为华为云CCE集群安装Agent

操作场景

本指导适用于在华为云CCE集群上安装Agent，按照本指导配置完成后，HSS将在集群节点上安装Agent，随集群扩容会自动为新节点安装Agent，在集群缩容时同步卸载Agent。在CCE集群节点上安装Agent不仅提升了集群的安全防护能力，还简化了日常运维工作，是构建企业级容器服务环境的关键一步。

前提条件

为CCE集群安装Agent前，请先将CCEOperatePolicy权限授予HSS，详细操作请参见授权管理。

约束与限制

• 容器运行时限制：Docker、Containerd。
• 集群类型限制：CCE标准版、CCE Turbo版。
• 节点资源剩余要求：内存至少50MiB，CPU至少10m。
• 在集群上安装Agent时，HSS会在集群上创建HSS的命名空间。

为华为云CCE集群安装Agent

1. 登录企业主机安全控制台。
2. 在控制台左上角，单击图标，选择区域或项目。
3. 在左侧导航栏，选择“安装与配置 > 容器安装与配置”，进入“容器安装与配置”页面。
4. 在“集群”页签，单击“安装容器安全Agent”，弹出“容器资产接入与安装”对话框。
5. 选择“CCE集群安装”，并单击“开始配置”。
6. 勾选目标集群，并单击“下一步”。
7. 配置Agent相关参数。参数说明如表 Agent配置参数说明所示。

   表1 Agent配置参数说明

   参数名称	参数说明
   配置规则	选择Agent配置规则。 “默认规则”：容器运行时的sock地址为通用地址，Agent将默认安装在没有配置污点的节点上。 “自定义”：如果您的容器运行时sock地址非通用地址需要修改，或仅需要在指定的节点上安装Agent，可选择该规则。建议全选所有运行时类型。 注意： 如果容器运行时的sock地址不正确，可能导致集群接入HSS后，部分HSS功能不能正常使用。
   资源管理配置	根据选择的Agent配置规则类型不同，其可以配置的资源参数项不同。 当“配置规则”选择“默认配置”时，您可以选择Agent资源的“默认配置”方式或“自适应”方式。 当“配置规则”选择“自定义”时，Agent资源的配置仅支持“自定义”方式。
   高级配置	“配置规则”选择“自定义”时，支持配置以下参数。 节点选择器配置 填写需要安装Agent的节点标签的“键”和“值”，单击“确认添加”。不添加任何节点标签时，默认在所有没有配置污点的节点上安装Agent。 容忍度配置 如果在进行“节点选择器配置”时，添加了配有污点的节点标签，则请填写污点的“键”和值以及污点的效果，单击“确认添加”，允许在该节点上安装Agent。
   开启Agent自动升级	该选项默认为展开状态，是否开启该功能，根据您的业务需要来定。开启后，每日00:00～06:00，企业主机安全将自动升级低版本的Agent为最新版（包括但不限于新增功能、优化缺陷等），以便为您提供更好的服务。 当“配置规则”选择“默认配置”时，该选项默认已开启，您无法关闭该功能。 当“配置规则”选择“自定义”时，该选项默认已开启，但您可以根据业务需要选择关闭。

8. 配置完成，单击“确定”，开始安装HSS Agent。
9. 在集群列表中，查看集群状态为“运行中”，表示集群接入HSS成功。

相关文档

在为集群安装Agent成功后，请为其开启防护。