設定

手順

1. ca-setup.sh スクリプトをダウンロードします。

   注記
   • 新規インストールを行う場合は、ca-setup.sh スクリプトが central-bundle/central/scripts/ca-setup.sh の scripts ディレクトリーにあります。
   • OpenShift Container Platform クラスターにログインしたのと同じターミナルで ca-setup.sh スクリプトを実行する必要があります。

2. ca-setup.sh スクリプトを実行可能にします。

   $ chmod +x ca-setup.sh

3. 以下を追加します:

   1. 単一の証明書。-f (ファイル) オプションを使用します。

      $ ./ca-setup.sh -f <certificate>

      注記
      • PEM でエンコードされた証明書ファイル (拡張子は任意) を使用する必要があります。
      • -u (更新) オプションを -f オプションと一緒に使用して、以前に追加された証明書を更新することもできます。

   2. 一度に複数の証明書を作成し、ディレクトリー内のすべての証明書を移動してから、-d (ディレクトリー) オプションを使用します。

      $ ./ca-setup.sh -d <directory_name>

      注記
      • 拡張子が .crt または .pem の PEM エンコードされた証明書ファイルを使用する必要があります。
      • 各ファイルには、1 つの証明書のみが含まれている必要があります。
      • -u (更新) オプションを -d オプションと一緒に使用して、以前に追加された証明書を更新することもできます。

手順

1. RHACS ポータルで、証明書の有効期限を通知するバナー内のリンクをクリックして、新しいシークレットを含む YAML 設定ファイルをダウンロードします。シークレットには、証明書とキーの値が含まれます。

2. 次のコマンドを実行して、Central をインストールしたクラスターに新しい YAML 設定ファイルを適用します。

   $ oc apply -f <secret_file.yaml>

3. Central を再起動して、変更を適用します。

手順

1. バナーのリンクをクリックして、証明書とキー値を含む新しい OpenShift Container Platform シークレットを含む YAML 設定ファイルをダウンロードします。

2. 新しい YAML 設定ファイルを、Scanner をインストールしたクラスターに適用します。

   $ oc apply -f <secret_file.yaml>

3. Scanner を再起動して変更を適用します。

手順

1. RHACS ポータルで、Platform Configuration → System Configuration に移動します。
2. System Configuration ビューのヘッダーで、Edit をクリックします。
3. Login Configuration セクションにログインメッセージを入力します。
4. ログインメッセージを有効にするには、Login Configuration セクションのトグルをオンにします。
5. Save をクリックします。

手順

1. RHACS ポータルで、Platform Configuration → System Configuration に移動します。
2. System Configuration ビューのヘッダーで、Edit をクリックします。
3. Header Configuration セクションと Footer Configuration セクションで、ヘッダーとフッターのテキストを入力します。
4. ヘッダーとフッターの Text Color、Size、Background Color をカスタマイズします。
5. ヘッダーを有効にするには、Header Configuration セクションでトグルをオンにします。
6. フッターを有効にするには、Footer Configuration セクションでトグルをオンにします。
7. Save をクリックします。

1. 定義をダウンロードします。
2. 定義を Central にアップロードします。

1. 既存の Collector イメージ。
2. カーネルサポートパッケージ (Central にアップロードした場合)。
3. インターネット上で利用可能な Red Hat 操作のサーバー。Collector は、Central のネットワーク接続を使用してプローブを確認し、ダウンロードします。

手順

1. RHACS ポータルで、Platform Configuration → System Configuration に移動します。
2. System Configuration ビューのヘッダーで、Edit をクリックします。

3. Data Retention Configuration セクションで、各タイプのデータの日数を更新します。

   • すべてのランタイム違反
   • 解決されたデプロイフェーズ違反
   • 削除されたデプロイメントのランタイム違反

   • デプロイされなくなったイメージ

     注記

     あるタイプのデータを永久に保存するには、保存期間を 0 日に設定します。

4. Save をクリックします。

手順

1. パッチを作成し、ROX_PLAINTEXT_ENDPOINTS 環境変数を定義します。

   $ CENTRAL_PLAINTEXT_PATCH='
   spec:
     template:
       spec:
         containers:
         - name: central
           env:
           - name: ROX_PLAINTEXT_ENDPOINTS
             value: <endpoints_spec> 1
   '

   1

   <type>@<addr>:<port> の形式のエンドポイント仕様です。詳細については、前提条件セクションを参照してください。

2. ROX_PLAINTEXT_ENDPOINTS 環境変数を Central デプロイメントに追加します。

   $ oc -n stackrox patch deploy/central -p "$CENTRAL_PLAINTEXT_PATCH"

