3.8. 보안 클러스터 구성 옵션

중앙 인스턴스를 생성할 때 Operator는 중앙 사용자 정의 리소스에 대한 다음 구성 옵션을 나열합니다.

3.8.1. 필수 구성 설정

매개변수설명

centralEndpoint

포트 번호를 포함하여 연결할 중앙 인스턴스의 끝점입니다. 비GRPC 가능 로드 밸런서를 사용하는 경우 끝점 주소 앞에 wss://.를 접두사로 지정하여 WebSocket 프로토콜을 사용합니다. 이 매개 변수의 값을 지정하지 않으면 Sensor는 동일한 네임스페이스에서 실행 중인 중앙 인스턴스에 연결을 시도합니다.

clusterName

RHACS 포털에 표시되는 이 클러스터의 고유한 이름입니다. 이 매개변수를 사용하여 이름을 설정한 후에는 다시 변경할 수 없습니다. 이름을 변경하려면 오브젝트를 삭제하고 다시 생성해야 합니다.

3.8.2. 허용 컨트롤러 설정

매개변수설명

admissionControl.listenOnCreates

오브젝트 생성에 대한 예방 정책 시행을 활성화하려면 true 를 지정합니다. 기본값은 false입니다.

admissionControl.listenOnEvents

port-forwardexec 이벤트와 같은 Kubernetes 이벤트에 대한 모니터링 및 시행을 활성화하려면 true 를 지정합니다. Kubernetes API를 통해 리소스에 대한 액세스를 제어하는 데 사용됩니다. 기본값은 true입니다.

admissionControl.listenOnUpdates

오브젝트 업데이트에 대한 예방 정책 시행을 활성화하려면 true 를 지정합니다. Listen On Createstrue 로 설정되어 있지 않으면 영향을 미치지 않습니다. 기본값은 false입니다.

admissionControl.nodeSelector

이 구성 요소를 특정 노드에서만 실행하도록 하려면 이 매개변수를 사용하여 노드 선택기를 구성할 수 있습니다.

admissionControl.tolerations

노드 선택기에서 테인트된 노드를 선택하는 경우 이 매개변수를 사용하여 Admission Control에 대한 테인트 허용 오차 키, 값 및 효과를 지정합니다. 이 매개변수는 주로 인프라 노드에 사용됩니다.

admissionControl.resources.limits

이 매개변수를 사용하여 승인 컨트롤러의 기본 리소스 제한을 덮어씁니다.

admissionControl.resources.requests

이 매개변수를 사용하여 승인 컨트롤러에 대한 기본 리소스 요청을 덮어씁니다.

admissionControl.bypass

다음 값 중 하나를 사용하여 승인 컨트롤러 적용 우회를 구성합니다.

  • admission.stackrox.io/break-glass 주석을 통해 승인 컨트롤러를 바이패스할 수 있도록 BreakGlassAnnotation 을 사용합니다.
  • 보안 클러스터에 대한 승인 컨트롤러 시행을 바이패스하는 기능을 비활성화하려면 비활성화하십시오.

기본값은 BreakGlassAnnotation 입니다.

admissionControl.contactImageScanners

다음 값 중 하나를 사용하여 승인 컨트롤러가 이미지 스캐너에 연결해야 하는지 지정합니다.

  • 이미지의 검사 결과가 누락된 경우 ScanIfMissing
  • 승인 요청을 처리할 때 이미지를 건너뛰려면 DoNotScanInline 입니다.

기본값은 DoNotScanInline 입니다.

admissionControl.timeoutSeconds

이 매개변수를 사용하여 Kubernetes에 대한 최대 Red Hat Advanced Cluster Security에서 실패로 표시하기 전에 승인 검토를 기다려야 하는 최대 시간(초)을 지정합니다.

3.8.3. 스캐너 구성

스캐너 구성 설정을 사용하여 OpenShift Container Registry(OCR)의 로컬 클러스터 스캐너를 수정합니다.

매개변수설명

scanner.analyzer.nodeSelector

노드 선택기 레이블을 label-key: label-value 로 지정하여 scanner가 지정된 라벨이 있는 노드에서만 예약하도록 합니다.

scanner.analyzer.resources.requests.memory

scanner 컨테이너에 대한 메모리 요청입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다.

scanner.analyzer.resources.requests.cpu

scanner 컨테이너에 대한 CPU 요청입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다.

scanner.analyzer.resources.limits.memory

scanner 컨테이너의 메모리 제한입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다.

scanner.analyzer.resources.limits.cpu

scanner 컨테이너의 CPU 제한입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다.

scanner.scaling.autoscaling

이 옵션을 Disabled 로 설정하면 Red Hat Advanced Cluster Security for Kubernetes는 Scanner 배포에서 자동 스케일링을 비활성화합니다. 기본값은 Enabled 입니다.

scanner.scaling.minReplicas

자동 스케일링을 위한 최소 복제본 수입니다. 기본값은 2입니다.

scanner.scaling.maxReplicas

자동 스케일링을 위한 최대 복제본 수입니다. 기본값은 5 입니다.

scanner.scaling.replicas

기본 복제본 수입니다. 기본값은 3입니다.

scanner.Tolerations

노드 선택기에서 테인트된 노드를 선택하는 경우 이 매개변수를 사용하여 scanner에 대한 테인트 허용 오차 키, 값 및 효과를 지정합니다.

