ホーム
製品
Red Hat Advanced Cluster Security for Kubernetes
3.74
インストール
5.5. Red Hat OpenShift での RHACS Cloud Service 用のセキュアなクラスターリソースのインストール

5.5. Red Hat OpenShift での RHACS Cloud Service 用のセキュアなクラスターリソースのインストール

Operator を使用して、セキュアなクラスターに RHACS Cloud Service をインストールできます。

次の手順を実行したことを確認します。

OpenShift Container Platform クラスターを作成し、Operator をインストールしました。
RHACS Cloud Service の ACS コンソールで、init バンドルを作成してダウンロードしました。
oc create コマンドを使用して、init バンドルを適用しました。
インストール中に、アドレスとポート番号を含む Central API Endpoint をメモしました。この情報を表示するには、クラウドコンソールのナビゲーションメニューから Advanced Cluster Security ACS Instances を選択し、作成した ACS インスタンスをクリックします。

次のいずれかの方法を使用して、セキュアなクラスターに RHACS をインストールできます。

Operator を使用する
Helm チャートを使用する
roxctl CLI を使用する (この方法を使用する必要がある特定のインストールが必要でない限り、この方法は使用しないでください)

5.5.1. Operator を使用したセキュアなクラスターへの RHACS のインストール
リンクのコピー

5.5.1.1. セキュアなクラスターサービスのインストール
リンクのコピー

SecuredCluster カスタムリソースを使用して、セキュアなクラスターサービスをクラスターにインストールできます。モニターする環境内のすべてのクラスターに、セキュリティーでセキュアなクラスターサービスをインストールする必要があります。

Important

セキュアクラスターサービスをインストールすると、コレクターもインストールされます。Unified Extensible Firmware Interface (UEFI) があり、Secure Boot が有効になっているシステムに Collector をインストールするには、カーネルモジュールが署名されておらず、UEFI ファームウェアが署名されていないパッケージをロードできないため、eBPF プローブを使用する必要があります。Collector は、開始時に Secure Boot ステータスを識別し、必要に応じて eBPF プローブに切り替えます。

前提条件

OpenShift Container Platform を使用している場合は、バージョン 4.6 以降をインストールする必要があります。
RHACS Operator をインストールしました。
init バンドルを生成し、クラスターに適用しました。

手順

OpenShift Container Platform Web コンソールで、Operators Installed Operators ページに移動します。
RHACS Operator をクリックします。
Operator details ページの central ナビゲーションメニューから Secured Cluster をクリックします。
Create SecuredCluster をクリックします。
Configure via フィールドで次のいずれかのオプションを選択します。
- Form view: 画面上のフィールドを使用してセキュアなクラスターを設定し、他のフィールドを変更する必要がない場合は、このオプションを使用します。
- YAML view: このビューを使用して、YAML ファイルを使用してセキュアなクラスターをセットアップします。YAML ファイルがウィンドウに表示され、その中のフィールドを編集できます。このオプションを選択した場合、ファイルの編集が終了したら、Create をクリックします。
Form view を使用している場合は、既定の名前を受け入れるか編集して、新しいプロジェクト名を入力します。デフォルト値は stackrox-secured-cluster-services です。
オプション: クラスターのラベルを追加します。
SecuredCluster カスタムリソースの一意の名前を入力します。
Central Endpoint には、Central インスタンスのアドレスとポート番号を入力します。たとえば、Central が https://central.example.com で利用できる場合は、central エンドポイントを central.example.com:443 として指定します。デフォルト値の central.stackrox.svc:443 は、セキュアなクラスターサービスと Central を同じクラスターにインストールした場合にのみ機能します。複数のクラスターを設定する場合は、デフォルト値を使用しないでください。代わりに、各クラスターの Central Endpoint 値を設定するときにホスト名を使用します。
- RHACS Cloud Service の場合、アドレスとポート番号を含む Central API Endpoint を使用します。この情報を表示するには、クラウドコンソールのナビゲーションメニューから Advanced Cluster Security ACS Instances を選択し、作成した ACS インスタンスをクリックします。
- セキュアなクラスターサービスと Central を同じクラスターにインストールする場合のみ、central.stackrox.svc:443 を使用します。
デフォルト値を受け入れるか、必要に応じてカスタム値を設定します。たとえば、カスタム証明書または信頼されていない CA を使用している場合は、TLS を設定する必要がある場合があります。
Create をクリックします。

次のステップ

オプション: 追加のセキュアなクラスター設定を設定します。
インストールの検証

5.5.2. Helm チャートを使用したセキュアなクラスターへの RHACS Cloud Service のインストール
リンクのコピー

Helm チャートをカスタマイズせずに使用するか、デフォルト値を使用するか、設定パラメーターをカスタマイズして、セキュアなクラスターに RHACS をインストールできます。

