Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

5.2. 他のプラットフォームに RHACS の Central サービスをインストールする

Central は、RHACS アプリケーション管理インターフェイスとサービスを含むリソースです。データの永続性、API インタラクション、および RHACS ポータルアクセスを処理します。同じ Central インスタンスを使用して、複数の OpenShift Container Platform または Kubernetes クラスターを保護できます。

次のいずれかの方法を使用して、Central をインストールできます。

  • Helm チャートを使用してインストールする
  • roxctl CLI を使用してインストールします (この方法を使用する必要がある特定のインストールが必要でない限り、この方法は使用しないでください)。

5.2.1. Helm チャートを使用して Central をインストールする
リンクのコピー

カスタマイズせずに Helm チャートを使用するか、デフォルト値を使用するか、設定パラメーターをさらにカスタマイズして Helm チャートを使用することにより、Central をインストールできます。

5.2.1.1. カスタマイズせずに Helm チャートを使用して Central をインストールする
リンクのコピー

RHACS は、カスタマイズなしで Red Hat OpenShift クラスターにインストールできます。集中型コンポーネントである Central と Scanner をインストールするために、Helm チャートリポジトリーを追加し、central-services Helm チャートをインストールする必要があります。

5.2.1.1.1. Helm チャートリポジトリーの追加
リンクのコピー

手順

  • RHACS チャートリポジトリーを追加します。 

    $ helm repo add rhacs https://mirror.openshift.com/pub/rhacs/charts/

    Red Hat Advanced Cluster Security for Kubernetes の Helm リポジトリーには、次のようなさまざまなコンポーネントをインストールするための Helm チャートが含まれています。

  • 集中型コンポーネント (Central および Scanner) をインストールするための Central サービス Helm チャート (central-services)。

    注記

    集中型コンポーネントは 1 回だけデプロイします。同じインストールを使用して複数の別のクラスターを監視できます。

  • クラスターおよびノードごとのコンポーネント (Sensor、Admission Controller、Collector、および Scanner-slim) をインストールするためのセキュアクラスターサービスの Helm チャート (secured-cluster-services)。

    注記

    モニターする各クラスターにクラスターごとのコンポーネントをデプロイし、モニターするすべてのノードにノードごとのコンポーネントをデプロイします。

検証

  • 次のコマンドを実行して、追加されたチャートリポジトリーを確認します。 

    $ helm search repo -l rhacs/
5.2.1.1.2. カスタマイズせずに central-services Helm チャートをインストールする
リンクのコピー

central-services Helm チャートをインストールすることで、一元管理コンポーネントである Central と Scanner をデプロイできます。

インストールコマンドの出力は次のとおりです。

  • 自動生成された管理者パスワード
  • すべての設定値を保存する方法についての説明
  • Helm が生成する警告

前提条件

手順

  • 次のコマンドを実行して Central services をインストールし、ルートを使用して Central を公開します。 

    $ helm install -n stackrox \
  --create-namespace stackrox-central-services rhacs/central-services \
  --set imagePullSecrets.username=<username> \
  --set imagePullSecrets.password=<password> \
  --set central.exposure.route.enabled=true

    各項目の説明:

    <username>
    Red Hat コンテナーレジストリー認証のプルシークレットのユーザー名を指定します。
    <password>
    Red Hat コンテナーレジストリー認証のプルシークレットのパスワードを指定します。

  • または、次のコマンドを実行して Central services をインストールし、ロードバランサーを使用して Central を公開します。 

    $ helm install -n stackrox \
  --create-namespace stackrox-central-services rhacs/central-services \
  --set imagePullSecrets.username=<username> \
  --set imagePullSecrets.password=<password> \
  --set central.exposure.loadBalancer.enabled=true

    各項目の説明:

    <username>
    Red Hat コンテナーレジストリー認証のプルシークレットのユーザー名を指定します。
    <password>
    Red Hat コンテナーレジストリー認証のプルシークレットのパスワードを指定します。

  • または、次のコマンドを実行して Central services をインストールし、port forward を使用して Central を公開します。 

    $ helm install -n stackrox \
  --create-namespace stackrox-central-services rhacs/central-services \
  --set imagePullSecrets.username=<username> \
  --set imagePullSecrets.password=<password>

    各項目の説明:

    <username>
    Red Hat コンテナーレジストリー認証のプルシークレットのユーザー名を指定します。
    <password>
    Red Hat コンテナーレジストリー認証のプルシークレットのパスワードを指定します。
    重要

    • 外部サービスに接続するためにプロキシーが必要なクラスターに Red Hat Cluster Security for Kubernetes をインストールする場合は、proxyConfig パラメーターを使用してプロキシー設定を指定する必要があります。以下に例を示します。 

      env:
  proxyConfig: |
    url: http://proxy.name:port
    username: username
    password: password
    excludes:
    - some.domain
    • インストール先の namespace に 1 つ以上のイメージプルシークレットをすでに作成している場合は、ユーザー名とパスワードを使用する代わりに、--set imagePullSecrets.useExisting="<pull-secret-1;pull-secret-2>" を使用できます。

    • 以下の条件に該当する場合は、イメージプルシークレットを使用しないでください。

      • quay.io/stackrox-io または認証を必要としないプライベートネットワークのレジストリーからイメージを取得する場合。ユーザー名とパスワードを指定する代わりに、--set imagePullSecrets.allowNone=true を使用します。
      • インストールする namespace のデフォルトサービスアカウントでイメージプルシークレットをすでに設定している場合。ユーザー名とパスワードを指定する代わりに、--set imagePullSecrets.useFromDefaultServiceAccount=true を使用します。
5.2.1.1.3. 自動生成された認証局の取得
リンクのコピー

RHACS をインストールすると、認証局 (CA) が自動的に生成され、クラスターの Kubernetes シークレットに保存されます。後で Helm を使用してインストールを変更する場合は、この CA を提供する必要がある場合があります。たとえば、インストール時に最初に無効にされた RHACS コンポーネントを有効にするには、この CA を提供する必要があります。

