Pre-requisiti
Prima di iniziare la distribuzione di Seqrite Data Privacy in un ambiente On-Premise, è fondamentale garantire che i seguenti prerequisiti siano soddisfatti e configurati:
- Terraform V1.4.2 deve essere installatoled sulla macchina da cui verranno eseguiti gli script (il sistema operativo di questa macchina dovrebbe essere Ubuntu). Questa macchina fungerà da host.
- vSphere dovrebbe essere accessibile dalla macchina host.
- Admin è necessario l'accesso a VMWare vSphere.
- Sono necessarie le seguenti informazioni da VMWare/vSphere:
- Nome utente vSphere (con Administrator accesso)
- password vSphere
- Host/IP vSphere
- Nome del datastore
- Nome del data center
- Nome del cluster
- Nome della rete
- Informazioni aggiuntive
- Indirizzo IPv4 (che verrà assegnato alla macchina appena creata)
- Dominio (questo verrà assegnato alla macchina)
- Maschera di rete IP
- Modelli di VM del sistema operativo Ubuntu 22.04
- Dominio e SSL (per esporre il dominio Discovery per una comunicazione sicura con il dominio Presentation)
Whitelist di URL e porte
Inserimento nella whitelist durante la distribuzione
Il Discovery Realm viene creato tramite uno script. Questo script, durante l'installazione, scarica alcuni componenti da Internet. Per facilitare questo processo, è essenziale inserire nella whitelist i seguenti URL:
Sr. No. | URL/Domini | porte | Commenti |
---|---|---|---|
1 | multivalore.github.io | 80, 443 | |
2 | *.github.com | 80, 443 | |
3 | piattaformagooglecloud.github.io | 80, 443 | |
4 | grafici.bitnami.com | 80, 443 | |
5 | gcr.io/spark-operator/spark-operator | 80, 443 | |
6 | auth.docker.io | 80, 443 | |
7 | indice.docker.io | 80, 443 | |
8 | hub.docker.com | 80, 443 | |
9 | production.cloudflare.docker.com | 80, 443 | |
10 | registro-1.docker.io | 80, 443 | |
11 | gcr.io | 80, 443 | |
12 | k8s.gcr.io | 80, 443 | |
13 | *.gcr.io | 80, 443 | Consenti tutti i sottodomini di questo dominio, poiché durante i download i dati provengono da vari sottodomini. |
14 | *.cloudfront.net | 80, 443 | Consenti tutti i sottodomini di CloudFront, poiché l'immagine Docker di Elasticsearch viene scaricata da URL dinamici. |
15 | docker.elastic.co | 80, 443 | |
16 | banchina.io | 80, 443 | |
17 | *.quay.io | 80, 443 | Tutti i sottodomini di quay.io devono essere inseriti nella whitelist. |
18 | access.redhat.com | 80, 443 | |
19 | cdn.quay.io | 80, 443 | |
20 | cdn01.quay.io | 80, 443 | |
21 | cdn02.quay.io | 80, 443 | |
22 | cdn03.quay.io | 80, 443 | |
23 | *.amazonaws.com | 80, 443 | Tutti gli URL dei servizi AWS devono essere inseriti nella whitelist. |
24 | api.segmento.io | 80, 443 | |
25 | api.snapcraft.io | 80, 443 | |
26 | *. snapcraft.io | 80, 443 | |
27 | asia-south1-docker.pkg.dev | 80, 443 | |
28 | *.pkg.dev | 80, 443 | |
29 | *.snapcraftcontent.com | 80, 443 | |
30 | *.cdn.snapcraftcontent.com | 80, 443 | |
31 | *.cloudflare.net | 80, 443 | |
32 | *.cdn.cloudflare.net | 80, 443 | |
33 | bussola.mongodb.com | 80, 443 | |
34 | *.cloudfront.net | 80, 443 | |
35 | *.ubuntu.com | 80, 443 | |
36 | dl.bintray.com | 80, 443 | |
37 | *.bintray.com | 80, 443 | |
38 | docker.elastic.co | 80, 443 | |
39 | docker-auth.ea-registry-production.elastic.co | 80, 443 | |
40 | docker-auth.elastic.co | 80, 443 | |
41 | *.elastic.co | 80, 443 | |
42 | ottenere.helm.sh | 80, 443 | |
43 | gethelm.azureedge.net | 80, 443 | |