最初に、Helm チャートリポジトリーを追加していることを確認します。

5.5.2.1. Helm チャートリポジトリーの追加
リンクのコピー

手順

RHACS チャートリポジトリーを追加します。

helm repo add rhacs https://mirror.openshift.com/pub/rhacs/charts/

$ helm repo add rhacs https://mirror.openshift.com/pub/rhacs/charts/

Copy to Clipboard

Toggle word wrap

Red Hat Advanced Cluster Security for Kubernetes の Helm リポジトリーには、異なるコンポーネントをインストールするための Helm チャートが含まれています。

クラスターごと (Sensor および Admission Controller) およびノードごと (Collector) のコンポーネントをインストールするための Secured Cluster Services Helm チャート (secured-cluster-services)。
注記
モニターする各クラスターにクラスターごとのコンポーネントをデプロイし、モニターするすべてのノードにノードごとのコンポーネントをデプロイします。

検証

次のコマンドを実行して、追加されたチャートリポジトリーを確認します。
```
helm search repo -l rhacs/
```
```
$ helm search repo -l rhacs/
```
Copy to Clipboard Toggle word wrap

5.5.2.2. カスタマイズせずに Helm チャートを使用してセキュアなクラスターに RHACS Cloud Service をインストールする
リンクのコピー

5.5.2.2.1. カスタマイズせずに secured-cluster-services Helm チャートをインストールする
リンクのコピー

次の手順を使用して、secured-cluster-services Helm チャートをインストールし、クラスターごとおよびノードごとのコンポーネント (Sensor、アドミッションコントローラー、および Collector) をデプロイします。

Important

Unified Extensible Firmware Interface (UEFI) があり、Secure Boot が有効になっているシステムに Collector をインストールするには、カーネルモジュールが署名されておらず、UEFI ファームウェアが署名されていないパッケージをロードできないため、eBPF プローブを使用する必要があります。Collector は、開始時に Secure Boot ステータスを識別し、必要に応じて eBPF プローブに切り替えます。

前提条件

クラスターの RHACS init バンドルを生成しておく必要があります。
アドレスとポート番号を含む Central API Endpoint が必要です。この情報を表示するには、クラウドコンソールのナビゲーションメニューから Advanced Cluster Security ACS Instances を選択し、作成した ACS インスタンスをクリックします。

手順

Kubernetes ベースのクラスターで次のコマンドを実行します。

helm install -n stackrox --create-namespace \
    stackrox-secured-cluster-services rhacs/secured-cluster-services \
    -f <path_to_cluster_init_bundle.yaml> \
    --set clusterName=<name_of_the_secured_cluster> \
    --set centralEndpoint=<endpoint_of_central_service>

$ helm install -n stackrox --create-namespace \
    stackrox-secured-cluster-services rhacs/secured-cluster-services \
    -f <path_to_cluster_init_bundle.yaml> \


    --set clusterName=<name_of_the_secured_cluster> \
    --set centralEndpoint=<endpoint_of_central_service>


--set imagePullSecrets.username=<your redhat.com username> \
--set imagePullSecrets.password=<your redhat.com password>

Copy to Clipboard

Toggle word wrap

1: -f オプションを使用して、init バンドルのパスを指定します。
2: アドレスとポート番号を含む Central API エンドポイントを入力します。Advanced Cluster Security ACS Instances を選択し、作成した ACS インスタンスをクリックすると、Red Hat Hybrid Cloud Console コンソールでこの情報を再度表示できます。

5.5.2.3. カスタマイズによる secure-cluster-services Helm チャートの設定
リンクのコピー

helm install および helm upgrade コマンドで Helm チャート設定パラメーターを使用できます。これらのパラメーターは、--set オプションを使用するか、YAML 設定ファイルを作成することで指定します。

以下のファイルを作成して、Red Hat Advanced Cluster Security for Kubernetes をインストールするための Helm チャートを設定します。

パブリック設定ファイル values-public.yaml: このファイルを使用して、機密性の低いすべての設定オプションを保存します。
プライベート設定ファイル values-private.yaml: このファイルを使用して、機密性の高いすべての設定オプションを保存します。このファイルを安全に保管してください。

重要

Download Helm Values File Helm チャートを使用する場合、チャートの一部である values.yaml ファイルを変更しないでください。

