5.5. オプション - Operator を使用した RHACS のセキュアクラスター設定オプションの設定

centralEndpoint

ポート番号を含む、接続する Central インスタンスのエンドポイント。gRPC に対応していないロードバランサーを使用している場合は、エンドポイントアドレスの前に wss:// を付けて、WebSocket プロトコルを使用します。このパラメーターに値を指定しない場合、Sensor は同じ namespace で実行されている Central インスタンスに接続しようとします。

clusterName

RHACS ポータルに表示されるこのクラスターの一意の名前。このパラメーターを使用して名前を設定した後は、名前を再度変更することはできません。名前を変更するには、オブジェクトを削除して再作成する必要があります。

admissionControl.listenOnCreates

オブジェクト作成の予防ポリシーの適用を有効にするには、true を指定します。デフォルト値は false です。

admissionControl.listenOnEvents

true を指定すると、port-forward イベントや exec イベントなどの Kubernetes イベントのモニタリングと適用が有効になります。これは、Kubernetes API を介してリソースへのアクセスを制御するために使用されます。デフォルト値は true です。

admissionControl.listenOnUpdates

オブジェクトの更新に対する予防ポリシーの適用を有効にするには、true を指定します。Listen On Creates も true に設定されていない限り、効果はありません。デフォルト値は false です。

admissionControl.nodeSelector

このコンポーネントを特定のノードでのみ実行する場合は、このパラメーターを使用してノードセレクターを設定できます。

admissionControl.tolerations

ノードセレクターが taint されたノードを選択する場合は、このパラメーターを使用して、アドミッションコントロールの taint toleration キー、値、および effect を指定します。このパラメーターは、主にインフラストラクチャーノードに使用されます。

admissionControl.resources.limits

このパラメーターを使用して、アドミッションコントローラーのデフォルトのリソース制限をオーバーライドします。

admissionControl.resources.requests

このパラメーターを使用して、アドミッションコントローラーのデフォルトのリソースリクエストをオーバーライドします。

admissionControl.bypass

以下のいずれかの値を使用して、Admission controller 適用のバイパスを設定します。

デフォルト値は BreakGlassAnnotation です。

admissionControl.contactImageScanners

次のいずれかの値を使用して、アドミッションコントローラーをイメージ Scanner に接続する必要があるかどうかを指定します。

デフォルト値は DoNotScanInline です。

admissionControl.timeoutSeconds

このパラメーターを使用して、Red Hat Advanced Cluster Security for Kubernetes がフェールオープンとしてマークする前にアドミッションレビューを待機する必要がある最大秒数を指定します。

scanner.analyzer.nodeSelector

ノードセレクターのラベルを label-key: label-value の形式で指定して、指定したラベルを持つノードでのみ Scanner をスケジュールするように強制します。

scanner.analyzer.resources.requests.memory

Scanner コンテナーのメモリー要求。このパラメーターを使用して、デフォルト値をオーバーライドします。

scanner.analyzer.resources.requests.cpu

Scanner コンテナーの CPU 要求。このパラメーターを使用して、デフォルト値をオーバーライドします。

scanner.analyzer.resources.limits.memory

Scanner コンテナーのメモリー制限。このパラメーターを使用して、デフォルト値をオーバーライドします。

scanner.analyzer.resources.limits.cpu

Scanner コンテナーの CPU 制限。このパラメーターを使用して、デフォルト値をオーバーライドします。

scanner.scaling.autoscaling

このオプションを Disabled に設定すると、Red Hat Advanced Cluster Security for Kubernetes は Scanner デプロイメントでの自動スケーリングを無効にします。デフォルト値は Enabled です。

scanner.scaling.minReplicas

自動スケーリングのレプリカの最小数です。デフォルト値は 2 です。

scanner.scaling.maxReplicas

自動スケーリングのレプリカの最大数です。デフォルト値は 5 です。

scanner.scaling.replicas

レプリカのデフォルト数。デフォルト値は 3 です。

scanner.Tolerations

ノードセレクターが taint されたノードを選択する場合は、このパラメーターを使用して、Scanner の taint toleration キー、値、および effect を指定します。

scanner.db.nodeSelector

ノードセレクターのラベルを label-key: label-value の形式で指定して、指定したラベルを持つノードでのみ Scanner DB をスケジュールするように強制します。

