3.8. セキュアなクラスター設定オプション

Central インスタンスを作成すると、Operator は Central カスタムリソースの次の設定オプションを一覧表示します。

3.8.1. 必要な設定

パラメーター説明

centralEndpoint

ポート番号を含む、接続する Central インスタンスのエンドポイント。gRPC に対応していないロードバランサーを使用している場合は、エンドポイントアドレスの前に wss:// を付けて、WebSocket プロトコルを使用します。このパラメーターに値を指定しない場合、Sensor は同じ namespace で実行されている Central インスタンスに接続しようとします。

clusterName

RHACS ポータルに表示されるこのクラスターの一意の名前。このパラメーターを使用して名前を設定した後は、名前を再度変更することはできません。名前を変更するには、オブジェクトを削除して再作成する必要があります。

3.8.2. 受付コントローラーの設定

パラメーター説明

admissionControl.listenOnCreates

オブジェクト作成の予防ポリシーの適用を有効にするには、true を指定します。デフォルト値は false です。

admissionControl.listenOnEvents

true を指定すると、port-forward イベントや exec イベントなどの Kubernetes イベントのモニターリングと適用が有効になります。これは、Kubernetes API を介してリソースへのアクセスを制御するために使用されます。デフォルト値は true です。

admissionControl.listenOnUpdates

オブジェクトの更新に対する予防ポリシーの適用を有効にするには、true を指定します。Listen On Createstrue に設定されていない限り、効果はありません。デフォルト値は false です。

admissionControl.nodeSelector

このコンポーネントを特定のノードでのみ実行する場合は、このパラメーターを使用してノードセレクターを設定できます。

admissionControl.tolerations

ノードセレクターが taint されたノードを選択する場合は、このパラメーターを使用して、アドミッションコントロールの taint toleration キー、値、および effect を指定します。このパラメーターは、主にインフラストラクチャーノードに使用されます。

admissionControl.resources.limits

このパラメーターを使用して、アドミッションコントローラーのデフォルトのリソース制限をオーバーライドします。

admissionControl.resources.requests

このパラメーターを使用して、アドミッションコントローラーのデフォルトのリソースリクエストをオーバーライドします。

admissionControl.bypass

以下のいずれかの値を使用して、受付コントローラーの適用のバイパスを設定します。

  • BreakGlassAnnotation: admission.stackrox.io/break-glass アノテーションを使用した受付コントローラーのバイパスを有効にします。
  • Disabled は、セキュリティー保護されたクラスターの受付コントローラーの適用をバイパスする機能を無効にします。

デフォルト値は BreakGlassAnnotation です。

admissionControl.contactImageScanners

次のいずれかの値を使用して、アドミッションコントローラーをイメージ Scanner に接続する必要があるかどうかを指定します。

  • ScanIfMissing は、イメージのスキャン結果が欠落している場合です。
  • DoNotScanInline は、アドミッションリクエストのプロセス時にイメージのスキャンをスキップします。

デフォルト値は DoNotScanInline です。

admissionControl.timeoutSeconds

このパラメーターを使用して、Red Hat Advanced Cluster Security for Kubernetes がフェールオープンとしてマークする前にアドミッションレビューを待機する必要がある最大秒数を指定します。

3.8.3. Scanner 設定

Scanner 設定を使用して、OpenShift Container Registry (OCR) のローカルクラスター Scanner を変更します。

パラメーター説明

scanner.analyzer.nodeSelector

ノードセレクターラベルを label-key:label-value として指定して、指定されたラベルを持つノードでのみ Scanner をスケジュールするように強制します。

scanner.analyzer.resources.requests.memory

Scanner コンテナーのメモリーリクエスト。このパラメーターを使用して、デフォルト値をオーバーライドします。

scanner.analyzer.resources.requests.cpu

Scanner コンテナーの CPU リクエスト。このパラメーターを使用して、デフォルト値をオーバーライドします。

scanner.analyzer.resources.limits.memory

Scanner コンテナーのメモリー制限。このパラメーターを使用して、デフォルト値をオーバーライドします。

scanner.analyzer.resources.limits.cpu

Scanner コンテナーの CPU 制限。このパラメーターを使用して、デフォルト値をオーバーライドします。

scanner.scaling.autoscaling

このオプションを Disabled に設定すると、Red Hat Advanced Cluster Security for Kubernetes は Scanner デプロイメントでの自動スケーリングを無効にします。デフォルト値は Enabled です。

scanner.scaling.minReplicas

自動スケーリングのレプリカの最小数です。デフォルト値は 2 です。

scanner.scaling.maxReplicas

自動スケーリングのレプリカの最大数です。デフォルト値は 5 です。

scanner.scaling.replicas

レプリカのデフォルト数。デフォルト値は 3 です。

scanner.Tolerations

ノードセレクターが taint されたノードを選択する場合は、このパラメーターを使用して、Scanner の taint toleration キー、値、および effect を指定します。