5.5.2.3.1. 設定パラメーター
リンクのコピー

Expand

パラメーター	説明
`clusterName`	クラスターの名前です。
`centralEndpoint`	Central エンドポイントのアドレス (ポート番号を含む)。gRPC に対応していないロードバランサーを使用している場合は、エンドポイントアドレスの前に `wss://` を付けて、WebSocket プロトコルを使用します。複数のクラスターを設定する場合は、アドレスにホスト名を使用します (例: `central.example.com:443`)。
`sensor.endpoint`	ポート番号を含む Sensor エンドポイントのアドレスです。
`sensor.imagePullPolicy`	Sensor コンテナーのイメージプルポリシーです。
`sensor.serviceTLS.cert`	Sensor が使用する内部サービス間の TLS 証明書です。
`sensor.serviceTLS.key`	Sensor が使用する内部サービス間 TLS 証明書キーです。
`sensor.resources.requests.memory`	Sensor コンテナーのメモリーリクエストです。このパラメーターを使用して、デフォルト値をオーバーライドします。
`sensor.resources.requests.cpu`	Sensor コンテナーの CPU リクエストです。このパラメーターを使用して、デフォルト値をオーバーライドします。
`sensor.resources.limits.memory`	Sensor コンテナーのメモリー制限です。このパラメーターを使用して、デフォルト値をオーバーライドします。
`sensor.resources.limits.cpu`	センサーコンテナーの CPU 制限です。このパラメーターを使用して、デフォルト値をオーバーライドします。
`sensor.nodeSelector`	ノードセレクターラベルを `label-key:label-value` として指定して、Sensor が指定されたラベルを持つノードでのみスケジュールするように強制します。
`sensor.tolerations`	ノードセレクターが taint されたノードを選択する場合は、このパラメーターを使用して、Sensor の taint toleration キー、値、および effect を指定します。このパラメーターは、主にインフラストラクチャーノードに使用されます。
`image.main.name`	`main` イメージの名前です。
`image.collector.name`	Collector イメージの名前です。
`image.main.registry`	main イメージに使用しているレジストリーのアドレスです。
`image.collector.registry`	Collector イメージに使用しているレジストリーのアドレスです。
`image.main.pullPolicy`	`main` イメージのイメージプルポリシーです。
`image.collector.pullPolicy`	Collector イメージのイメージプルポリシーです。
`image.main.tag`	使用する `main` イメージのタグです。
`image.collector.tag`	使用する `collector` イメージのタグです。
`collector.collectionMethod`	`EBPF`、`KERNEL_MODULE`、または `NO_COLLECTION` のいずれかです。
`collector.imagePullPolicy`	Collector コンテナーのイメージプルポリシーです。
`collector.complianceImagePullPolicy`	Compliance コンテナーのイメージプルポリシーです。
`collector.disableTaintTolerations`	`false` を指定すると、許容値が Collector に適用され、Collector Pod は taint のあるすべてのノードにスケジュールできます。`true` として指定すると、許容値は適用されず、Collector Pod は taint のあるノードにスケジュールされません。
`collector.resources.requests.memory`	Collector コンテナーのメモリーリクエストです。このパラメーターを使用して、デフォルト値をオーバーライドします。
`collector.resources.requests.cpu`	Collector コンテナーの CPU リクエストです。このパラメーターを使用して、デフォルト値をオーバーライドします。
`collector.resources.limits.memory`	Collector コンテナーのメモリー制限です。このパラメーターを使用して、デフォルト値をオーバーライドします。
`collector.resources.limits.cpu`	Collector コンテナーの CPU 制限です。このパラメーターを使用して、デフォルト値をオーバーライドします。
`collector.complianceResources.requests.memory`	Compliance コンテナーのメモリーリクエストです。このパラメーターを使用して、デフォルト値をオーバーライドします。
`collector.complianceResources.requests.cpu`	Compliance の CPU リクエストです。このパラメーターを使用して、デフォルト値をオーバーライドします。
`collector.complianceResources.limits.memory`	Compliance コンテナーのメモリー制限です。このパラメーターを使用して、デフォルト値をオーバーライドします。
`collector.complianceResources.limits.cpu`	Compliance コンテナーの CPU 制限です。このパラメーターを使用して、デフォルト値をオーバーライドします。
`collector.serviceTLS.cert`	Collector が使用する内部サービス間 TLS 証明書です。
`collector.serviceTLS.key`	Collector が使用する内部サービス間 TLS 証明書キーです。
`admissionControl.listenOnCreates`	この設定は、Kubernetes がワークロード作成イベントの `AdmissionReview` リクエストで Red Hat Advanced Cluster Security for Kubernetes に接続するように設定されているかどうかを制御します。