scanner.db.resources.requests.memory

Scanner DB コンテナーのメモリー要求。このパラメーターを使用して、デフォルト値をオーバーライドします。

scanner.db.resources.requests.cpu

Scanner DB コンテナーの CPU 要求。このパラメーターを使用して、デフォルト値をオーバーライドします。

scanner.db.resources.limits.memory

Scanner DB コンテナーのメモリー制限。このパラメーターを使用して、デフォルト値をオーバーライドします。

scanner.db.resources.limits.cpu

Scanner DB コンテナーの CPU 制限。このパラメーターを使用して、デフォルト値をオーバーライドします。

scanner.db.tolerations

ノードセレクターが taint されたノードを選択する場合は、このパラメーターを使用して、Scanner DB の taint toleration キー、値、および effect を指定します。

scanner.scannerComponent

このオプションを Disabled に設定すると、Red Hat Advanced Cluster Security for Kubernetes は Scanner デプロイメントをデプロイしません。OpenShift Container Platform クラスターで Scanner を無効にしないでください。デフォルト値は AutoSense です。

imagePullSecrets.name

イメージをプルするために考慮される追加のイメージプルシークレット。

perNode.collector.collection

システムレベルのデータ収集の方法。デフォルト値は EBPF です。Red Hat は、データ収集に EBPF を使用することを推奨します。NoCollection を選択した場合、Collector からネットワークアクティビティーおよびプロセス実行に関する情報は報告されません。使用可能なオプションは、NoCollection、EBPF、および CORE_BPF です。CORE_BPF コレクション方法は、テクノロジープレビュー機能のみです。

perNode.collector.imageFlavor

Collector に使用するイメージのタイプ。Regular または Slim として指定できます。Regular のイメージはサイズが大きくなりますが、ほとんどのカーネルのカーネルモジュールが含まれています。Slim イメージタイプを使用する場合は、Central インスタンスがインターネットに接続されていること、または Collector サポートパッケージの更新を定期的に受信していることを確認する必要があります。デフォルト値は Slim です。

perNode.collector.resources.limits

このパラメーターを使用して、Collector のデフォルトのリソース制限をオーバーライドします。

perNode.collector.resources.requests

このパラメーターを使用して、Collector のデフォルトのリソースリクエストをオーバーライドします。

perNode.compliance.resources.requests

このパラメーターを使用して、Compliance のデフォルトのリソースリクエストをオーバーライドします。

perNode.compliance.resources.limits

このパラメーターを使用して、Compliance のデフォルトのリソース制限をオーバーライドします。

taintToleration

クラスターアクティビティーを包括的にモニタリングするために、Red Hat Advanced Cluster Security for Kubernetes は、デフォルトで taint されたノードを含む、クラスター内のすべてのノードでサービスを実行します。この動作を望まない場合は、このパラメーターに AvoidTaints を指定してください。

sensor.nodeSelector

Sensor を特定のノードでのみ実行する場合は、ノードセレクターを設定できます。

sensor.tolerations

ノードセレクターが taint されたノードを選択する場合は、このパラメーターを使用して、Sensor の taint toleration キー、値、および effect を指定します。このパラメーターは、主にインフラストラクチャーノードに使用されます。

sensor.resources.limits

このパラメーターを使用して、Sensor のデフォルトのリソース制限をオーバーライドします。

sensor.resources.requests

このパラメーターを使用して、Sensor のデフォルトのリソースリクエストをオーバーライドします。

tls.additionalCAs

セキュアクラスター用の追加の信頼できる CA 証明書。これらの証明書は、プライベート認証局を使用してサービスと統合するときに使用されます。

misc.createSCCs

Central の SCC を作成するには、これを true に設定します。一部の環境では問題が発生する可能性があります。

customize.annotations

Central デプロイメントのカスタムアノテーションを指定できます。

customize.envVars

環境変数を設定するための詳細設定。

egress.connectivityPolicy

Red Hat Advanced Cluster Security for Kubernetes をオンラインモードとオフラインモードのどちらで実行するかを設定します。オフラインモードでは、脆弱性定義とカーネルモジュールの自動更新は無効になります。