44 | ghcr.io | 80, 443 | |
45 | googlecode.l.googleusercontent.com | 80, 443 | |
46 | *.googleusercontent.com | 80, 443 | |
47 | grafana.com | 80, 443 | |
48 | in.archivio.ubuntu.com | 80, 443 | |
49 | soloipv4.arpa | 80, 443 | |
50 | pkg-containers.githubusercontent.com | 80, 443 | |
51 | *. githubusercontent.com | 80, 443 | |
52 | *. docker.com | 80, 443 | |
53 | production.cloudflare.docker.com | 80, 443 | |
54 | raw.githubusercontent.com | 80, 443 | |
55 | registro.ea-registry-production.elastic.co | 80, 443 | |
56 | registro.k8s.io | 80, 443 | |
57 | repository1.maven.org | 80, 443 | |
58 | storage.googleapis.com | 80, 443 | |
59 | *.projectcalico.org | 80, 443 | |
60 | *.googleapis.com | 80, 443 | |
61 | registro.terraform.io | 80, 443 | |
62 | *.terraform.io | 80, 443 | |
63 | releases.hashicorp.com | 80, 443 | |
64 | *.hashicorp.com | 80, 443 |
Note: ☛
- Gli URL elencati sopra sono necessari solo per l'installazione di Discovery Realm. Dopo il completamento del processo di installazione, potrebbero essere rimossi dalla whitelist.
- Si consiglia di consentire tutti gli URL che iniziano con il dominio menzionato e i suoi sottodomini.
Whitelisting durante il ciclo di vita dell'applicazione
I seguenti URL sono essenziali per il recupero Seqrite Data Privacy build dall'Elastic Container Registry (ECR). Questo è un requisito fondamentale per il ripristino automatico di qualsiasi Seqrite Data Privacy componente distribuito all'interno di un contenitore nel cluster Kubernetes.
Sr. No. | URL/Domini | porte | Commentos |
---|---|---|---|
1 | 102539048997.dkr.ecr.ap-south-1.amazonaws.com | 80, 443 | |
2 | *.amazonaws.com | 80, 443 | Devono essere autorizzati tutti i sottodomini di AWS. |
3 | agente-hs-comunicazione.seqrite.com | 443 | Questo è un requisito per il flusso di lavoro dell'agente. |
4 | cbs.seqrite.com | 443 | Questo è un requisito per il flusso di lavoro dell'agente. |
5 | Italiano:seqrite.com | 443 | Questo è un requisito per il flusso di lavoro dell'agente. |
6 | Scarica Quickheal | 443, 80 | |
7 | dispositivo cbs.seqrite.com | 443 | |
8 | cbssicurato.seqrite.com | 443 | |
9 | 35bhfv3atb.execute-api.ap-south-1.amazonaws.com | 443 | |
10 | dlupdate.quickheal.com | 443 | |
11 | *.seqrite.com | 443 | |
12 | 3.111.89.140 | 80, 443 | Questa sarà una chiamata in entrata. Seqrite Data Privacy La presentazione richiamerà l'API Discovery Realm, ospitata in locale. |
Note: ☛
Sono consentiti tutti gli URL che iniziano con i domini e sottodomini sopra menzionati.
Inserimento nella whitelist dopo la distribuzione
L'applicazione di gestione dei dati basata sul browser, residente nel Presentation Realm e ospitata su Seqrite cloud, interagisce con il Discovery Realm effettuando chiamate API per recuperare dati a scopo di presentazione. Per abilitare questa comunicazione, il Discovery Realm dovrà essere esposto all'esterno creando regole appropriate nel firewall. La configurazione del firewall richiederà un IP sorgente. In questo contesto, l'indirizzo IP sorgente per le chiamate API dal Discovery Realm è 3.111.89.140.
Per accedere all'applicazione di gestione dati, aggiungere alla whitelist i seguenti URL:
Distribuzione di Seqrite Data Privacy
Prerequisiti
Prima di procedere, assicurati che siano soddisfatti i seguenti prerequisiti:
- Una macchina host con installazione Terraformled.