自動的に生成された CA は、通常、stackrox-generated-suffix のような名前が付けられたシークレットに保存されます。ここで、suffix はランダムに生成された文字列になります。

たとえば、helm upgrade コマンドに必要なときに CA を取得して generated-values.yaml ファイルにエクスポートするには、次のコマンドを実行します。 

$ kubectl -n <namespace> get secret stackrox-generated-<suffix> \
  -o go-template='{{ index .data "generated-values.yaml" }}' | \
  base64 --decode >generated-values.yaml
重要

このファイルには機密データが含まれている可能性があるため、安全な場所に保管してください。

設定を変更した後に helm upgrade コマンドを使用する場合は、この CA を提供する必要がある場合があります。たとえば、システムを更新して Scanner V4 を有効にするには、次のコマンドを実行します。 

$ helm upgrade -n stackrox stackrox-central-services rhacs/central-services --reuse-values \
  -f <path_to_generated-values.yaml> \
  --set scannerV4.disable=false

5.2.1.2. カスタマイズした Helm チャートを使用して Central をインストールする
リンクのコピー

helm install および helm upgrade コマンドで Helm チャートの設定パラメーターを使用することで、Red Hat OpenShift クラスターに RHACS をカスタマイズしてインストールできます。これらのパラメーターは、--set オプションを使用するか、YAML 設定ファイルを作成することで指定できます。

以下のファイルを作成して、Red Hat Advanced Cluster Security for Kubernetes をインストールするための Helm チャートを設定します。

  • パブリック設定ファイル values-public.yaml: このファイルを使用して、機密性の低いすべての設定オプションを保存します。
  • プライベート設定ファイル values-private.yaml: このファイルを使用して、機密性の高いすべての設定オプションを保存します。このファイルはセキュアに保管してください。
  • 設定ファイル declarative-config-values.yaml: 宣言設定を使用して宣言設定マウントを Central に追加する場合は、このファイルを作成します。
5.2.1.2.1. プライベート設定ファイル
リンクのコピー

このセクションでは、values-private.yaml ファイルの設定可能なパラメーターをリストします。これらのパラメーターのデフォルト値はありません。

5.2.1.2.1.1. イメージプルのシークレット
リンクのコピー

レジストリーからイメージをプルするために必要な認証情報は、以下の要素によって異なります。

  • カスタムレジストリーを使用している場合、以下のパラメーターを指定する必要があります。

    • imagePullSecrets.username
    • imagePullSecrets.password
    • image.registry

  • カスタムレジストリーへのログインにユーザー名とパスワードを使用しない場合は、以下のいずれかのパラメーターを指定する必要があります。

    • imagePullSecrets.allowNone
    • imagePullSecrets.useExisting
    • imagePullSecrets.useFromDefaultServiceAccount
Expand
パラメーター説明

imagePullSecrets.username

レジストリーへのログインに使用されるアカウントのユーザー名。

imagePullSecrets.password

レジストリーへのログインに使用されるアカウントのパスワード

imagePullSecrets.allowNone

カスタムレジストリーを使用していて、クレデンシャルなしでイメージをプルできる場合は、true を使用します。

imagePullSecrets.useExisting

値としてのシークレットのコンマ区切りリスト。たとえば、secret1, secret2, secretN です。ターゲット namespace に指定された名前で既存のイメージプルシークレットをすでに作成している場合は、このオプションを使用します。

imagePullSecrets.useFromDefaultServiceAccount

十分なスコープのイメージプルシークレットを使用してターゲット namespace にデフォルトのサービスアカウントをすでに設定している場合は、true を使用します。

5.2.1.2.1.2. プロキシー設定
リンクのコピー

外部サービスに接続するためにプロキシーが必要なクラスターに Red Hat Cluster Security for Kubernetes をインストールする場合は、proxyConfig パラメーターを使用してプロキシー設定を指定する必要があります。以下に例を示します。 

env:
  proxyConfig: |
    url: http://proxy.name:port
    username: username
    password: password
    excludes:
    - some.domain
Expand
パラメーター説明

env.proxyConfig

プロキシー設定。

5.2.1.2.1.3. Central
リンクのコピー

Central の設定可能なパラメーター。

新規インストールの場合、次のパラメーターをスキップできます。

  • central.jwtSigner.key
  • central.serviceTLS.cert
  • central.serviceTLS.key
  • central.adminPassword.value
  • central.adminPassword.htpasswd
  • central.db.serviceTLS.cert
  • central.db.serviceTLS.key
  • central.db.password.value
  • これらのパラメーターの値を指定しない場合、Helm チャートはそれらの値を自動生成します。
  • これらの値を変更する場合は、helm upgrade コマンドを使用し、--set オプションを使用して値を指定できます。
重要

管理者パスワードの設定には、central.adminPassword.value または central.adminPassword.htpasswd のいずれかのみを使用できますが、両方を使用することはできません。

Expand
パラメーター説明

central.jwtSigner.key

RHACS が認証用の JSON Web トークン (JWT) に署名するために使用する秘密鍵。

central.serviceTLS.cert

Central サービスが Central をデプロイするために使用する必要がある内部証明書。

central.serviceTLS.key

Central サービスが使用する必要がある内部証明書の秘密鍵。

central.defaultTLS.cert

Central が使用する必要のあるユーザー向けの証明書。RHACS は、RHACS ポータルにこの証明書を使用します。

  • 新規インストールの場合は、証明書を指定する必要があります。そうでない場合、RHACS は自己署名証明書を使用して Central をインストールします。
  • アップグレードする場合、RHACS は既存の証明書とその鍵を使用します。