手順

1. RHACS ポータルで、Platform Configuration → Clusters に移動します。

2. Automatically upgrade secured clusters トグルを有効にします。

   注記

   新規インストールの場合、Automatically upgrade secured clusters トグルはデフォルトで有効になっています。

手順

1. RHACS ポータルで、Platform Configuration → Clusters に移動します。

2. Automatically upgrade secured clusters トグルを無効にします。

   注記

   新規インストールの場合、Automatically upgrade secured clusters トグルはデフォルトで有効になっています。

手順

1. RHACS ポータルで、Platform Configuration → Clusters に移動します。
2. アップグレードするクラスターの Upgrade status 列で、Upgrade available オプションを選択します。
3. 複数のクラスターを一度にアップグレードするには、更新するクラスターの Cluster 列のチェックボックスを選択します。
4. Upgrade をクリックします。

手順

1. RHACS ポータルで、Platform Configuration → System Configuration に移動します。
2. System Configuration ヘッダーで、Edit をクリックします。

3. Cluster deletion セクションでは、次のフィールドを設定できます。

   • Decommissioned cluster age: RHACS からの削除が検討される前にクラスターに到達できない日数。この日数の間、Central がクラスター上の Sensor にアクセスできない場合は、クラスターとそのすべてのリソースが削除されます。この機能を無効のままにする (デフォルトの動作) には、このフィールドに 0 を入力します。この機能を有効にするには、90 などのゼロ以外の数値を入力して、到達不能日数を設定します。

   • Ignore clusters which have labels: クラスターが削除されないようにするために、このセクションにキーおよび値を入力してラベルを設定できます。このラベルが付いたクラスターは、Decommissioned cluster age フィールドで設定された日数の間到達できなかったとしても、削除されません。

     • Key: クラスターに使用するラベルを入力します。

     • 値: キーに関連付けられた値を入力します。

       たとえば、実稼働クラスターが削除されないよう保持するために、cluster-type のキーと production の値を設定できます。

       注記

       Cluster deletion セクションで、Clusters which have Sensor Status: Unhealthy クリックして、Clusters リストページに移動します。このページはフィルタリングされ、削除の対象となる非アクティブなクラスターと、RHACS からの削除の時間枠が表示されます。

4. Save をクリックします。

手順

1. RHACS ポータルで、Platform Configuration → System Configuration に移動します。

2. Cluster deletion セクションで、Clusters which have Sensor Status: Unhealthy クリックして、Clusters リストページに移動します。このページはフィルター処理され、RHACS からの削除の対象となる非アクティブなクラスターと、削除の時間枠が表示されます。

   注記

   クラスターが非アクティブであると見なされた後にこの機能が有効になっている場合、削除までの日数のカウントは、機能が有効になった時点からではなく、クラスターが非アクティブになった時点から開始されます。削除したくない非アクティブなクラスターがある場合は、「クラスターの廃止の設定」セクションの説明に従ってラベルを設定できます。これらのラベルを持つクラスターは、システムが非アクティブなクラスターを削除するときに無視されます。

手順

1. 既存のシークレットを YAML ファイルとして保存します。

   $ oc -n stackrox get secret proxy-config \
     -o go-template='{{index .data "config.yaml" | \
     base64decode}}{{"\n"}}' > /tmp/proxy-config.yaml

2. インストール中にプロキシーを設定するセクションで指定されているように、YAML 設定ファイルで変更するフィールドを編集します。

3. 変更を保存した後、次のコマンドを実行してシークレットを置き換えます。

   $ oc -n stackrox create secret generic proxy-config \
     --from-file=config.yaml=/tmp/proxy-config.yaml -o yaml --dry-run | \
     oc label -f - --local -o yaml app.kubernetes.io/name=stackrox | \
     oc apply -f -

   重要
   • OpenShift Container Platform が変更を Central と Scanner に伝播するまで少なくとも 1 分待つ必要があります。
   • プロキシー設定を変更した後に発信接続に問題が発生した場合は、Central Pod と Scanner Pod を再起動する必要があります。