`admissionControl.listenOnUpdates`	このパラメーターを `false` に設定すると、Red Hat Advanced Cluster Security for Kubernetes は、Kubernetes API サーバーがオブジェクト更新イベントを送信しないように `ValidatingWebhookConfiguration` を作成します。オブジェクトの更新ボリュームは通常、オブジェクトが作成するボリュームよりも多いため、これを `false` のままにしておくと、アドミッションコントロールサービスのロードが制限され、アドミッションコントロールサービスが誤動作する可能性が低くなります。
`admissionControl.listenOnEvents`	この設定は、クラスターが Kubernetes `exec` および `portforward` イベントの `AdmissionReview` リクエストで Red Hat Advanced Cluster Security for Kubernetes に接続するように設定されているかどうかを制御します。Red Hat Advanced Cluster Security for Kubernetes は、OpenShift Container Platform 3.11 でこの機能をサポートしていません。
`admissionControl.dynamic.enforceOnCreates`	この設定は、Red Hat Advanced Cluster Security for Kubernetes がポリシーを評価するかどうかを制御します。無効にすると、すべての AdmissionReview リクエストが自動的に受け入れられます。
`admissionControl.dynamic.enforceOnUpdates`	この設定は、アドミッションコントロールサービスの動作を制御します。これを機能させるには、`listenOnUpdates` を `true` として指定する必要があります。
`admissionControl.dynamic.scanInline`	このオプションを `true` に設定すると、アドミッションコントロールサービスは、アドミッションデシジョンを行う前にイメージスキャンをリクエストします。イメージスキャンには数秒かかるため、このオプションを有効にするのは、クラスターで使用されるすべてのイメージがデプロイ前にスキャンされることを確認できる場合のみです (たとえば、イメージビルド中の CI 統合によって)。このオプションは、RHACS ポータルの Contact image scanners オプションに対応しています。
`admissionControl.dynamic.disableBypass`	アドミッションコントローラーのバイパスを無効にするには、`true` に設定します。
`admissionControl.dynamic.timeout`	アドミッションレビューリクエストを評価する間、Red Hat Advanced Cluster Security for Kubernetes が待機する最大時間 (秒単位) です。これを使用して、イメージスキャンを有効にするときにリクエストのタイムアウトを設定します。イメージスキャンが指定された時間より長く実行される場合、Red Hat Advanced Cluster Security for Kubernetes はリクエストを受け入れます。
`admissionControl.resources.requests.memory`	Admission Control コンテナーのメモリーリクエストです。このパラメーターを使用して、デフォルト値をオーバーライドします。
`admissionControl.resources.requests.cpu`	Admission Control コンテナーの CPU リクエストです。このパラメーターを使用して、デフォルト値をオーバーライドします。
`admissionControl.resources.limits.memory`	Admission Control コンテナーのメモリー制限です。このパラメーターを使用して、デフォルト値をオーバーライドします。
`admissionControl.resources.limits.cpu`	Admission Control コンテナーの CPU 制限です。このパラメーターを使用して、デフォルト値をオーバーライドします。
`admissionControl.nodeSelector`	ノードセレクターラベルを `label-key:label-value` として指定して、指定されたラベルを持つノードでのみ Admission Control をスケジュールするように強制します。
`admissionControl.tolerations`	ノードセレクターが taint されたノードを選択する場合は、このパラメーターを使用して、アドミッションコントロールの taint toleration キー、値、および effect を指定します。このパラメーターは、主にインフラストラクチャーノードに使用されます。
`admissionControl.serviceTLS.cert`	Admission Control が使用する内部サービス間 TLS 証明書です。
`admissionControl.serviceTLS.key`	Admission Control が使用する内部サービス間 TLS 証明書キーです。
`registryOverride`	このパラメーターを使用して、デフォルトの `docker.io` レジストリーをオーバーライドします。他のレジストリーを使用している場合は、レジストリーの名前を指定してください。
`collector.disableTaintTolerations`	`false` を指定すると、許容値が Collector に適用され、Collector Pod は taint のあるすべてのノードにスケジュールできます。`true` として指定した場合、許容値は適用されず、Collector Pod は taint のあるノードにスケジュールされません。
`createUpgraderServiceAccount`	`true` を指定して、`sensor-upgrader` アカウントを作成します。デフォルトでは、Red Hat Advanced Cluster Security for Kubernetes は、セキュアなクラスターごとに `sensor-upgrader` と呼ばれるサービスアカウントを作成します。このアカウントは高い権限を持ちますが、アップグレードの時のみ使用されます。このアカウントを作成しない場合、Sensor に十分な権限がない場合は、将来のアップグレードを手動で完了する必要があります。