central.defaultTLS.key

Central が使用する必要のあるユーザー向け証明書の秘密鍵。

  • 新規インストールの場合は、秘密鍵を指定する必要があります。そうでない場合、RHACS は自己署名証明書を使用して Central をインストールします。
  • アップグレードする場合、RHACS は既存の証明書とその鍵を使用します。

central.db.password.value

Central データベースの接続パスワード。

central.adminPassword.value

RHACS にログインするための管理者パスワード。

central.adminPassword.htpasswd

RHACS にログインするための管理者パスワード。このパスワードは、bcrypt を使用してハッシュ形式で保存されます。

central.db.serviceTLS.cert

Central DB サービスが Central DB をデプロイするために使用する内部証明書。

central.db.serviceTLS.key

Central DB サービスが使用する内部証明書の秘密キー。

central.db.password.value

Central DB への接続に使用されるパスワード。

注記

central.adminPassword.htpasswd パラメーターを使用している場合は、bcrypt でエンコードされたパスワードハッシュを使用する必要があります。コマンド htpasswd -nB admin を実行して、パスワードハッシュを生成できます。以下に例を示します。 

htpasswd: |
  admin:<bcrypt-hash>
5.2.1.2.1.4. Scanner
リンクのコピー

StackRox Scanner および Scanner V4 の設定可能なパラメーター。

新規インストールの場合、次のパラメーターをスキップでき、Helm チャートがそれらの値を自動生成します。それ以外の場合、新しいバージョンにアップグレードする場合は、以下のパラメーターの値を指定してください。

  • scanner.dbPassword.value
  • scanner.serviceTLS.cert
  • scanner.serviceTLS.key
  • scanner.dbServiceTLS.cert
  • scanner.dbServiceTLS.key
  • scannerV4.db.password.value
  • scannerV4.indexer.serviceTLS.cert
  • scannerV4.indexer.serviceTLS.key
  • scannerV4.matcher.serviceTLS.cert
  • scannerV4.matcher.serviceTLS.key
  • scannerV4.db.serviceTLS.cert
  • scannerV4.db.serviceTLS.key
Expand
パラメーター説明

scanner.dbPassword.value

Scanner データベースでの認証に使用するパスワード。RHACS がこのパラメーターの値を内部で自動的に作成して使用するため、このパラメーターは変更しないでください。

scanner.serviceTLS.cert

StackRox Scanner サービスが StackRox Scanner をデプロイするために使用する内部証明書。

scanner.serviceTLS.key

Scanner サービスが使用する必要がある内部証明書の秘密鍵。

scanner.dbServiceTLS.cert

Scanner-db サービスが Scanner データベースをデプロイするために使用する必要がある内部証明書。

scanner.dbServiceTLS.key

Scanner-db サービスが使用する必要がある内部証明書の秘密鍵。

scannerV4.db.password.value

Scanner V4 データベースでの認証に使用するパスワード。RHACS がこのパラメーターの値を内部で自動的に作成して使用するため、このパラメーターは変更しないでください。

scannerV4.db.serviceTLS.cert

Scanner V4 DB サービスが Scanner V4 データベースをデプロイするために使用する内部証明書。

scannerV4.db.serviceTLS.key

Scanner V4 DB サービスが使用する内部証明書の秘密鍵。

scannerV4.indexer.serviceTLS.cert

Scanner V4 Indexer をデプロイするために Scanner V4 サービスが使用する内部証明書。

scannerV4.indexer.serviceTLS.key

Scanner V4 Indexer が使用する内部証明書の秘密鍵。

scannerV4.matcher.serviceTLS.cert

Scanner V4 Matcher をデプロイするために Scanner V4 サービスが使用する内部証明書。

scannerV4.matcher.serviceTLS.key

Scanner V4 Matcher が使用する内部証明書の秘密鍵。

5.2.1.2.2. パブリック設定ファイル
リンクのコピー

このセクションでは、values-public.yaml ファイルの設定可能なパラメーターをリストします。

5.2.1.2.2.1. イメージプルのシークレット
リンクのコピー

イメージプルシークレットは、レジストリーからイメージをプルするために必要なクレデンシャルです。

Expand
パラメーター説明

imagePullSecrets.allowNone

カスタムレジストリーを使用していて、クレデンシャルなしでイメージをプルできる場合は、true を使用します。

imagePullSecrets.useExisting

値としてのシークレットのコンマ区切りリスト。たとえば、secret1, secret2。ターゲット namespace に指定された名前で既存のイメージプルシークレットをすでに作成している場合は、このオプションを使用します。

imagePullSecrets.useFromDefaultServiceAccount

十分なスコープのイメージプルシークレットを使用してターゲット namespace にデフォルトのサービスアカウントをすでに設定している場合は、true を使用します。

5.2.1.2.2.2. イメージ
リンクのコピー

イメージでは、メインレジストリーをセットアップするための設定を宣言します。Helm チャートはこの設定を使用して、central.imagescanner.imagescanner.dbImagescannerV4.image、および scannerV4.db.image パラメーターのイメージを解決します。

Expand
パラメーター説明

image.registry

イメージレジストリーのアドレス。registry.redhat.io などのホスト名、または us.gcr.io/stackrox-mirror などのリモートレジストリーホスト名のいずれかを使用します。

5.2.1.2.2.3. Policy as code 機能
リンクのコピー

Policy as code 機能を使用すると、RHACS を Argo CD などの継続的デリバリーツールと連携させて、ローカルで作成したポリシーや RHACS ポータルからエクスポートして変更したポリシーを追跡、管理、適用するように設定できます。RHACS がインストールされているのと同じ namespace に、Policy as code 機能を適用するように Argo CD またはその他のツールを設定します。

Expand
パラメーター説明

configAsCode.enabled

デフォルトでは、値は true なので、Policy as code 機能が有効になります。Policy as code 機能を使用しない場合は、false に設定します。

5.2.1.2.2.4. 環境変数
リンクのコピー

Red Hat Advanced Cluster Security for Kubernetes は、クラスター環境を自動的に検出し、env.openshiftenv.istio、および env.platform の値を設定します。クラスター環境の自動検出をオーバーライドするには、これらの値のみを設定してください。

