3.8. 보안 클러스터 구성 옵션
중앙 인스턴스를 생성할 때 Operator는 중앙 사용자 정의 리소스에 대한 다음 구성 옵션을 나열합니다.
3.8.1. 필수 구성 설정
| 매개변수 | 설명 |
|---|---|
|
|
포트 번호를 포함하여 연결할 중앙 인스턴스의 끝점입니다. 비GRPC 가능 로드 밸런서를 사용하는 경우 끝점 주소 앞에 |
|
| RHACS 포털에 표시되는 이 클러스터의 고유한 이름입니다. 이 매개변수를 사용하여 이름을 설정한 후에는 다시 변경할 수 없습니다. 이름을 변경하려면 오브젝트를 삭제하고 다시 생성해야 합니다. |
3.8.2. 허용 컨트롤러 설정
| 매개변수 | 설명 |
|---|---|
|
|
오브젝트 생성에 대한 예방 정책 시행을 활성화하려면 |
|
|
|
|
|
오브젝트 업데이트에 대한 예방 정책 시행을 활성화하려면 |
|
| 이 구성 요소를 특정 노드에서만 실행하도록 하려면 이 매개변수를 사용하여 노드 선택기를 구성할 수 있습니다. |
|
| 노드 선택기에서 테인트된 노드를 선택하는 경우 이 매개변수를 사용하여 Admission Control에 대한 테인트 허용 오차 키, 값 및 효과를 지정합니다. 이 매개변수는 주로 인프라 노드에 사용됩니다. |
|
| 이 매개변수를 사용하여 승인 컨트롤러의 기본 리소스 제한을 덮어씁니다. |
|
| 이 매개변수를 사용하여 승인 컨트롤러에 대한 기본 리소스 요청을 덮어씁니다. |
|
| 다음 값 중 하나를 사용하여 승인 컨트롤러 적용 우회를 구성합니다.
기본값은 |
|
| 다음 값 중 하나를 사용하여 승인 컨트롤러가 이미지 스캐너에 연결해야 하는지 지정합니다.
기본값은 |
|
| 이 매개변수를 사용하여 Kubernetes에 대한 최대 Red Hat Advanced Cluster Security에서 실패로 표시하기 전에 승인 검토를 기다려야 하는 최대 시간(초)을 지정합니다. |
3.8.3. 스캐너 구성
스캐너 구성 설정을 사용하여 OpenShift Container Registry(OCR)의 로컬 클러스터 스캐너를 수정합니다.
| 매개변수 | 설명 |
|---|---|
|
|
노드 선택기 레이블을 |
|
| scanner 컨테이너에 대한 메모리 요청입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다. |
|
| scanner 컨테이너에 대한 CPU 요청입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다. |
|
| scanner 컨테이너의 메모리 제한입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다. |
|
| scanner 컨테이너의 CPU 제한입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다. |
|
|
이 옵션을 |
|
|
자동 스케일링을 위한 최소 복제본 수입니다. 기본값은 |
|
|
자동 스케일링을 위한 최대 복제본 수입니다. 기본값은 |
|
|
기본 복제본 수입니다. 기본값은 |
|
| 노드 선택기에서 테인트된 노드를 선택하는 경우 이 매개변수를 사용하여 scanner에 대한 테인트 허용 오차 키, 값 및 효과를 지정합니다. |
|
|
노드 선택기 레이블을 |
|
| scanner DB 컨테이너에 대한 메모리 요청입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다. |
|
| scanner DB 컨테이너에 대한 CPU 요청입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다. |
|
| scanner DB 컨테이너의 메모리 제한입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다. |
|
| scanner DB 컨테이너의 CPU 제한입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다. |
|
| 노드 선택기에서 테인트된 노드를 선택하는 경우 이 매개변수를 사용하여 scanner DB에 대한 테인트 허용 오차 키, 값 및 효과를 지정합니다. |
|
|
이 옵션을 |
3.8.4. 이미지 구성
사용자 정의 레지스트리를 사용할 때 이미지 구성 설정을 사용합니다.
| 매개변수 | 설명 |
|---|---|
|
| 이미지 가져오기를 위해 고려해야 할 추가 이미지 풀 시크릿입니다. |
3.8.5. 노드별 설정
노드 설정별로 클러스터를 보호하기 위해 클러스터의 각 노드에서 실행되는 구성 요소의 구성 설정을 정의합니다. 이러한 구성 요소는 Collector 및 Compliance입니다.
| 매개변수 | 설명 |
|---|---|
|
|
시스템 수준 데이터 수집 방법입니다. 기본값은 skopeo |
|
|
수집기에 사용할 이미지 유형입니다. 이를 |
|
| 이 매개변수를 사용하여 Collector의 기본 리소스 제한을 덮어씁니다. |
|
| 이 매개변수를 사용하여 Collector에 대한 기본 리소스 요청을 덮어씁니다. |
|
| 이 매개변수를 사용하여 규정 준수에 대한 기본 리소스 요청을 덮어씁니다. |
|
| 이 매개변수를 사용하여 Compliance에 대한 기본 리소스 제한을 덮어씁니다. |
3.8.6. 테인트 허용 설정
| 매개변수 | 설명 |
|---|---|
|
|
클러스터 활동을 포괄적으로 모니터링하기 위해 Kubernetes용 Red Hat Advanced Cluster Security는 기본적으로 테인트된 노드를 포함하여 클러스터의 모든 노드에서 서비스를 실행합니다. 이 동작을 원하지 않는 경우 이 매개변수에 |
3.8.7. 센서 구성
이 구성은 클러스터의 하나의 노드에서 실행되는 센서 구성 요소의 설정을 정의합니다.
| 매개변수 | 설명 |
|---|---|
|
| Sensor가 특정 노드에서만 실행되도록 하려면 노드 선택기를 구성할 수 있습니다. |
|
| 노드 선택기에서 테인트된 노드를 선택하는 경우 이 매개변수를 사용하여 Sensor에 대한 테인트 허용 오차 키, 값 및 효과를 지정합니다. 이 매개변수는 주로 인프라 노드에 사용됩니다. |
|
| 이 매개변수를 사용하여 센서의 기본 리소스 제한을 덮어씁니다. |
|
| 이 매개변수를 사용하여 센서에 대한 기본 리소스 요청을 덮어씁니다. |
3.8.8. 일반 및 기타 설정
| 매개변수 | 설명 |
|---|---|
|
| 보안 클러스터에 대한 신뢰할 수 있는 추가 CA 인증서입니다. 이러한 인증서는 개인 인증 기관을 사용하여 서비스와 통합할 때 사용됩니다. |
|
|
중앙에 대한 SCC를 만들려면 |
|
| 중앙 배포에 대한 사용자 지정 주석을 지정할 수 있습니다. |
|
| 환경 변수를 구성하는 고급 설정입니다. |
|
| Kubernetes용 Red Hat Advanced Cluster Security가 온라인 또는 오프라인 모드에서 실행되어야 하는지 여부를 설정합니다. 오프라인 모드에서는 취약점 정의 및 커널 모듈에 대한 자동 업데이트가 비활성화됩니다. |