手順

1. デプロイメントバンドルディレクトリーから設定ファイル central/proxy-config-secret.yaml を開きます。

   注記

   Helm を使用している場合、設定ファイルは central/templates/proxy-config-secret.yaml にあります。

2. 設定ファイルで変更するフィールドを編集します。

   apiVersion: v1
   kind: Secret
   metadata:
     namespace: stackrox
     name: proxy-config
   type: Opaque
   stringData:
     config.yaml: |- 1
       # # NOTE: Both central and scanner should be restarted if this secret is changed.
       # # While it is possible that some components will pick up the new proxy configuration
       # # without a restart, it cannot be guaranteed that this will apply to every possible
       # # integration etc.
       # url: http://proxy.name:port 2
       # username: username 3
       # password: password 4
       # # If the following value is set to true, the proxy wil NOT be excluded for the default hosts:
       # # - *.stackrox, *.stackrox.svc
       # # - localhost, localhost.localdomain, 127.0.0.0/8, ::1
       # # - *.local
       # omitDefaultExcludes: false
       # excludes:  # hostnames (may include * components) for which you do not 5
       # # want to use a proxy, like in-cluster repositories.
       # - some.domain
       # # The following configuration sections allow specifying a different proxy to be used for HTTP(S) connections.
       # # If they are omitted, the above configuration is used for HTTP(S) connections as well as TCP connections.
       # # If only the `http` section is given, it will be used for HTTPS connections as well.
       # # Note: in most cases, a single, global proxy configuration is sufficient.
       # http:
       #   url: http://http-proxy.name:port 6
       #   username: username 7
       #   password: password 8
       # https:
       #   url: http://https-proxy.name:port 9
       #   username: username 10
       #   password: password 11

   3 4 7 8 10 11

   username と password の追加は、最初と http と https セクションの両方で任意に行うことができます。

   2 6 9

   url オプションは、次の URL スキームをサポートします。

   • HTTP プロキシーの場合は http://。
   • TLS が有効化された HTTP プロキシーの場合は https://。
   • SOCKS5 プロキシーの場合は socks5://。

   5

   excludes リストには、DNS 名 (* ワイルドカードの有無にかかわらず)、IP アドレス、または CIDR 表記の IP ブロック (たとえば、10.0.0.0/8) を含めることができます。このリストの値は、プロトコルに関係なく、すべての出力接続に適用されます。

   1

   stringData セクションの |- 行は、設定データの開始を示します。

   注記

   • 最初にファイルを開くと、すべての値がコメントアウトされます (行の先頭にある # 記号を使用)。二重ハッシュ記号で始まる行 # # には、設定キーの説明が含まれています。
   • フィールドを編集するときは、config.yaml: |- 行に対して 2 つのスペースのインデントレベルを維持していることを確認してください。

3. 設定ファイルを編集した後、通常のインストールを続行できます。更新された設定は、提供されたアドレスとポート番号で実行されているプロキシーを使用するように Red Hat Advanced Cluster Security for Kubernetes に指示します。

手順

1. RHACS ポータルで、Platform Configuration → System Health を選択します。
2. System Health ビューヘッダーで、Generate Diagnostic Bundle をクリックします。
3. Filter by clusters ドロップダウンメニューで、診断データを生成するクラスターを選択します。
4. Filter by starting time で、診断データを含める日付および時刻 (UTC 形式) を指定します。
5. Download Diagnostic Bundle をクリックします。

手順

1. central-bundle を生成した後、./central-bundle/central/02-endpoints-config.yaml ファイルを開きます。
2. このファイルで、キー endpoints.yaml の data: セクションにカスタム YAML 設定を追加します。YAML 設定用に 4 つのスペースインデントを維持していることを確認してください。
3. 通常どおりインストール手順を続行します。Red Hat Advanced Cluster Security for Kubernetes は、指定された設定を使用します。

手順

1. 既存の設定マップをダウンロードします。

   $ oc -n stackrox get cm/central-endpoints -o go-template='{{index .data "endpoints.yaml"}}'  > <directory_path>/central_endpoints.yaml

2. ダウンロードした central_endpoints.yaml ファイルで、カスタム YAML 設定を指定します。

3. 変更した central_endpoints.yaml 設定ファイルをアップロードして適用します。

   $ oc -n stackrox create cm central-endpoints --from-file=endpoints.yaml=<directory-path>/central-endpoints.yaml -o yaml --dry-run | \
   oc label -f - --local -o yaml app.kubernetes.io/name=stackrox | \
   oc apply -f -

4. Central を再起動します。

手順

1. allow-ext-to-central Kubernetes ネットワークポリシーのクローンを作成します。

   $ oc -n stackrox get networkpolicy.networking.k8s.io/allow-ext-to-central -o yaml > <directory_path>/allow-ext-to-central-custom-port.yaml

2. これを参照として使用してネットワークポリシーを作成し、そのポリシーで、公開するポート番号を指定します。ビルトインの allow-ext-to-central ポリシーを妨げないように、YAML ファイルの metadata セクションでネットワークポリシーの名前を変更してください。

手順

1. 次の値を使用して、values-public.yaml 設定ファイルを更新します。

   central.exposeMonitoring: true
   scanner.exposeMonitoring: true

2. helm upgrade コマンドを実行し、設定ファイルを指定します。

手順

1. RHACS ポータルで、Platform Configuration → Integrations に移動します。
2. Notifier Integrations セクションまでスクロールダウンし、Generic Webhook または Splunk を選択します。
3. 必要な情報を入力し、Enable Audit Logging を有効にするトグルをオンにします。