Expand
パラメーター説明

env.openshift

OpenShift Container Platform クラスターにインストールし、クラスター環境の自動検出をオーバーライドする場合は、true を使用します。

env.istio

true を使用して、Istio が有効化されたクラスターにインストールし、クラスター環境の自動検出をオーバーライドします。

env.platform

RHACS をインストールするプラットフォーム。その値を default または gke に設定して、クラスタープラットフォームを指定し、クラスター環境の自動検出をオーバーライドします。

env.offlineMode

RHACS をオフラインモードで使用するには true を使用します。

env.grpcEnforceALPN

TLS ハンドシェイク中に Application-Level Protocol Negotiation (ALPN) を適用するには、true を使用します。

5.2.1.2.2.5. 追加の信頼された認証局
リンクのコピー

RHACS は、信頼するシステムルート証明書を自動的に参照します。Central、StackRox Scanner、または Scanner V4 が、組織内の機関またはグローバルに信頼されているパートナー組織によって発行された証明書を使用するサービスにアクセスする必要がある場合、次のパラメーターを使用して信頼するルート認証局を指定することにより、これらのサービスの信頼を追加できます。

Expand
パラメーター説明

additionalCAs.<certificate_name>

信頼するルート認証局の PEM エンコード証明書を指定します。

5.2.1.2.2.6. デフォルトのネットワークポリシー
リンクのコピー

ネットワークレベルでセキュリティーを確保するために、RHACS は Central がインストールされている namespace にデフォルトの NetworkPolicy リソースを作成します。これらのネットワークポリシーは、特定のポート上の特定のコンポーネントへの Ingress を許可します。RHACS でこれらのポリシーを作成しない場合は、このパラメーターを Disabled に設定します。デフォルト値は Enabled です。

警告

デフォルトのネットワークポリシーの作成を無効にすると、RHACS コンポーネント間の通信が切断される可能性があります。デフォルトポリシーの作成を無効にする場合は、この通信を許可するために独自のネットワークポリシーを作成する必要があります。

Expand
パラメーター説明

network.enableNetworkPolicies

RHACS がコンポーネント間の通信を許可するためにデフォルトのネットワークポリシーを作成するかどうかを指定します。独自のネットワークポリシーを作成するには、このパラメーターを False に設定します。デフォルト値は True です。

5.2.1.2.2.7. Central
リンクのコピー

Central の設定可能なパラメーター。

  • 外部アクセス用の Central のデプロイメントを公開するため。1 つのパラメーター、central.exposure.loadBalancercentral.exposure.nodePort、または central.exposure.route のいずれかを指定する必要があります。これらのパラメーターに値を指定しない場合は、手動で Central を公開するか、ポート転送を使用して Central にアクセスする必要があります。

次の表に、外部 PostgreSQL データベースの設定を記載します。

Expand
パラメーター説明

central.declarativeConfiguration.mounts.configMaps

宣言的設定に使用される config map をマウントします。

Central.declarativeConfiguration.mounts.secrets

宣言型設定に使用されるシークレットをマウントします。

central.endpointsConfig

Central のエンドポイント設定オプションです。

central.nodeSelector

taint が付与されたノードをノードセレクターで選択する場合は、このパラメーターを使用して、Central に対する taint の toleration の key、value、および effect を指定します。このパラメーターは、主にインフラストラクチャーノードに使用されます。

central.tolerations

taint が付与されたノードをノードセレクターで選択する場合は、このパラメーターを使用して、Central に対する taint の toleration の key、value、および effect を指定します。このパラメーターは、主にインフラストラクチャーノードに使用されます。

central.exposeMonitoring

ポート番号 9090 で Central の Prometheus メトリクスエンドポイントを公開するには、true を指定します。

central.image.registry

Central イメージのグローバル image.registry パラメーターをオーバーライドするカスタムレジストリーです。

central.image.name

デフォルトの Central イメージ名 (main) をオーバーライドするカスタムイメージ名。

central.image.tag

Central イメージのデフォルトタグをオーバーライドするカスタムイメージタグです。新規インストール時に独自のイメージタグを指定した場合は、helm upgrade コマンドを実行して新しいバージョンにアップグレードするときに、このタグを手動でインクリメントする必要があります。独自のレジストリーで Central イメージをミラーリングする場合は、元のイメージタグを変更しないでください。

central.image.fullRef

Central イメージのレジストリーアドレス、イメージ名、およびイメージタグを含む完全なリファレンスです。このパラメーターの値を設定すると、central.image.registrycentral.image.name、および central.image.tag パラメーターがオーバーライドされます。

central.resources.requests.memory

Central のメモリー要求。

central.resources.requests.cpu

Central の CPU 要求。

central.resources.limits.memory

Central のメモリー制限。

central.resources.limits.cpu

Central の CPU 制限。

central.exposure.loadBalancer.enabled

ロードバランサーを使用して Central を公開するには、true を使用します。

central.exposure.loadBalancer.port

Central を公開するポート番号です。デフォルトのポート番号は 443 です。

central.exposure.nodePort.enabled

true を使用して、ノードポートサービスを使用して Central を公開します。

central.exposure.nodePort.port

Central を公開するポート番号です。このパラメーターをスキップすると、OpenShift Container Platform は自動的にポート番号を割り当てます。Red Hat では、ノードポートを使用して RHACS を公開する場合、ポート番号を指定しないことを推奨しています。

central.exposure.route.enabled

ルートを使用して Central を公開するには、true を使用します。false に設定すると、すべてのルート設定が無効になります。このパラメーターは、OpenShift Container Platform クラスターでのみ使用できます。

central.exposure.route.host

このパラメーターを使用して、Central のパススルールートに使用するカスタムホスト名を指定します。OpenShift Container Platform のデフォルト値を受け入れるには、これを未設定のままにします。このパラメーターは、OpenShift Container Platform クラスターでのみ使用できます。