`createSecrets`	`false` を指定すると、Sensor、Collector、および、アドミッションコントローラーのオーケストレーターシークレットの作成がスキップされます。
`collector.slimMode`	Collector のデプロイにスリムな Collector イメージを使用する場合は、`true` を指定します。slim Collector イメージを使用するには、一致する eBPF プローブまたはカーネルモジュールを提供する必要があります。Red Hat Advanced Cluster Security for Kubernetes をオフラインモードで実行している場合、スリム Collector が機能するには、stackrox.io からカーネルサポートパッケージをダウンロードして Central にアップロードする必要があります。それ以外の場合は、Central が https://collector-modules.stackrox.io/ でホストされているオンラインプローブリポジトリーにアクセスできることを確認する必要があります。
`sensor.resources`	Sensor のリソース仕様です。
`admissionControl.resources`	アドミッションコントローラーのリソース仕様です。
`collector.resources`	Collector のリソース仕様です。
`collector.complianceResources`	Collector の Compliance コンテナーのリソース仕様です。
`exposeMonitoring`	このオプションを `true` に設定すると、Red Hat Advanced Cluster Security for Kubernetes は、Sensor、Collector,、およびアドミッションコントローラーのポート番号 9090 で Prometheus メトリクスエンドポイントを公開します。
`auditLogs.disableCollection`	このオプションを `true` に設定すると、Red Hat Advanced Cluster Security for Kubernetes は、設定マップとシークレットへのアクセスと変更を検出するために使用される監査ログ検出機能を無効にします。
`scanner.disable`	このオプションを `false` に設定すると、Red Hat Advanced Cluster Security for Kubernetes は、セキュアなクラスターに軽量な Scanner と Scanner DB をデプロイして、OpenShift Container Registry でイメージをスキャンできるようにします。Scanner の有効化は、OpenShift でのみサポートされます。デフォルト値は `true` です。
`scanner.dbTolerations`	ノードセレクターが taint されたノードを選択する場合は、このパラメーターを使用して、Scanner DB の taint toleration キー、値、および effect を指定します。
`scanner.replicas`	Collector の Compliance コンテナーのリソース仕様です。
`scanner.logLevel`	このパラメーターを設定すると、Scanner のログレベルを変更できます。このオプションは、トラブルシューティングの目的でのみ使用してください。
`scanner.autoscaling.disable`	このオプションを `true` に設定すると、Red Hat Advanced Cluster Security for Kubernetes は Scanner のデプロイメントでの自動スケーリングを無効にします。
`scanner.autoscaling.minReplicas`	自動スケーリングのレプリカの最小数です。デフォルトは 2 です。
`scanner.autoscaling.maxReplicas`	自動スケーリングのレプリカの最大数です。デフォルトは 5 です。
`scanner.nodeSelector`	ノードセレクターラベルを `label-key:label-value` として指定して、指定されたラベルを持つノードでのみ Scanner をスケジュールするように強制します。
`scanner.tolerations`	ノードセレクターが taint されたノードを選択する場合は、このパラメーターを使用して、Scanner の taint toleration キー、値、および effect を指定します。
`scanner.dbNodeSelector`	ノードセレクターラベルを `label-key:label-value` として指定して、Scanner DB が指定されたラベルを持つノードでのみスケジュールするように強制します。
`scanner.dbTolerations`	ノードセレクターが taint されたノードを選択する場合は、このパラメーターを使用して、Scanner DB の taint toleration キー、値、および effect を指定します。
`scanner.resources.requests.memory`	Scanner コンテナーのメモリーリクエスト。このパラメーターを使用して、デフォルト値をオーバーライドします。
`scanner.resources.requests.cpu`	Scanner コンテナーの CPU リクエスト。このパラメーターを使用して、デフォルト値をオーバーライドします。
`scanner.resources.limits.memory`	Scanner コンテナーのメモリー制限。このパラメーターを使用して、デフォルト値をオーバーライドします。
`scanner.resources.limits.cpu`	Scanner コンテナーの CPU 制限。このパラメーターを使用して、デフォルト値をオーバーライドします。
`scanner.dbResources.requests.memory`	Scanner DB コンテナーのメモリーリクエスト。このパラメーターを使用して、デフォルト値をオーバーライドします。
`scanner.dbResources.requests.cpu`	Scanner DB コンテナーの CPU リクエスト。このパラメーターを使用して、デフォルト値をオーバーライドします。
`scanner.dbResources.limits.memory`	Scanner DB コンテナーのメモリー制限。このパラメーターを使用して、デフォルト値をオーバーライドします。
`scanner.dbResources.limits.cpu`	Scanner DB コンテナーの CPU 制限。このパラメーターを使用して、デフォルト値をオーバーライドします。

