3.8. 安全的集群配置选项

当您创建 Central 实例时,Operator 列出了 Central 自定义资源的以下配置选项。

3.8.1. 所需的配置设置

参数描述

centralEndpoint

用于连接的 Central 实例的端点,包括端口号。如果使用一个支持非 gRPC 的负载均衡器,请使用带有 ws:// 的端点地址的 WebSocket 协议。如果您没有为此参数指定值,则 Sensor 会尝试连接到在同一命名空间中运行的 Central 实例。

clusterName

此集群的唯一名称,显示在 RHACS 门户中。使用此参数设置名称后,您将无法再次更改它。要更改名称,您必须删除并重新创建对象。

3.8.2. 准入控制器设置

参数描述

admissionControl.listenOnCreates

指定 true 以启用创建对象的防止策略强制。默认值为 false

admissionControl.listenOnEvents

指定 true 来为 Kubernetes 事件启用监控和强制实施,如 port-forwardexec 事件。它用于通过 Kubernetes API 控制资源访问。默认值为 true

admissionControl.listenOnUpdates

指定 true 来为对象更新启用防止策略强制。除非将 Listen On Creates 设为 true, 否则它不会生效。默认值为 false

admissionControl.nodeSelector

如果您希望此组件只在特定节点上运行,您可以使用此参数配置节点选择器。

admissionControl.tolerations

如果节点选择器选择污点节点,请使用此参数指定污点容限键、值以及 Admission Control 的效果。此参数主要用于基础架构节点。

admissionControl.resources.limits

使用此参数覆盖准入控制器的默认资源限值。

admissionControl.resources.requests

使用此参数覆盖准入控制器的默认资源请求。

admissionControl.bypass

使用以下值之一配置绕过准入控制器强制:

  • BreakGlassAnnotation 允许通过 admission.stackrox.io/break-glass 注解绕过准入控制器。
  • Disabled 禁用安全集群绕过准入控制器强制实施的功能。

默认值为 BreakGlassAnnotation

admissionControl.contactImageScanners

使用以下值之一指定准入控制器是否必须连接到镜像扫描程序:

  • 如果缺少镜像的扫描结果,ScanIfMissing
  • DoNotScanInline 用来在处理准入请求时跳过扫描镜像。

默认值为 DoNotScanInline

admissionControl.timeoutSeconds

在将 Red Hat Advanced Cluster Security for Kubernetes 标记为失败前,使用这个参数指定 Red Hat Advanced Cluster Security for Kubernetes 的最大秒数。

3.8.3. 扫描程序配置

使用 Scanner 配置设置修改 OpenShift Container Registry(OCR)的本地集群扫描程序。

参数描述

scanner.analyzer.nodeSelector

将节点选择器标签指定为 label-key: label-value,以强制 Scanner 仅调度到具有指定标签的节点。

scanner.analyzer.resources.requests.memory

Scanner 容器的内存请求。使用此参数覆盖默认值。

scanner.analyzer.resources.requests.cpu

Scanner 容器的 CPU 请求。使用此参数覆盖默认值。

scanner.analyzer.resources.limits.memory

Scanner 容器的内存限值。使用此参数覆盖默认值。

scanner.analyzer.resources.limits.cpu

Scanner 容器的 CPU 限制。使用此参数覆盖默认值。

scanner.scaling.autoscaling

如果将此选项设置为 Disabled,Red Hat Advanced Cluster Security for Kubernetes 会禁用 Scanner 部署的自动扩展。默认值为 Enabled

scanner.scaling.minReplicas

自动扩展的最小副本数。默认值为 2

scanner.scaling.maxReplicas

自动扩展的最大副本数。默认值为 5

scanner.scaling.replicas

默认副本数。默认值为 3

scanner.Tolerations

如果节点选择器选择污点节点,请使用此参数为 Scanner 指定污点容限键、值和效果。

scanner.db.nodeSelector

将节点选择器标签指定为 label-key: label-value,以强制 Scanner DB 仅调度到具有指定标签的节点。

scanner.db.resources.requests.memory

Scanner DB 容器的内存请求。使用此参数覆盖默认值。

scanner.db.resources.requests.cpu

Scanner DB 容器的 CPU 请求。使用此参数覆盖默认值。

scanner.db.resources.limits.memory

Scanner DB 容器的内存限值。使用此参数覆盖默认值。

scanner.db.resources.limits.cpu

Scanner DB 容器的 CPU 限制。使用此参数覆盖默认值。

scanner.db.tolerations

如果节点选择器选择污点节点,请使用此参数为 Scanner DB 指定污点容限键、值和效果。

scanner.scannerComponent

如果将此选项设置为 Disabled,Red Hat Advanced Cluster Security for Kubernetes 不会部署 Scanner 部署。不要在 OpenShift Container Platform 集群上禁用 Scanner。默认值为 AutoSense

3.8.4. 镜像配置

在使用自定义 registry 时使用镜像配置设置。

参数描述

imagePullSecrets.name

拉取镜像时考虑的其他镜像 pull secret。

3.8.5. 针对每个节点的设置

针对每个节点的设置为在集群中的节点上运行的组件定义了一组配置设置,用于保护集群的安全。这些组件是 Collector 和 Compliance。

参数描述

perNode.collector.collection

系统级数据收集的方法。默认值为 EBPF。红帽建议将 EBPF 用于数据收集。如果您选择 NoCollection,Collector 不会报告关于网络活动和进程执行的任何信息。可用的选项有 NoCollectionEBPFKernelModule

perNode.collector.imageFlavor

用于 Collector 的镜像类型。您可以将它指定为 RegularSlimRegular 镜像大小较大,但包含大多数内核的内核模块。如果使用 Slim 镜像类型,您必须确保您的 Central 实例连接到互联网,或定期接收 Collector 支持软件包更新。默认值为 Slim

perNode.collector.resources.limits

使用此参数覆盖 Collector 的默认资源限值。

perNode.collector.resources.requests

使用此参数覆盖 Collector 的默认资源请求。

perNode.compliance.resources.requests

使用此参数覆盖 Compliance 的默认资源请求。

perNode.compliance.resources.limits

使用此参数覆盖 Compliance 的默认资源限值。

3.8.6. 污点容限设置

参数描述

taintToleration

为确保对集群进行全面监控,Red Hat Advanced Cluster Security for Kubernetes 在每个节点上运行服务,包括污点节点。如果您不希望此行为,将此参数设置为 AvoidTaints

3.8.7. Sensor 配置

此配置定义了 Sensor 组件的设置,该组件的设置在集群的一个节点上运行。

参数描述

sensor.nodeSelector

如果您希望 Sensor 仅在特定节点上运行,您可以配置节点选择器。

sensor.tolerations

如果节点选择器选择污点节点,请使用此参数指定污点容限键、值和 Sensor 的效果。此参数主要用于基础架构节点。

sensor.resources.limits

使用这个参数覆盖 Sensor 的默认资源限值。

sensor.resources.requests

使用这个参数覆盖 Sensor 的默认资源请求。

3.8.8. 常规设置和各种设置

参数描述

tls.additionalCAs

安全集群的其他可信 CA 证书。这些证书在使用私有证书颁发机构与服务集成时使用。

misc.createSCCs

把它设置为 true,以便为 Central 创建 SCC。它可能会在某些环境中出现问题。

customize.annotations

允许为 Central 部署指定自定义注解。

customize.envVars

用于配置环境变量的高级设置。

egress.connectivityPolicy

配置 Red Hat Advanced Cluster Security for Kubernetes 是否应该以在线或离线模式运行。在离线模式下,禁用对漏洞定义和内核模块的自动更新。