central.exposure.route.reencrypt.enabled

Red Hat OpenShift の再暗号化ルートを通じて Central を公開するには、これを true に設定します。デフォルト値は false です。このパラメーターは、OpenShift Container Platform クラスターでのみ使用できます。

central.exposure.route.reencrypt.host

このパラメーターを使用して、Central の再暗号化ルートに使用するカスタムホスト名を指定します。OpenShift Container Platform のデフォルト値を受け入れるには、これを未設定のままにします。このパラメーターは、OpenShift Container Platform クラスターでのみ使用できます。

central.exposure.route.reencrypt.tls.caCertificate

このパラメーターを使用して、完全な信頼チェーンを確立するために使用される可能性のある PEM エンコードされた証明書チェーンを指定します。デフォルトでは、OpenShift Container Platform が認証局を提供します。このパラメーターは、OpenShift Container Platform クラスターでのみ使用できます。

central.exposure.route.reencrypt.tls.certificate

このパラメーターを使用して、ルートで提供される PEM エンコードされた証明書を指定します。OpenShift Container Platform 認証局がデフォルトの証明書に署名します。このパラメーターは、OpenShift Container Platform クラスターでのみ使用できます。

central.exposure.route.reencrypt.tls.destinationCACertificate

このパラメーターを使用して、最終宛先 (つまり Central) の CA 証明書を指定します。OpenShift Container Platform ルーターは、この証明書を使用して、セキュアな接続のヘルスチェックを実行します。デフォルトでは、Central が認証局を提供します。

central.exposure.route.reencrypt.tls.key

このパラメーターを使用して、ルートで提供される証明書の PEM エンコードされた秘密鍵を指定します。OpenShift Container Platform 認証局がデフォルトの証明書に署名します。このパラメーターは、OpenShift Container Platform クラスターでのみ使用できます。

central.db.external

Central DB をデプロイせず、外部データベースを使用することを指定するには、true を使用します。

central.db.source.connectionString

Central がデータベースへの接続に使用する接続文字列。これは、central.db.external が true に設定されている場合にのみ使用されます。接続文字列は、「関連情報」の PostgreSQL ドキュメントで説明されているように、キーワード/値の形式である必要があります。

  • 推奨かつサポートされているバージョンは Postgres 15 です。Red Hat では Postgres 13 のサポートが非推奨となり、RHACS の新しいバージョンで削除される予定です。
  • PgBouncer を介した接続はサポートされていません。
  • ユーザーは、データベースを作成および削除できるスーパーユーザーである必要があります。

central.db.source.minConns

確立されるデータベースへの接続の最小数。

central.db.source.maxConns

確立されるデータベースへの接続の最大数。

central.db.source.statementTimeoutMs

単一のクエリーまたはトランザクションがデータベースに対してアクティブにできるミリ秒数。

central.db.postgresConfig

PostgreSQL ドキュメントの「追加リソース」で説明されているように、Central DB に使用される postgresql.conf。

central.db.hbaConfig

PostgreSQL ドキュメントの「追加リソース」で説明されているように、Central DB に使用される pg_hba.conf。

central.db.nodeSelector

ノードセレクターのラベルを label-key: label-value の形式で指定して、指定したラベルを持つノードでのみ Central DB をスケジュールするように強制します。

central.db.image.registry

Central DB イメージのグローバル image.registry パラメーターをオーバーライドするカスタムレジストリー。

central.db.image.name

デフォルトの Central DB イメージ名 (central-db) をオーバーライドするカスタムイメージ名。

central.db.image.tag

Central DB イメージのデフォルトのタグをオーバーライドするカスタムイメージタグ。新規インストール時に独自のイメージタグを指定した場合は、helm upgrade コマンドを実行して新しいバージョンにアップグレードするときに、このタグを手動でインクリメントする必要があります。Central DB イメージを独自のレジストリーにミラーリングする場合は、元のイメージタグを変更しないでください。

central.db.image.fullRef

Central DB イメージのレジストリーアドレス、イメージ名、イメージタグを含む完全なリファレンス。このパラメーターの値を設定すると、central.db.image.registrycentral.db.image.name、および central.db.image.tag パラメーターがオーバーライドされます。

central.db.resources.requests.memory

Central DB のメモリー要求。

central.db.resources.requests.cpu

Central DB の CPU 要求。

central.db.resources.limits.memory

Central DB のメモリー制限。

central.db.resources.limits.cpu

Central DB の CPU 制限。

central.db.persistence.hostPath

RHACS がデータベースボリュームを作成するノード上のパス。Red Hat はこのオプションの使用を推奨していません。

central.db.persistence.persistentVolumeClaim.claimName

使用している永続ボリューム要求 (PVC) の名前です。

central.db.persistence.persistentVolumeClaim.createClaim

true を使用して新しい永続ボリューム要求を作成するか、false を使用して既存の要求を使用します。

central.db.persistence.persistentVolumeClaim.size

指定された要求によるマネージドの永続ボリュームのサイズ (GiB 単位) です。

5.2.1.2.2.8. StackRox Scanner
リンクのコピー

次の表に、StackRox Scanner の設定可能なパラメーターを示します。StackRox Scanner は非推奨ですが、ソフトウェアの依存関係があるため、Central がインストールされているクラスターでは有効にしておく必要があります。

