3.8. 安全的集群配置选项
当您创建 Central 实例时,Operator 列出了 Central 自定义资源的以下配置选项。
3.8.1. 所需的配置设置
| 参数 | 描述 |
|---|---|
|
|
用于连接的 Central 实例的端点,包括端口号。如果使用一个支持非 gRPC 的负载均衡器,请使用带有 |
|
| 此集群的唯一名称,显示在 RHACS 门户中。使用此参数设置名称后,您将无法再次更改它。要更改名称,您必须删除并重新创建对象。 |
3.8.2. 准入控制器设置
| 参数 | 描述 |
|---|---|
|
|
指定 |
|
|
指定 |
|
|
指定 |
|
| 如果您希望此组件只在特定节点上运行,您可以使用此参数配置节点选择器。 |
|
| 如果节点选择器选择污点节点,请使用此参数指定污点容限键、值以及 Admission Control 的效果。此参数主要用于基础架构节点。 |
|
| 使用此参数覆盖准入控制器的默认资源限值。 |
|
| 使用此参数覆盖准入控制器的默认资源请求。 |
|
| 使用以下值之一配置绕过准入控制器强制:
默认值为 |
|
| 使用以下值之一指定准入控制器是否必须连接到镜像扫描程序:
默认值为 |
|
| 在将 Red Hat Advanced Cluster Security for Kubernetes 标记为失败前,使用这个参数指定 Red Hat Advanced Cluster Security for Kubernetes 的最大秒数。 |
3.8.3. 扫描程序配置
使用 Scanner 配置设置修改 OpenShift Container Registry(OCR)的本地集群扫描程序。
| 参数 | 描述 |
|---|---|
|
|
将节点选择器标签指定为 |
|
| Scanner 容器的内存请求。使用此参数覆盖默认值。 |
|
| Scanner 容器的 CPU 请求。使用此参数覆盖默认值。 |
|
| Scanner 容器的内存限值。使用此参数覆盖默认值。 |
|
| Scanner 容器的 CPU 限制。使用此参数覆盖默认值。 |
|
|
如果将此选项设置为 |
|
|
自动扩展的最小副本数。默认值为 |
|
|
自动扩展的最大副本数。默认值为 |
|
|
默认副本数。默认值为 |
|
| 如果节点选择器选择污点节点,请使用此参数为 Scanner 指定污点容限键、值和效果。 |
|
|
将节点选择器标签指定为 |
|
| Scanner DB 容器的内存请求。使用此参数覆盖默认值。 |
|
| Scanner DB 容器的 CPU 请求。使用此参数覆盖默认值。 |
|
| Scanner DB 容器的内存限值。使用此参数覆盖默认值。 |
|
| Scanner DB 容器的 CPU 限制。使用此参数覆盖默认值。 |
|
| 如果节点选择器选择污点节点,请使用此参数为 Scanner DB 指定污点容限键、值和效果。 |
|
|
如果将此选项设置为 |
3.8.4. 镜像配置
在使用自定义 registry 时使用镜像配置设置。
| 参数 | 描述 |
|---|---|
|
| 拉取镜像时考虑的其他镜像 pull secret。 |
3.8.5. 针对每个节点的设置
针对每个节点的设置为在集群中的节点上运行的组件定义了一组配置设置,用于保护集群的安全。这些组件是 Collector 和 Compliance。
| 参数 | 描述 |
|---|---|
|
|
系统级数据收集的方法。默认值为 |
|
|
用于 Collector 的镜像类型。您可以将它指定为 |
|
| 使用此参数覆盖 Collector 的默认资源限值。 |
|
| 使用此参数覆盖 Collector 的默认资源请求。 |
|
| 使用此参数覆盖 Compliance 的默认资源请求。 |
|
| 使用此参数覆盖 Compliance 的默认资源限值。 |
3.8.6. 污点容限设置
| 参数 | 描述 |
|---|---|
|
|
为确保对集群进行全面监控,Red Hat Advanced Cluster Security for Kubernetes 在每个节点上运行服务,包括污点节点。如果您不希望此行为,将此参数设置为 |
3.8.7. Sensor 配置
此配置定义了 Sensor 组件的设置,该组件的设置在集群的一个节点上运行。
| 参数 | 描述 |
|---|---|
|
| 如果您希望 Sensor 仅在特定节点上运行,您可以配置节点选择器。 |
|
| 如果节点选择器选择污点节点,请使用此参数指定污点容限键、值和 Sensor 的效果。此参数主要用于基础架构节点。 |
|
| 使用这个参数覆盖 Sensor 的默认资源限值。 |
|
| 使用这个参数覆盖 Sensor 的默认资源请求。 |
3.8.8. 常规设置和各种设置
| 参数 | 描述 |
|---|---|
|
| 安全集群的其他可信 CA 证书。这些证书在使用私有证书颁发机构与服务集成时使用。 |
|
|
把它设置为 |
|
| 允许为 Central 部署指定自定义注解。 |
|
| 用于配置环境变量的高级设置。 |
|
| 配置 Red Hat Advanced Cluster Security for Kubernetes 是否应该以在线或离线模式运行。在离线模式下,禁用对漏洞定义和内核模块的自动更新。 |