手順

1. RHACS ポータルで、Platform Configuration → Integrations に移動します。
2. Authentication Tokens カテゴリーまでスクロールし、API Token をクリックします。
3. Generate Token をクリックします。
4. トークンの名前を入力し、必要なレベルのアクセスを提供するロールを選択します (たとえば、Continuous Integration または Sensor Creator)。

5. Generate をクリックします。

   重要

   生成されたトークンをコピーして安全に保存します。再度表示することはできません。

手順

1. 次のコマンドを入力して権限セットを作成します。この例では、"restricted" という名前のアクセス許可セットを作成し、permission-set.yaml ファイルとして保存します。これは、Administration リソースの読み取りおよび書き込みアクセスと、アクセスリソースへの読み取りアクセスを設定します。

   $ roxctl declarative-config create permission-set \
   --name="restricted" \
   --description="Restriction permission set that only allows \
   access to Administration and Access resources" \
   --resource-with-access=Administration=READ_WRITE_ACCESS \
   --resource-with-access=Access=READ_ACCESS > permission-set.yaml

2. 次のコマンドを入力して、Administration と Access リソースへのアクセスを許可するロールを作成します。この例では、"restricted" という名前のロールを作成し、role.yaml ファイルとして保存します。

   $ roxctl declarative-config create role \
   --name="restricted" \
   --description="Restricted role that only allows access to Administration and Access" \
   --permission-set="restricted" \
   --access-scope="Unrestricted" > role.yaml

3. 次のコマンドを入力して、前の手順で作成した 2 つの YAML ファイルから config map を作成します。この例では、declarative-configurations config map を作成します。

   $ kubectl create configmap declarative-configurations \ 1
   --from-file permission-set.yaml --from-file role.yaml \
   -o yaml --namespace=stackrox > declarative-configs.yaml

   1

   OpenShift Container Platform の場合は、oc create を使用します。

4. 次のコマンドを入力して、config map を適用します。

   $ kubectl apply -f declarative-configs.yaml 1

   1

   OpenShift Container Platform の場合は、oc apply を使用します。

   config map を適用すると、Central から抽出された設定情報によってリソースが作成されます。

   注記

   次の段落で説明するように、監視間隔は 5 秒ですが、config map から中央マウントへの変更の伝播に遅延が発生する可能性があります。

   次の間隔を設定して、宣言的設定が Central とどのように対話するかを指定できます。

   • 設定監視間隔: Central が変更をチェックする間隔は 5 秒ごとです。この間隔は、ROX_DECLAATIVE_CONFIG_WATCH_INTERVAL 環境変数を使用して設定できます。
   • 調整間隔: デフォルトでは、Central との宣言的な設定調整は 20 秒ごとに行われます。この間隔は、ROX_DECLARATIVE_CONFIG_RECONCILE_INTERVAL 環境変数を使用して設定できます。

手順

1. RHACS ポータルで、Platform Configuration → Access Control → Auth providers タブに移動し、Invite users をクリックします。

2. Invite users ダイアログボックスで、次の情報を入力します。

   • Emails to invite: 招待するユーザーのメールアドレスを 1 つ以上入力します。対象の受信者に関連付けられた有効なメールアドレスであることを確認してください。

   • Provider: ドロップダウンリストから、招待された各ユーザーに使用するプロバイダーを選択します。

     重要
     • 利用可能な認証プロバイダーが 1 つしかない場合は、デフォルトで選択されます。
     • 複数の認証プロバイダーが使用可能で、そのうちの少なくとも 1 つが Red Hat SSO または Default Internal SSO である場合、そのプロバイダーがデフォルトで選択されます。
     • 複数の認証プロバイダーが使用可能であるが、そのどれも Red Hat SSO または Default Internal SSO ではない場合は、手動で 1 つを選択するように求められます。
     • 認証プロバイダーを設定していない場合は、警告メッセージが表示され、フォームが無効になります。Access Control セクションに進み、認証プロバイダーを設定します。
   • Role: ドロップダウンリストから、招待された各ユーザーに割り当てるロールを選択します。
3. Invite users をクリックします。
4. 確認ダイアログボックスで、選択したロールでユーザーが作成されたことを示す確認が表示されます。
5. 1 つ以上のメールアドレスとメッセージを独自のメールクライアントで作成したメールにコピーし、ユーザーに送信します。
6. Done をクリックします。

検証

1. RHACS ポータルで、Platform Configuration → Access Control → Auth providers タブに移動します。
2. ユーザーの招待に使用した認証プロバイダーを選択します。
3. Rules セクションまでスクロールダウンします。
4. ユーザーのメールと認証プロバイダーのロールがリストに追加されていることを確認します。