Expand
パラメーター説明

scanner.disable

StackRox Scanner なしで RHACS をインストールするには、true を使用します。helm upgrade コマンドで使用すると、Helm によって既存の StackRox Scanner デプロイメントが削除されます。

scanner.exposeMonitoring

ポート番号 9090 で StackRox Scanner の Prometheus メトリクスエンドポイントを公開するには、true を指定します。

scanner.replicas

StackRox Scanner デプロイメント用に作成するレプリカの数。scanner.autoscaling パラメーターと一緒に使用する場合、この値はレプリカの初期数を設定します。

scanner.logLevel

StackRox Scanner のログレベルを設定します。Red Hat では、デフォルトのログレベル値 (INFO) を変更しないことを推奨しています。

scanner.nodeSelector

ノードセレクターのラベルを label-key: label-value の形式で指定して、指定したラベルを持つノードでのみ StackRox Scanner をスケジュールするように強制します。

scanner.tolerations

taint が付与されたノードをノードセレクターで選択する場合は、このパラメーターを使用して、StackRox Scanner に対する taint の toleration の key、value、および effect を指定します。このパラメーターは、主にインフラストラクチャーノードに使用されます。

scanner.autoscaling.disable

StackRox Scanner デプロイメントの自動スケーリングを無効にするには、true を使用します。自動スケーリングを無効にすると、minReplicas パラメーターと maxReplicas パラメーターは効果がありません。

scanner.autoscaling.minReplicas

自動スケーリングのレプリカの最小数です。

scanner.autoscaling.maxReplicas

自動スケーリングのレプリカの最大数です。

scanner.resources.requests.memory

StackRox Scanner のメモリー要求。

scanner.resources.requests.cpu

StackRox Scanner の CPU 要求。

scanner.resources.limits.memory

StackRox Scanner のメモリー制限。

scanner.resources.limits.cpu

StackRox Scanner の CPU 制限。

scanner.dbResources.requests.memory

StackRox Scanner データベースデプロイメントのメモリー要求。

scanner.dbResources.requests.cpu

StackRox Scanner データベースデプロイメントの CPU 要求。

scanner.dbResources.limits.memory

StackRox Scanner データベースデプロイメントのメモリー制限。

scanner.dbResources.limits.cpu

StackRox Scanner データベースデプロイメントの CPU 制限。

scanner.image.registry

StackRox Scanner イメージのカスタムレジストリー。

scanner.image.name

デフォルトの StackRox Scanner イメージ名 (scanner) をオーバーライドするカスタムイメージ名。

scanner.dbImage.registry

StackRox Scanner DB イメージのカスタムレジストリー。

scanner.dbImage.name

デフォルトの StackRox Scanner DB イメージ名 (scanner-db) をオーバーライドするカスタムイメージ名。

scanner.dbNodeSelector

ノードセレクターのラベルを label-key: label-value の形式で指定して、指定したラベルを持つノードでのみ StackRox Scanner DB をスケジュールするように強制します。

scanner.dbTolerations

taint が付与されたノードをノードセレクターで選択する場合は、このパラメーターを使用して、StackRox Scanner DB に対する taint の toleration の key、value、および effect を指定します。このパラメーターは、主にインフラストラクチャーノードに使用されます。

5.2.1.2.2.9. Scanner V4
リンクのコピー

次の表に、Scanner V4 の設定可能なパラメーターを示します。

Expand
パラメーター説明

scannerV4.db.persistence.persistentVolumeClaim.claimName

Scanner V4 の永続データを管理する PVC の名前。Central の場合、デフォルトでシステムは PVC を作成し、名前にデフォルト値 scanner-v4-db を使用します。

scannerV4.db.persistence.persistentVolumeClaim.size

Scanner V4 の永続データを管理するための PVC のサイズ。

scannerV4.db.persistence.persistentVolumeClaim.storageClassName

PVC に使用するストレージクラスの名前。クラスターがデフォルトのストレージクラスで設定されていない場合は、このパラメーターの値を指定する必要があります。

scannerV4.disable

次の値が有効です。

  • true:Scanner V4 はデプロイされていません。
  • false:Scanner V4 がデプロイされています。

値が指定されていない場合は、デフォルトで次の動作が発生します。

  • 新規インストール:Scanner V4 がデプロイされています。
  • 4.8 より前のリリースからのアップグレード:Scanner V4 はデプロイされていません。

scannerV4.exposeMonitoring

Scanner V4 の Prometheus メトリクスエンドポイントをポート番号 9090 で公開するには、true を指定します。

scannerV4.indexer.replicas

Scanner V4 Indexer デプロイメント用に作成するレプリカの数。scannerV4.indexer.autoscaling パラメーターとともに使用すると、この値によってレプリカの初期数が設定されます。

scannerV4.indexer.logLevel

Scanner V4 Indexer のログレベルを設定します。Red Hat では、デフォルトのログレベル値 (INFO) を変更しないことを推奨しています。

scannerV4.indexer.nodeSelector

ノードセレクターのラベルを label-key: label-value の形式で指定して、指定したラベルを持つノードでのみ Scanner V4 Indexer をスケジュールするように強制します。

scannerV4.indexer.tolerations

taint が付与されたノードをノードセレクターで選択する場合は、このパラメーターを使用して、Scanner V4 Indexer に対する taint の toleration の key、value、および effect を指定します。このパラメーターは、主にインフラストラクチャーノードに使用されます。

scannerV4.indexer.autoscaling.disable

Scanner V4 Indexer デプロイメントの自動スケーリングを無効にするには、true を使用します。自動スケーリングを無効にすると、minReplicas パラメーターと maxReplicas パラメーターは効果がありません。

scannerV4.indexer.autoscaling.minReplicas

自動スケーリングのレプリカの最小数です。

scannerV4.indexer.autoscaling.maxReplicas

自動スケーリングのレプリカの最大数です。

scannerV4.indexer.resources.requests.memory

Scanner V4 Indexer のメモリー要求。

scannerV4.indexer.resources.requests.cpu

Scanner V4 Indexer の CPU 要求。

scannerV4.indexer.resources.limits.memory

Scanner V4 Indexer のメモリー制限。

scannerV4.indexer.resources.limits.cpu

Scanner V4 Indexer の CPU 制限。

scannerV4.matcher.replicas

Scanner V4 Matcher デプロイメント用に作成するレプリカの数。scannerV4.matcher.autoscaling パラメーターとともに使用すると、この値によってレプリカの初期数が設定されます。