- Accesso al Seqrite Data Privacy procedura guidata di distribuzione con l'URL necessario.
- Un account utente di accesso sul computer host.
Procedura
Seguire questi passaggi per distribuire il Seqrite Data Privacy sul computer host.
Passo 1. Scarica il Seqrite Data Privacy Script di Terraformazione
- Passare all'URL specificato nel Seqrite Data Privacy procedura guidata di distribuzione.
- Scarica il file zip contenente lo script Terraform.
-
Salvare il file zip scaricato sul computer host nella directory /home/{USER}, dove {USER} rappresenta il nome utente di accesso.
Passaggio 2. Estrarre il file Zip scaricato
- Sul computer host, estrarre il file zip scaricato.
- Assicurarsi che la cartella estratta si chiami "qh_hawkkscan".
- La cartella dovrebbe trovarsi in /home/${USER}/qh_hawkkscan.
Passaggio 3. Generare la coppia di chiavi SSH
- Eseguire il seguente comando per creare una coppia di chiavi SSH:
ssh-keygen -t rsa
Verranno generate una chiave privata e una chiave pubblica.
Passaggio 4. Modifica la configurazione del nome host
- Individuare il file "hostname_vm.txt" nella cartella "qh_hawkkscan".
- Modificare questo file per aggiornare gli indirizzi IP e i nomi host delle macchine di destinazione secondo necessità.
Passaggio 5. Modificare i valori delle variabili Terraform
- Passare alla cartella "master" all'interno della directory "qh_hawkkscan": /home/${USER}/qh_hawkkscan/master.
- Modifica il file "terraform.tfvar" per aggiornare i seguenti valori delle variabili in base alle tue esigenze:
. vsphere_utente: L'account utente per vSphere con administrator privilegi.
. vsphere_passwd: Password per l'utente vSphere.
. vsphere_host: L'indirizzo IP o DNS nome del server vSphere.
. vsfera_dc: Nome del data center vSphere.
. vsfera_ds: Nome del datastore vSphere.
. cluster_sfera: Nome del cluster vSphere.
. rete_sfera: Nome della rete vSphere.
. temperatura_sfera: Nome del modello da utilizzare.
. nome_vm: Il nome desiderato per la macchina virtuale appena creata. Dovrebbe corrispondere al nome specificato nel file "hostname_vm.txt".
. cpu: Numero di CPU richieste per la macchina virtuale.
. memoria: Quantità di memoria (RAM) richiesta per la macchina virtuale.
. utente_locale: L'account utente sul computer locale in cui sono salvati Terraform e lo script.
. ip_macchina: L'indirizzo IP da assegnare alla macchina virtuale appena creata. Assicurarsi che corrisponda al nome specificato nel file "hostname_vm.txt".
. dominio: Nome di dominio da assegnare alla macchina virtuale appena creata.
. maschera di rete ipv4: Maschera di rete IPv4 per l'indirizzamento IP. - Nelle cartelle "worker1", "worker2" e "worker3", modifica il file "terraform.tfvar" in ogni cartella per aggiornare le stesse variabili menzionate sopra insieme alle seguenti variabili:
. indirizzo_principale: Si riferisce all'indirizzo IP della macchina master, che deve corrispondere all'indirizzo specificato nel file delle variabili master.
. utente_principale: Questo è il nome utente associato alla macchina master.
. password_principale: Questa password corrisponde alle credenziali di accesso della macchina master.
Passaggio 6. Inizializzare ed eseguire i comandi Terraform
- Dalla cartella master ("/home/${USER}/qh_hawkkscan/master") eseguire i seguenti comandi:
terraform init
terraform plan
terraform apply
- Dalla cartella worker1, worker2, worker3 eseguire i seguenti comandi:
terraform init
terraform plan
terraform apply
Fase 7: azioni post-distribuzione
- Dopo aver completato le distribuzioni, Discovery Realm verrà distribuito in locale.
- Per rendere Discovery Realm accessibile esternamente, configurare le regole del firewall necessarie.
- Configurare le impostazioni di dominio e SSL per la regola NAT del firewall per garantirne il corretto funzionamento.