5.5.2.3.1.1. 環境変数
リンクのコピー

Sensor と、アドミッションコントローラーの環境変数は、次の形式で指定できます。

customize:
  envVars:
    ENV_VAR1: "value1"
    ENV_VAR2: "value2"

customize:
  envVars:
    ENV_VAR1: "value1"
    ENV_VAR2: "value2"

Copy to Clipboard

Toggle word wrap

customize 設定を使用すると、この Helm チャートによって作成されたすべてのオブジェクトのカスタム Kubernetes メタデータ (ラベルとアノテーション) と、ワークロードの追加の Pod ラベル、Pod アノテーション、コンテナー環境変数を指定できます。

より一般的なスコープ (たとえば、すべてのオブジェクト) で定義されたメタデータを、より狭いスコープ (たとえば、Sensor デプロイメントのみ) で定義されたメタデータでオーバーライドできるという意味で、設定は階層的です。

5.5.2.3.2. secure-cluster-services Helm チャートのインストール
リンクのコピー

values-public.yaml ファイルと values-private.yaml ファイルを設定した後、secured-cluster-services Helm チャートをインストールして、クラスターごと、およびノードごとのコンポーネント (Sensor、アドミッションコントローラー、Collector) をデプロイします。

Important

前提条件

クラスターの RHACS init バンドルを生成しておく必要があります。
アドレスとポート番号を含む Central API Endpoint が必要です。この情報を表示するには、クラウドコンソールのナビゲーションメニューから Advanced Cluster Security ACS Instances を選択し、作成した ACS インスタンスをクリックします。

手順

以下のコマンドを実行します。

helm install -n stackrox --create-namespace \
  stackrox-secured-cluster-services rhacs/secured-cluster-services \
  -f <name_of_cluster_init_bundle.yaml> \
  -f <path_to_values_public.yaml> -f <path_to_values_private.yaml>

$ helm install -n stackrox --create-namespace \
  stackrox-secured-cluster-services rhacs/secured-cluster-services \
  -f <name_of_cluster_init_bundle.yaml> \
  -f <path_to_values_public.yaml> -f <path_to_values_private.yaml>

Copy to Clipboard

Toggle word wrap

1: -f オプションを使用して、YAML 設定ファイルのパスを指定します。

注記

継続的インテグレーション (CI) システムを使用して secured-cluster-services Helm チャートをデプロイするには、init バンドル YAML ファイルを環境変数として helm install コマンドに渡します。

helm install ... -f <(echo "$INIT_BUNDLE_YAML_SECRET")

$ helm install ... -f <(echo "$INIT_BUNDLE_YAML_SECRET")

Copy to Clipboard

Toggle word wrap

1: base64 でエンコードされた変数を使用している場合は、代わりに helm install … -f <(echo "$INIT_BUNDLE_YAML_SECRET" | base64 --decode) コマンドを使用してください。

5.5.2.4. secure-cluster-services Helm チャートをデプロイした後の設定オプションの変更
リンクのコピー

secure-cluster-services Helm チャートをデプロイした後、任意の設定オプションに変更を加えることができます。

手順

values-public.yaml および values-private.yaml 設定ファイルを新しい値で更新します。
helm upgrade コマンドを実行し、-f オプションを使用して設定ファイルを指定します。
```
helm upgrade -n stackrox \
  stackrox-secured-cluster-services rhacs/secured-cluster-services \
  --reuse-values \
  -f <path_to_values_public.yaml> \
  -f <path_to_values_private.yaml>
```
```
$ helm upgrade -n stackrox \
  stackrox-secured-cluster-services rhacs/secured-cluster-services \
  --reuse-values \ 
```
1
```
  -f <path_to_values_public.yaml> \
  -f <path_to_values_private.yaml>
```
Copy to Clipboard Toggle word wrap
1
--reuse-values パラメーターを指定する必要があります。指定しない場合、Helm upgrade コマンドは以前に設定されたすべての設定をリセットします。
注記
--set または --set-file パラメーターを使用して設定値を指定することもできます。ただし、これらのオプションは保存されないため、変更を加えるたびにすべてのオプションを手動で再度指定する必要があります。

5.5.3. roxctl CLI を使用したセキュアなクラスターへの RHACS のインストール
リンクのコピー

CLI を使用してセキュアなクラスターに RHACS をインストールするには、次の手順を実行します。

roxctl CLI をインストールします。
Sensor を取り付けます。

5.5.3.1. roxctl CLI のインストール
リンクのコピー

最初にバイナリーをダウンロードする必要があります。roxctl は、Linux、Windows、または macOS にインストールできます。

5.5.3.1.1. Linux への roxctl CLI のインストール
リンクのコピー

次の手順を使用して、Linux に roxctl CLI バイナリーをインストールできます。

手順

roxctl CLI の最新バージョンをダウンロードします。

curl -O https://mirror.openshift.com/pub/rhacs/assets/3.74.9/bin/Linux/roxctl

$ curl -O https://mirror.openshift.com/pub/rhacs/assets/3.74.9/bin/Linux/roxctl

Copy to Clipboard

Toggle word wrap

roxctl バイナリーを実行可能にします。
```
chmod +x roxctl
```
```
$ chmod +x roxctl
```
Copy to Clipboard Toggle word wrap
PATH 上にあるディレクトリーに roxctl バイナリーを配置します。
PATH を確認するには、以下のコマンドを実行します。
```
echo $PATH
```
```
$ echo $PATH
```
Copy to Clipboard Toggle word wrap

検証

インストールした roxctl のバージョンを確認します。
```
roxctl version
```
```
$ roxctl version
```
Copy to Clipboard Toggle word wrap

5.5.3.1.2. macOS への roxctl CLI のインストール
リンクのコピー

次の手順を使用して、roxctl CLI バイナリーを macOS にインストールできます。

手順

roxctl CLI の最新バージョンをダウンロードします。

curl -O https://mirror.openshift.com/pub/rhacs/assets/3.74.9/bin/Darwin/roxctl

$ curl -O https://mirror.openshift.com/pub/rhacs/assets/3.74.9/bin/Darwin/roxctl

Copy to Clipboard

Toggle word wrap

バイナリーからすべての拡張属性を削除します。
```
xattr -c roxctl
```
```
$ xattr -c roxctl
```
Copy to Clipboard Toggle word wrap
roxctl バイナリーを実行可能にします。
```
chmod +x roxctl
```
```
$ chmod +x roxctl
```
Copy to Clipboard Toggle word wrap
PATH 上にあるディレクトリーに roxctl バイナリーを配置します。
PATH を確認するには、以下のコマンドを実行します。
```
echo $PATH
```
```
$ echo $PATH
```
Copy to Clipboard Toggle word wrap

