Red Hat SummitYou are viewing documentation for a release that is no longer maintained. To view the documentation for the most recent version, see the latest RHACS docs.
第1章 Red Hat Advanced Cluster Security for Kubernetes アーキテクチャー
Red Hat Advanced Cluster Security for Kubernetes アーキテクチャーおよび概念をご覧ください。
1.1. Red Hat Advanced Cluster Security for Kubernetes アーキテクチャーの概要
Red Hat Advanced Cluster Security for Kubernetes (RHACS) は、大規模なデプロイメントをサポートし、基盤となる OpenShift Container Platform ノードまたは Kubernetes ノードへの影響を最小限に抑えるように最適化された分散アーキテクチャーを使用します。OpenShift Container Platform または Kubernetes クラスターにコンテナーセットとして RHACS をインストールします。RHACS には、RHACS によって保護された各クラスターにインストールするサービスと、1 つのクラスターにインストールする集中型サービスが含まれます。
Red Hat Advanced Cluster Security for Kubernetes バージョン 3.69.1 以降
図1.1 OpenShift Container Platform 用のハイレベル Red Hat Advanced Cluster Security for Kubernetes アーキテクチャー
Red Hat Advanced Cluster Security for Kubernetes version 3.69 以前
Red Hat Advanced Cluster Security for Kubernetes バージョン 3.69 以前の場合、Scanner は、Central がインストールされているクラスターにのみインストールされます。
一元化されたサービス
一元化されたサービスを単一のクラスター (図 1 および 2 の クラスター 1) にインストールします。これらのサービスには、Central と Scanner の 2 つの主要コンポーネントが含まれます。
- Central: Central セントラルは、RHACS アプリケーション管理インターフェイスおよびサービスです。データの永続性、API インタラクション、およびユーザーインターフェース (RHACS ポータル) アクセスを処理します。同じ Central インスタンスを使用して、複数の OpenShift Container Platform または Kubernetes クラスターをセキュリティー保護できます。
- Scanner: Scanner は、コンテナーイメージとそれに関連するデータベースをスキャンするために Red Hat が開発および認定した脆弱性 Scanner です。すべてのイメージレイヤーを分析して、Common Vulnerabilities and Exposures (CVE) リストから既知の脆弱性をチェックします。Scanner は、パッケージマネージャーによってインストールされたパッケージおよび複数のプログラミング言語の依存関係の脆弱性も識別します。
Red Hat Advanced Cluster Security for Kubernetes バージョン 3.69.1 以降の Scanner アーキテクチャー
Red Hat Advanced Cluster Security for Kubernetes バージョン 3.69.1 以降を OpenShift Container Platform にインストールする場合は、セキュリティーで保護された各クラスターに軽量バージョンの Scanner をインストールして (図 1)、統合された OpenShift Container Registry (OCR) でイメージをスキャンできるようにします。
安全なクラスターサービス
Red Hat Advanced Cluster Security for Kubernetes (図 1 および 2 の Cluster N) を使用して、保護する各クラスターに保護されたクラスターサービスをインストールします。Central をインストールするクラスターも保護されており、これらのサービスが含まれています。
- Sensor: Sensor は、クラスターの分析と監視を担当するサービスです。これは、ポリシーの検出と適用のために OpenShift Container Platform または Kubernetes API サーバーとの対話を処理し、Collector と連携します。
- 管理コントローラー: 管理コントローラーは、ユーザーが RHACS のセキュリティーポリシーに違反するワークロードを作成するのを防ぎます。
- Collector: Collector は、クラスターノード上のコンテナーアクティビティーを分析および監視します。コンテナーの実行時間とネットワークアクティビティーに関する情報を収集し、収集したデータを Sensor に送信します。
- Scanner (OpenShift Container Platform バージョン 3.69.1 以降のみ):OpenShift Container Platform では、RHACS は各セキュアクラスターに軽量バージョンの Scanner をインストールし (図 1)、統合された OCR でイメージをスキャンできるようにします。
図 2 は、Scanner のみを中央にインストールする Kubernetes 環境のアーキテクチャーを示しています。
図1.2 Kubernetes 向け高レベル Red Hat Advanced Cluster Security for Kubernetes
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}