "config" 資料夾中。
    配置範例可在解壓縮 zip 的 "examples" 資料夾中找到。
    { 
                            // don't install IAST agent on service1. Default for ignore is false 
                            "name":"service1", 
                            "namespace":"default", 
                            "ignore":true 
                            }, 
                            { 
                            // hint IAST installer that service2 is Java. Possible values: java, net-core, nodejs 
                            "name":"service2", 
                            "namespace":"my-namespace", 
                            "agents":["java"] 
                            }, 
  5. 若要檢視不同 Pod 回報之問題的 Pod 名稱,請參閱「問題詳細資料」標籤中的「其他資訊」區段。
  6. 若要在 Kubernetes 叢集中解除安裝 IAST 代理程式:
    1. 執行 uninstall-secagent-webhook.sh 指令碼。
    2. 若要完成解除安裝程序,您必須重新啟動任何執行中的 Pod,因為解除安裝期間不會自動從這些 Pod 中移除該代理程式。