scannerV4.matcher.logLevel

Red Hat では、デフォルトのログレベル値 (INFO) を変更しないことを推奨しています。

scannerV4.matcher.nodeSelector

ノードセレクターのラベルを label-key: label-value の形式で指定して、指定したラベルを持つノードでのみ Scanner V4 Matcher をスケジュールするように強制します。

scannerV4.matcher.tolerations

taint が付与されたノードをノードセレクターで選択する場合は、このパラメーターを使用して、Scanner V4 Matcher に対する taint の toleration の key、value、および effect を指定します。このパラメーターは、主にインフラストラクチャーノードに使用されます。

scannerV4.matcher.autoscaling.disable

Scanner V4 Matcher デプロイメントの自動スケーリングを無効にするには、true を使用します。自動スケーリングを無効にすると、minReplicas パラメーターと maxReplicas パラメーターは効果がありません。

scannerV4.matcher.autoscaling.minReplicas

自動スケーリングのレプリカの最小数です。

scannerV4.matcher.autoscaling.maxReplicas

自動スケーリングのレプリカの最大数です。

scannerV4.matcher.resources.requests.memory

Scanner V4 Matcher のメモリー要求。

scannerV4.matcher.resources.requests.cpu

Scanner V4 Matcher の CPU 要求。

scannerV4.db.resources.requests.memory

Scanner V4 データベースデプロイメントのメモリー要求。

scannerV4.db.resources.requests.cpu

Scanner V4 データベースデプロイメントの CPU 要求。

scannerV4.db.resources.limits.memory

Scanner V4 データベースデプロイメントのメモリー制限。

scannerV4.db.resources.limits.cpu

Scanner V4 データベースデプロイメントの CPU 制限。

scannerV4.db.nodeSelector

ノードセレクターのラベルを label-key: label-value の形式で指定して、指定したラベルを持つノードでのみ Scanner V4 DB をスケジュールするように強制します。

scannerV4.db.tolerations

taint が付与されたノードをノードセレクターで選択する場合は、このパラメーターを使用して、Scanner V4 DB に対する taint の toleration の key、value、および effect を指定します。このパラメーターは、主にインフラストラクチャーノードに使用されます。