scanner.db.nodeSelector

노드 선택기 레이블을 label-key: label-value 로 지정하여 scanner DB가 지정된 라벨이 있는 노드에서만 예약하도록 합니다.

scanner.db.resources.requests.memory

scanner DB 컨테이너에 대한 메모리 요청입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다.

scanner.db.resources.requests.cpu

scanner DB 컨테이너에 대한 CPU 요청입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다.

scanner.db.resources.limits.memory

scanner DB 컨테이너의 메모리 제한입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다.

scanner.db.resources.limits.cpu

scanner DB 컨테이너의 CPU 제한입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다.

scanner.db.tolerations

노드 선택기에서 테인트된 노드를 선택하는 경우 이 매개변수를 사용하여 scanner DB에 대한 테인트 허용 오차 키, 값 및 효과를 지정합니다.

scanner.scannerComponent

이 옵션을 Disabled 로 설정하면 Red Hat Advanced Cluster Security for Kubernetes에서 Scanner 배포가 배포되지 않습니다. OpenShift Container Platform 클러스터에서 스캐너를 비활성화하지 마십시오. 기본값은 AutoSense 입니다.

3.8.4. 이미지 구성

사용자 정의 레지스트리를 사용할 때 이미지 구성 설정을 사용합니다.

매개변수설명

imagePullSecrets.name

이미지 가져오기를 위해 고려해야 할 추가 이미지 풀 시크릿입니다.

3.8.5. 노드별 설정

노드 설정별로 클러스터를 보호하기 위해 클러스터의 각 노드에서 실행되는 구성 요소의 구성 설정을 정의합니다. 이러한 구성 요소는 Collector 및 Compliance입니다.

매개변수설명

perNode.collector.collection

시스템 수준 데이터 수집 방법입니다. 기본값은 skopeo PF 입니다. Red Hat은 데이터 수집에 skopeoPF 를 사용하는 것이 좋습니다. NoECDHE를 선택하는 경우 Collector는 네트워크 활동 및 프로세스 실행에 대한 정보를 보고하지 않습니다. 사용 가능한 옵션은 NoECDHE,skopeoPFKernelModule 입니다.

perNode.collector.imageFlavor

수집기에 사용할 이미지 유형입니다. 이를 Regular 또는 S ECDHE로 지정할 수 있습니다. 일반 이미지의 크기는 더 크지만 대부분의 커널에서 커널 모듈이 포함되어 있습니다. 이미지 유형을 사용하는 경우 중앙 인스턴스가 인터넷에 연결되어 있는지 확인하거나 수집기 지원 패키지 업데이트를 받아야 합니다. 기본값은 S sizes입니다.

perNode.collector.resources.limits

이 매개변수를 사용하여 Collector의 기본 리소스 제한을 덮어씁니다.

perNode.collector.resources.requests

이 매개변수를 사용하여 Collector에 대한 기본 리소스 요청을 덮어씁니다.

perNode.compliance.resources.requests

이 매개변수를 사용하여 규정 준수에 대한 기본 리소스 요청을 덮어씁니다.

perNode.compliance.resources.limits

이 매개변수를 사용하여 Compliance에 대한 기본 리소스 제한을 덮어씁니다.

3.8.6. 테인트 허용 설정

매개변수설명

taintToleration

클러스터 활동을 포괄적으로 모니터링하기 위해 Kubernetes용 Red Hat Advanced Cluster Security는 기본적으로 테인트된 노드를 포함하여 클러스터의 모든 노드에서 서비스를 실행합니다. 이 동작을 원하지 않는 경우 이 매개변수에 AvoidTaints 를 지정합니다.

3.8.7. 센서 구성

이 구성은 클러스터의 하나의 노드에서 실행되는 센서 구성 요소의 설정을 정의합니다.

매개변수설명

sensor.nodeSelector

Sensor가 특정 노드에서만 실행되도록 하려면 노드 선택기를 구성할 수 있습니다.

sensor.tolerations

노드 선택기에서 테인트된 노드를 선택하는 경우 이 매개변수를 사용하여 Sensor에 대한 테인트 허용 오차 키, 값 및 효과를 지정합니다. 이 매개변수는 주로 인프라 노드에 사용됩니다.

sensor.resources.limits

이 매개변수를 사용하여 센서의 기본 리소스 제한을 덮어씁니다.

sensor.resources.requests

이 매개변수를 사용하여 센서에 대한 기본 리소스 요청을 덮어씁니다.

3.8.8. 일반 및 기타 설정

매개변수설명

tls.additionalCAs

보안 클러스터에 대한 신뢰할 수 있는 추가 CA 인증서입니다. 이러한 인증서는 개인 인증 기관을 사용하여 서비스와 통합할 때 사용됩니다.

misc.createSCCs

중앙에 대한 SCC를 만들려면 true 로 설정합니다. 일부 환경에서는 문제가 발생할 수 있습니다.

customize.annotations

중앙 배포에 대한 사용자 지정 주석을 지정할 수 있습니다.

customize.envVars

환경 변수를 구성하는 고급 설정입니다.

egress.connectivityPolicy

Kubernetes용 Red Hat Advanced Cluster Security가 온라인 또는 오프라인 모드에서 실행되어야 하는지 여부를 설정합니다. 오프라인 모드에서는 취약점 정의 및 커널 모듈에 대한 자동 업데이트가 비활성화됩니다.