5.3. Compliance Operator のインストール
Compliance Operator を使用する前に、これがクラスターにデプロイされていることを確認する必要があります。
Compliance Operator は、OpenShift Dedicated、Red Hat OpenShift Service on AWS、Azure Red Hat OpenShift などのマネージドプラットフォームで誤った結果を報告する場合があります。詳細は、Red Hat ナレッジベースソリューション Red Hat Knowledgebase Solution #6983418 を参照してください。
5.3.1. Web コンソールを使用したCompliance Operator のインストール
前提条件
-
admin
権限がある。
手順
-
OpenShift Container Platform Web コンソールで、Operators
OperatorHub ページに移動します。 - Compliance Operator を検索し、Install をクリックします。
-
Installation mode および namespace のデフォルトの選択を維持し、Operator が
openshift-compliance
namespace にインストールされていることを確認します。 - Install をクリックします。
検証
インストールが正常に行われたことを確認するには、以下を実行します。
-
Operators
Installed Operators ページに移動します。 -
Compliance Operator が
openshift-compliance
namespace にインストールされ、そのステータスがSucceeded
であることを確認します。
Operator が正常にインストールされていない場合、以下を実行します。
-
Operators
Installed Operators ページに移動し、 Status
列でエラーまたは失敗の有無を確認します。 -
Workloads
Pods ページに移動し、 openshift-compliance
プロジェクトの Pod で問題を報告しているログの有無を確認します。
restricted
なセキュリティーコンテキスト制約 (SCC) が system:authenticated
グループを含むように変更されているか、requiredDropCapabilities
を追加している場合、権限の問題により Compliance Operator が正しく機能しない可能性があります。
ComplianceOperator スキャナー Pod サービスアカウント用のカスタム SCC を作成できます。詳細は Compliance Operator のカスタム SCC の作成 を参照してください。
5.3.2. CLI を使用したCompliance Operator のインストール
前提条件
-
admin
権限がある。
手順
Namespace
オブジェクトを定義します。namespace-object.yaml
の例apiVersion: v1 kind: Namespace metadata: labels: openshift.io/cluster-monitoring: "true" name: openshift-compliance
Namespace
オブジェクトを作成します。$ oc create -f namespace-object.yaml
OperatorGroup
オブジェクトを定義します。operator-group-object.yaml
の例apiVersion: operators.coreos.com/v1 kind: OperatorGroup metadata: name: compliance-operator namespace: openshift-compliance spec: targetNamespaces: - openshift-compliance
OperatorGroup
オブジェクトを作成します。$ oc create -f operator-group-object.yaml
Subscription
オブジェクトを定義します。subscription-object.yaml
の例apiVersion: operators.coreos.com/v1alpha1 kind: Subscription metadata: name: compliance-operator-sub namespace: openshift-compliance spec: channel: "stable" installPlanApproval: Automatic name: compliance-operator source: redhat-operators sourceNamespace: openshift-marketplace
Subscription
オブジェクトを作成します。$ oc create -f subscription-object.yaml
グローバルスケジューラー機能を設定する際に、defaultNodeSelector
を有効にする場合、namespace を手動で作成し、openshift-compliance
のアノテーションを更新するか、openshift.io/node-selector: “"
を使用してCompliance Operator がインストールされている namespace のアノテーションを更新する必要があります。これにより、デフォルトのノードセレクターが削除され、デプロイメントの失敗を防ぐことができます。
検証
CSV ファイルを確認して、インストールが正常に完了したことを確認します。
$ oc get csv -n openshift-compliance
Compliance Operator が稼働していることを確認します。
$ oc get deploy -n openshift-compliance
restricted
なセキュリティーコンテキスト制約 (SCC) が system:authenticated
グループを含むように変更されているか、requiredDropCapabilities
を追加している場合、権限の問題により Compliance Operator が正しく機能しない可能性があります。
ComplianceOperator スキャナー Pod サービスアカウント用のカスタム SCC を作成できます。詳細は コンプライアンス Operator のカスタム SCC の作成 を参照してください。
5.3.3. 関連情報
- Compliance Operator はネットワークが制限された環境でサポートされています。詳細は、ネットワークが制限された環境での Operator Lifecycle Manager の使用 を参照してください。