scannerV4.db.image.registry

Scanner V4 DB イメージのカスタムレジストリー。

scannerV4.db.image.name

デフォルトの Scanner V4 DB イメージ名 (scanner-v4-db) をオーバーライドするカスタムイメージ名。

scannerV4.image.registry

Scanner V4 イメージのカスタムレジストリー。

scannerV4.image.name

デフォルトの Scanner V4 イメージ名 (scanner-v4) をオーバーライドするカスタムイメージ名。

5.2.1.2.2.10. カスタマイズ
リンクのコピー

以下のパラメーターを使用して、RHACS が作成するすべてのオブジェクトの追加属性を指定します。

Expand
パラメーター説明

customize.labels

すべてのオブジェクトにアタッチするカスタムラベルです。

customize.annotations

すべてのオブジェクトにアタッチするカスタムアノテーションです。

customize.podLabels

すべてのデプロイメントにアタッチするカスタムラベルです。

customize.podAnnotations

すべてのデプロイメントにアタッチするカスタムアノテーションです。

customize.envVars

すべてのオブジェクトのすべてのコンテナーのカスタム環境変数。

customize.central.labels

Central が作成するすべてのオブジェクトに割り当てるカスタムラベル。

customize.central.annotations

Central が作成するすべてのオブジェクトに割り当てるカスタムアノテーション。

customize.central.podLabels

すべての Central のデプロイメントにアタッチするカスタムラベルです。

customize.central.podAnnotations

すべての Central のデプロイメントにアタッチするカスタムアノテーションです。

customize.central.envVars

すべての Central コンテナーのカスタム環境変数。

customize.scanner.labels

Scanner が作成するすべてのオブジェクトに割り当てるカスタムラベル。

customize.scanner.annotations

Scanner が作成するすべてのオブジェクトに割り当てるカスタムアノテーション。

customize.scanner.podLabels

すべての Scanner のデプロイメントにアタッチするカスタムラベルです。

customize.scanner.podAnnotations

すべての Scanner のデプロイメントにアタッチするカスタムアノテーションです。

customize.scanner.envVars

すべての Scanner コンテナーのカスタム環境変数。

customize.scanner-db.labels

Scanner DB が作成するすべてのオブジェクトに割り当てるカスタムラベル。

customize.scanner-db.annotations

Scanner DB が作成するすべてのオブジェクトに割り当てるカスタムアノテーション。

customize.scanner-db.podLabels

すべての Scanner DB のデプロイメントにアタッチするカスタムラベルです。

customize.scanner-db.podAnnotations

すべての Scanner DB のデプロイメントにアタッチするカスタムアノテーションです。

customize.scanner-db.envVars

すべての Scanner DB コンテナーのカスタム環境変数。

customize.scanner-v4-indexer.labels

Scanner V4 Indexer が作成するすべてのオブジェクトと、それらに属する Pod に割り当てるカスタムラベル。

customize.scanner-v4-indexer.annotations

Scanner V4 Indexer が作成するすべてのオブジェクトと、それらに属する Pod に割り当てるカスタムアノテーション。

customize.scanner-v4-indexer.podLabels

Scanner V4 Indexer が作成するすべてのオブジェクトと、それらに属する Pod に割り当てるカスタムラベル。

customize.scanner-v4-indexer.podAnnotations

Scanner V4 Indexer が作成するすべてのオブジェクトと、それらに属する Pod に割り当てるカスタムアノテーション。

customize.scanner-4v-indexer.envVars

すべての Scanner V4 Indexer コンテナーとそれらに属する Pod のカスタム環境変数。

customize.scanner-v4-matcher.labels

Scanner V4 Matcher が作成するすべてのオブジェクトと、それらに属する Pod に割り当てるカスタムラベル。

customize.scanner-v4-matcher.annotations

Scanner V4 Matcher が作成するすべてのオブジェクトと、それらに属する Pod に割り当てるカスタムアノテーション。

customize.scanner-v4-matcher.podLabels

Scanner V4 Matcher が作成するすべてのオブジェクトと、それらに属する Pod に割り当てるカスタムラベル。

customize.scanner-v4-matcher.podAnnotations

Scanner V4 Matcher が作成するすべてのオブジェクトと、それらに属する Pod に割り当てるカスタムアノテーション。

customize.scanner-4v-matcher.envVars

すべての Scanner V4 Matcher コンテナーとそれらに属する Pod のカスタム環境変数。

customize.scanner-v4-db.labels

Scanner V4 DB が作成するすべてのオブジェクトと、それらに属する Pod に割り当てるカスタムラベル。

customize.scanner-v4-db.annotations

Scanner V4 DB が作成するすべてのオブジェクトと、それらに属する Pod に割り当てるカスタムアノテーション。

customize.scanner-v4-db.podLabels

Scanner V4 DB が作成するすべてのオブジェクトと、それらに属する Pod に割り当てるカスタムラベル。

customize.scanner-v4-db.podAnnotations

Scanner V4 DB が作成するすべてのオブジェクトと、それらに属する Pod に割り当てるカスタムアノテーション。

customize.scanner-4v-db.envVars

すべての Scanner V4 DB コンテナーとそれらに属する Pod のカスタム環境変数。

以下のように使用することもできます。

  • すべてのオブジェクトのラベルとアノテーションを指定するための customize.other.service/*.labels および customize.other.service/*.annotations パラメーターです。
  • または、特定のサービス名を指定します。たとえば、customize.other.service/central-loadbalancer.labelscustomize.other.service/central-loadbalancer.annotations をパラメーターとして指定し、それらの値を設定します。
5.2.1.2.2.11. 高度なカスタマイズ
リンクのコピー
重要

このセクションで指定されているパラメーターは、情報提供のみを目的としています。Red Hat は、namespace やリリース名が変更された RHACS インスタンスをサポートしません。

Expand
パラメーター説明

allowNonstandardNamespace

RHACS をデフォルトの stackrox 以外の namespace にデプロイするには、true を使用します。

allowNonstandardReleaseName

デフォルトの stackrox-central-services 以外のリリース名で RHACS をデプロイするには、true を使用します。

5.2.1.2.3. 宣言的な設定値
リンクのコピー

宣言型設定を使用するには、宣言型設定マウントを Central に追加する YAML ファイル (この例では "declarative-config-values.yaml" という名前) を作成する必要があります。このファイルは Helm インストールで使用されます。

手順

  1. 次の例をガイドラインとして使用して、YAML ファイル (この例では declarative-config-values.yaml という名前) を作成します。 

    central:
  declarativeConfiguration:
    mounts:
      configMaps:
        - declarative-configs
      secrets:
        - sensitive-declarative-configs
  2. 「central-services Helm チャートのインストール」の説明に従って、declarative-config-values.yaml ファイルを参照して、Central サービス Helm チャートをインストールします。
5.2.1.2.4. central-services Helm チャートのインストール
リンクのコピー

values-public.yaml ファイルと values-private.yaml ファイルを設定した後、central-services Helm チャートをインストールして、集中型コンポーネント (Central と Scanner) をデプロイします。

手順

  • 以下のコマンドを実行します。 

    $ helm install -n stackrox --create-namespace \
  stackrox-central-services rhacs/central-services \
  -f <path_to_values_public.yaml> -f <path_to_values_private.yaml>

    各項目の説明:

    <path_to_values_public.yaml>
    YAML 設定ファイルのパスを指定します。
注記

オプション: 宣言型設定を使用する場合は、このコマンドに -f <path_to_declarative-config-values.yaml を追加して、宣言型設定ファイルを Central にマウントします。

5.2.1.3. central-services Helm チャートをデプロイした後の設定オプションの変更
リンクのコピー

central-services Helm チャートをデプロイした後、設定オプションを変更できます。

helm upgrade コマンドを使用して変更を加える場合は、次のガイドラインと要件が適用されます。

  • --set または --set-file パラメーターを使用して設定値を指定することもできます。ただし、これらのオプションは保存されないため、変更を加えるたびにすべてのオプションを手動で再度指定する必要があります。

  • 新しいコンポーネントを有効にするなどの一部の変更では、コンポーネントに対して新しい証明書を発行する必要があります。したがって、これらの変更を行う場合は CA を指定する必要があります。

    • CA が初期インストール中に Helm チャートによって生成された場合は、自動的に生成された該当する値をクラスターから取得し、helm upgrade コマンドで指定する必要があります。central-services Helm チャートのインストール後の注記に、自動生成された値を取得するためのコマンドが含まれています。
    • CA が Helm チャートの外部で生成されたものであり、central-services チャートのインストール時にその CA を指定した場合は、helm upgrade コマンドを使用するときに、たとえば helm upgrade コマンドで --reuse-values フラグを使用して、その操作を再度実行する必要があります。

手順

  1. values-public.yaml および values-private.yaml 設定ファイルを新しい値で更新します。

  2. helm upgrade コマンドを実行し、-f オプションを使用して設定ファイルを指定します。 

    $ helm upgrade -n stackrox \
  stackrox-central-services rhacs/central-services \
  --reuse-values \
  -f <path_to_init_bundle_file \
  -f <path_to_values_public.yaml> \
  -f <path_to_values_private.yaml>

    各項目の説明:

    --reuse-values
    values_public.yaml ファイルと values_private.yaml ファイルに含まれていない、変更された値を指定します。
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

Legal Notice

Theme

© 2026 Red Hatトップに戻る