検証

インストールした roxctl のバージョンを確認します。
```
roxctl version
```
```
$ roxctl version
```
Copy to Clipboard Toggle word wrap

5.5.3.1.3. Windows への roxctl CLI のインストール
リンクのコピー

次の手順を使用して、roxctl CLI バイナリーを Windows にインストールできます。

手順

roxctl CLI の最新バージョンをダウンロードします。

curl -O https://mirror.openshift.com/pub/rhacs/assets/3.74.9/bin/Windows/roxctl.exe

$ curl -O https://mirror.openshift.com/pub/rhacs/assets/3.74.9/bin/Windows/roxctl.exe

Copy to Clipboard

Toggle word wrap

検証

インストールした roxctl のバージョンを確認します。
```
roxctl version
```
```
$ roxctl version
```
Copy to Clipboard Toggle word wrap

5.5.3.2. Sensor のインストール
リンクのコピー

クラスターをモニターするには、Sensor をデプロイする必要があります。モニターする各クラスターに Sensor をデプロイする必要があります。次の手順では、RHACS ポータルを使用して Sensor を追加する方法について説明します。

前提条件

Central サービスがすでにインストールされている必要があります。または、Red Hat Advanced Cluster Security Cloud Service (ACSCS) で Central サービスにアクセスできます。

手順

RHACS ポータルで、Platform Configuration Clusters に移動します。
+NewCluster を選択します。
クラスターの名前を指定します。
Sensor をデプロイする場所に基づいて、フィールドに適切な値を入力します。
- アドレスとポート番号を含む Central API エンドポイントを入力します。Advanced Cluster Security ACS Instances を選択し、作成した ACS インスタンスをクリックすると、Red Hat Hybrid Cloud Console でこの情報を再度表示できます。
Next をクリックして、Sensor のセットアップを続行します。
Download YAML File and Keys をクリックして、クラスターバンドル (zip アーカイブ) をダウンロードします。
重要
クラスターバンドルの zip アーカイブには、クラスターごとに固有の設定とキーが含まれています。同じファイルを別のクラスターで再利用しないでください。
モニター対象クラスターにアクセスできるシステムから、クラスターバンドルから sensor スクリプトを解凍して実行します。
```
unzip -d sensor sensor-<cluster_name>.zip
```
```
$ unzip -d sensor sensor-<cluster_name>.zip
```
Copy to Clipboard Toggle word wrap
```
./sensor/sensor.sh
```
```
$ ./sensor/sensor.sh
```
Copy to Clipboard Toggle word wrap
Sensor をデプロイするために必要な権限がないという警告が表示された場合は、画面の指示に従うか、クラスター管理者に連絡して支援を求めてください。

Sensor はデプロイされた後、Central に接続し、クラスター情報を提供します。

検証

RHACS ポータルに戻り、デプロイメントが成功したかどうかを確認します。成功した場合、Platform Configuration Clusters でクラスターのリストを表示すると、クラスターのステータスに緑色のチェックマークと Healthy ステータスが表示されます。緑色のチェックマークが表示されない場合は、次のコマンドを使用して問題を確認してください。
- Kubernetes の場合:
  $ kubectl get pod -n stackrox -w
  Copy to Clipboard Toggle word wrap
Finish をクリックしてウィンドウを閉じます。

インストール後、Sensor はセキュリティー情報の RHACS へのレポートを開始し、RHACS ポータルダッシュボードは、Sensor をインストールしたクラスターからのデプロイメント、イメージ、およびポリシー違反を表示し始めます。

トップに戻る

5.5. Red Hat OpenShift での RHACS Cloud Service 用のセキュアなクラスターリソースのインストール

5.5.1. Operator を使用したセキュアなクラスターへの RHACS のインストール
リンクのコピー

5.5.1.1. セキュアなクラスターサービスのインストール
リンクのコピー

5.5.2. Helm チャートを使用したセキュアなクラスターへの RHACS Cloud Service のインストール
リンクのコピー

5.5.2.1. Helm チャートリポジトリーの追加
リンクのコピー

5.5.2.2. カスタマイズせずに Helm チャートを使用してセキュアなクラスターに RHACS Cloud Service をインストールする
リンクのコピー

