5.3. コンプライアンス Operator のインストール
コンプライアンス Operator を使用する前に、これがクラスターにデプロイされていることを確認する必要があります。
5.3.1. Web コンソールを使用したコンプライアンス Operator のインストール
前提条件
-
admin
権限がある。
手順
-
OpenShift Container Platform Web コンソールで、Operators
OperatorHub ページに移動します。 - コンプライアンス Operator を検索し、Install をクリックします。
-
Installation mode および namespace のデフォルトの選択を維持し、Operator が
openshift-compliance
namespace にインストールされていることを確認します。 - Install をクリックします。
検証
インストールが正常に行われたことを確認するには、以下を実行します。
-
Operators
Installed Operators ページに移動します。 -
コンプライアンス Operator が
openshift-compliance
namespace にインストールされ、そのステータスがSucceeded
であることを確認します。
Operator が正常にインストールされていない場合、以下を実行します。
-
Operators
Installed Operators ページに移動し、 Status
列でエラーまたは失敗の有無を確認します。 -
Workloads
Pods ページに移動し、 openshift-compliance
プロジェクトの Pod で問題を報告しているログの有無を確認します。
restricted
なセキュリティーコンテキスト制約 (SCC) が system:authenticated
グループを含むように変更されているか、requiredDropCapabilities
を追加している場合、権限の問題により コンプライアンス Operator が正しく機能しない可能性があります。
ComplianceOperator スキャナー Pod サービスアカウント用のカスタム SCC を作成できます。詳細は Creating a custom SCC for the Compliance Operator を参照してください。
5.3.2. CLI を使用したコンプライアンス Operator のインストール
前提条件
-
admin
権限がある。
手順
Namespace
オブジェクトを定義します。namespace-object.yaml
の例apiVersion: v1 kind: Namespace metadata: labels: openshift.io/cluster-monitoring: "true" name: openshift-compliance
Namespace
オブジェクトを作成します。$ oc create -f namespace-object.yaml
OperatorGroup
オブジェクトを定義します。operator-group-object.yaml
の例apiVersion: operators.coreos.com/v1 kind: OperatorGroup metadata: name: compliance-operator namespace: openshift-compliance spec: targetNamespaces: - openshift-compliance
OperatorGroup
オブジェクトを作成します。$ oc create -f operator-group-object.yaml
Subscription
オブジェクトを定義します。subscription-object.yaml
の例apiVersion: operators.coreos.com/v1alpha1 kind: Subscription metadata: name: compliance-operator-sub namespace: openshift-compliance spec: channel: "release-0.1" installPlanApproval: Automatic name: compliance-operator source: redhat-operators sourceNamespace: openshift-marketplace
Subscription
オブジェクトを作成します。$ oc create -f subscription-object.yaml
グローバルスケジューラー機能を設定する際に、defaultNodeSelector
を有効にする場合、namespace を手動で作成し、openshift-compliance
のアノテーションを更新するか、または openshift.io/node-selector: “"
を使用してコンプライアンス Operator がインストールされている namespace のアノテーションを更新する必要があります。これにより、デフォルトのノードセレクターが削除され、デプロイメントの失敗を防ぐことができます。
検証
CSV ファイルを確認して、インストールが正常に完了したことを確認します。
$ oc get csv -n openshift-compliance
コンプライアンス Operator が稼働していることを確認します。
$ oc get deploy -n openshift-compliance
restricted
なセキュリティーコンテキスト制約 (SCC) が system:authenticated
グループを含むように変更されているか、requiredDropCapabilities
を追加している場合、権限の問題により コンプライアンス Operator が正しく機能しない可能性があります。
ComplianceOperator スキャナー Pod サービスアカウント用のカスタム SCC を作成できます。詳細は Creating a custom SCC for the Compliance Operator を参照してください。
5.3.3. 関連情報
- コンプライアンス Operator はネットワークが制限された環境でサポートされています。詳細は、ネットワークが制限された環境での Operator Lifecycle Manager の使用 を参照してください。