scanner.db.nodeSelector

ノードセレクターラベルを label-key:label-value として指定して、Scanner DB が指定されたラベルを持つノードでのみスケジュールするように強制します。

scanner.db.resources.requests.memory

Scanner DB コンテナーのメモリーリクエスト。このパラメーターを使用して、デフォルト値をオーバーライドします。

scanner.db.resources.requests.cpu

Scanner DB コンテナーの CPU リクエスト。このパラメーターを使用して、デフォルト値をオーバーライドします。

scanner.db.resources.limits.memory

Scanner DB コンテナーのメモリー制限。このパラメーターを使用して、デフォルト値をオーバーライドします。

scanner.db.resources.limits.cpu

Scanner DB コンテナーの CPU 制限。このパラメーターを使用して、デフォルト値をオーバーライドします。

scanner.db.tolerations

ノードセレクターが taint されたノードを選択する場合は、このパラメーターを使用して、Scanner DB の taint toleration キー、値、および effect を指定します。

scanner.scannerComponent

このオプションを Disabled に設定すると、Red Hat Advanced Cluster Security for Kubernetes は Scanner デプロイメントをデプロイしません。OpenShift Container Platform クラスターで Scanner を無効にしないでください。デフォルト値は AutoSense です。

3.8.4. イメージ設定

カスタムレジストリーを使用している場合は、イメージ設定を使用します。

パラメーター説明

imagePullSecrets.name

イメージをプルするために考慮される追加のイメージプルシークレット。

3.8.5. ノードごとの設定

ノードごとの設定は、クラスターをセキュリティー保護するためにクラスター内の各ノードで実行されるコンポーネントの設定を定義します。これらのコンポーネントは、Collector と Compliance です。

パラメーター説明

perNode.collector.collection

システムレベルのデータ収集の方法。デフォルト値は EBPF です。Red Hat は、データ収集に EBPF を使用することを推奨します。NoCollection を選択した場合、Collector からネットワークアクティビティーおよびプロセス実行に関する情報は報告されません。利用可能なオプションは NoCollectionEBPF、および KernelModule です。

perNode.collector.imageFlavor

Collector に使用するイメージのタイプ。Regular または Slim として指定できます。Regular のイメージはサイズが大きくなりますが、ほとんどのカーネルのカーネルモジュールが含まれています。Slim イメージタイプを使用する場合は、Central インスタンスがインターネットに接続されていること、または Collector サポートパッケージの更新を定期的に受信していることを確認する必要があります。デフォルト値は Slim です。

perNode.collector.resources.limits

このパラメーターを使用して、Collector のデフォルトのリソース制限をオーバーライドします。

perNode.collector.resources.requests

このパラメーターを使用して、Collector のデフォルトのリソースリクエストをオーバーライドします。

perNode.compliance.resources.requests

このパラメーターを使用して、Compliance のデフォルトのリソースリクエストをオーバーライドします。

perNode.compliance.resources.limits

このパラメーターを使用して、Compliance のデフォルトのリソース制限をオーバーライドします。

3.8.6. Taint Tolerations の設定

パラメーター説明

taintToleration

クラスターアクティビティーを包括的にモニターリングするために、Red Hat Advanced Cluster Security for Kubernetes は、デフォルトで taint されたノードを含む、クラスター内のすべてのノードでサービスを実行します。この動作を望まない場合は、このパラメーターに AvoidTaints を指定してください。

3.8.7. Sensor 設定

この設定は、クラスター内の 1 つのノードで実行される Sensor コンポーネントの設定を定義します。

パラメーター説明

sensor.nodeSelector

Sensor を特定のノードでのみ実行する場合は、ノードセレクターを設定できます。

sensor.tolerations

ノードセレクターが taint されたノードを選択する場合は、このパラメーターを使用して、Sensor の taint toleration キー、値、および effect を指定します。このパラメーターは、主にインフラストラクチャーノードに使用されます。

sensor.resources.limits

このパラメーターを使用して、Sensor のデフォルトのリソース制限をオーバーライドします。

sensor.resources.requests

このパラメーターを使用して、Sensor のデフォルトのリソースリクエストをオーバーライドします。

3.8.8. 一般およびその他の設定

パラメーター説明

tls.additionalCAs

セキュアなクラスター用の追加の信頼できる CA 証明書。これらの証明書は、プライベート認証局を使用してサービスと統合するときに使用されます。

misc.createSCCs

Central の SCC を作成するには、これを true に設定します。一部の環境では問題が発生する可能性があります。

customize.annotations

Central デプロイメントのカスタムアノテーションを指定できます。

customize.envVars

環境変数を設定するための詳細設定。

egress.connectivityPolicy

Red Hat Advanced Cluster Security for Kubernetes をオンラインモードとオフラインモードのどちらで実行するかを設定します。オフラインモードでは、脆弱性定義とカーネルモジュールの自動更新は無効になります。