5.5.2.2.1. カスタマイズせずに secured-cluster-services Helm チャートをインストールする
リンクのコピー

5.5.2.3. カスタマイズによる secure-cluster-services Helm チャートの設定
リンクのコピー

5.5.2.3.1. 設定パラメーター
リンクのコピー

5.5.2.3.1.1. 環境変数
リンクのコピー

5.5.2.3.2. secure-cluster-services Helm チャートのインストール
リンクのコピー

5.5.2.4. secure-cluster-services Helm チャートをデプロイした後の設定オプションの変更
リンクのコピー

5.5.3. roxctl CLI を使用したセキュアなクラスターへの RHACS のインストール
リンクのコピー

5.5.3.1. roxctl CLI のインストール
リンクのコピー

5.5.3.1.1. Linux への roxctl CLI のインストール
リンクのコピー

5.5.3.1.2. macOS への roxctl CLI のインストール
リンクのコピー

5.5.3.1.3. Windows への roxctl CLI のインストール
リンクのコピー

5.5.3.2. Sensor のインストール
リンクのコピー

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

5.5. Red Hat OpenShift での RHACS Cloud Service 用のセキュアなクラスターリソースのインストール

5.5.1. Operator を使用したセキュアなクラスターへの RHACS のインストールリンクのコピーリンクがクリップボードにコピーされました!

5.5.1.1. セキュアなクラスターサービスのインストールリンクのコピーリンクがクリップボードにコピーされました!

5.5.2. Helm チャートを使用したセキュアなクラスターへの RHACS Cloud Service のインストールリンクのコピーリンクがクリップボードにコピーされました!

5.5.2.1. Helm チャートリポジトリーの追加リンクのコピーリンクがクリップボードにコピーされました!

5.5.2.2. カスタマイズせずに Helm チャートを使用してセキュアなクラスターに RHACS Cloud Service をインストールするリンクのコピーリンクがクリップボードにコピーされました!

5.5.2.2.1. カスタマイズせずに secured-cluster-services Helm チャートをインストールするリンクのコピーリンクがクリップボードにコピーされました!

5.5.2.3. カスタマイズによる secure-cluster-services Helm チャートの設定リンクのコピーリンクがクリップボードにコピーされました!

5.5.2.3.1. 設定パラメーターリンクのコピーリンクがクリップボードにコピーされました!

5.5.2.3.1.1. 環境変数リンクのコピーリンクがクリップボードにコピーされました!

5.5.2.3.2. secure-cluster-services Helm チャートのインストールリンクのコピーリンクがクリップボードにコピーされました!

5.5.2.4. secure-cluster-services Helm チャートをデプロイした後の設定オプションの変更リンクのコピーリンクがクリップボードにコピーされました!

5.5.3. roxctl CLI を使用したセキュアなクラスターへの RHACS のインストールリンクのコピーリンクがクリップボードにコピーされました!

5.5.3.1. roxctl CLI のインストールリンクのコピーリンクがクリップボードにコピーされました!

5.5.3.1.1. Linux への roxctl CLI のインストールリンクのコピーリンクがクリップボードにコピーされました!

5.5.3.1.2. macOS への roxctl CLI のインストールリンクのコピーリンクがクリップボードにコピーされました!

5.5.3.1.3. Windows への roxctl CLI のインストールリンクのコピーリンクがクリップボードにコピーされました!

5.5.3.2. Sensor のインストールリンクのコピーリンクがクリップボードにコピーされました!

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

5.5.1. Operator を使用したセキュアなクラスターへの RHACS のインストール
リンクのコピー

5.5.1.1. セキュアなクラスターサービスのインストール
リンクのコピー

5.5.2. Helm チャートを使用したセキュアなクラスターへの RHACS Cloud Service のインストール
リンクのコピー

5.5.2.1. Helm チャートリポジトリーの追加
リンクのコピー

5.5.2.2. カスタマイズせずに Helm チャートを使用してセキュアなクラスターに RHACS Cloud Service をインストールする
リンクのコピー

5.5.2.2.1. カスタマイズせずに secured-cluster-services Helm チャートをインストールする
リンクのコピー

5.5.2.3. カスタマイズによる secure-cluster-services Helm チャートの設定
リンクのコピー

5.5.2.3.1. 設定パラメーター
リンクのコピー

5.5.2.3.1.1. 環境変数
リンクのコピー

5.5.2.3.2. secure-cluster-services Helm チャートのインストール
リンクのコピー

5.5.2.4. secure-cluster-services Helm チャートをデプロイした後の設定オプションの変更
リンクのコピー

5.5.3. roxctl CLI を使用したセキュアなクラスターへの RHACS のインストール
リンクのコピー

5.5.3.1. roxctl CLI のインストール
リンクのコピー

5.5.3.1.1. Linux への roxctl CLI のインストール
リンクのコピー

5.5.3.1.2. macOS への roxctl CLI のインストール
リンクのコピー

5.5.3.1.3. Windows への roxctl CLI のインストール
リンクのコピー

5.5.3.2. Sensor のインストール
リンクのコピー