4.5. Operator を使用した RHACS のセキュアクラスターサービスオプションの設定

centralEndpoint

ポート番号を含む、接続する Central インスタンスのエンドポイント。gRPC に対応していないロードバランサーを使用している場合は、エンドポイントアドレスの前に wss:// を付けて、WebSocket プロトコルを使用します。このパラメーターの値を指定しなかった場合、Sensor が同じ namespace で実行されている Central インスタンスへの接続を試行します。

clusterName

RHACS ポータルに表示されるこのクラスターの一意の名前。このパラメーターを使用して名前を設定した後、名前を再度変更することはできません。名前を変更するには、オブジェクトを削除して再作成する必要があります。

admissionControl.enforcement

このパラメーターは、適用が有効になっているポリシーを適用するようにアドミッションコントローラーを設定したかどうかを決定します。RHACS 4.9 でデプロイされた新しいセキュアクラスターの場合、デフォルト値は Enabled です。RHACS バージョン 4.9 より前のバージョンからセキュアクラスターを更新する場合、このパラメーターの値は、アドミッションコントローラー設定パラメーターの以前の値によって決定されます。更新前に、admissionControl.listenOnCreates または admissionControl.listenOnUpdates パラメーターのいずれかが true に設定されていた場合、アップグレード後にこのパラメーターの値はデフォルトで Enabled に設定されます。これらのパラメーターの両方が false に設定されている場合、更新時にデフォルト値は Disabled になります。

admissionControl.listenOnCreates

このパラメーターは非推奨となっています。RHACS は、バージョン 4.9 への更新中に値をチェックし、新しい admissionControl.enforcement パラメーターのデフォルト値を設定するために使用されます。新規インストールでは、このパラメーターを変更しても効果はありません。

admissionControl.listenOnEvents

このパラメーターは非推奨となっています。RHACS は、バージョン 4.9 への更新中に値をチェックし、新しい admissionControl.enforcement パラメーターのデフォルト値を設定するために使用されます。新規インストールでは、このパラメーターを変更しても効果はありません。

admissionControl.listenOnUpdates

このパラメーターは非推奨となったため、RHACS はその値を無視します。

admissionControl.nodeSelector

このコンポーネントを特定のノードでのみ実行する場合は、このパラメーターを使用してノードセレクターを設定できます。

admissionControl.tolerations

taint が付与されたノードをノードセレクターで選択する場合は、このパラメーターを使用して、Admission Control に対する taint の toleration の key、value、および effect を指定します。このパラメーターは、主にインフラストラクチャーノードに使用されます。

admissionControl.hostAliases

このパラメーターを使用して、Pod の hosts ファイルにホストおよび IP アドレスを注入します。

admissionControl.resources.limits

このパラメーターを使用して、アドミッションコントローラーのデフォルトのリソース制限をオーバーライドします。

admissionControl.resources.requests

このパラメーターを使用して、アドミッションコントローラーのデフォルトのリソースリクエストをオーバーライドします。

admissionControl.bypass

RHACS がアドミッションコントローラーの適用をバイパスすることを許可するかどうかを設定するには、次のいずれかの値を使用します。

デフォルト値は BreakGlassAnnotation です。

admissionControl.contactImageScanners

このフィールドは非推奨です。設定しても影響はありません。

admissionControl.failurePolicy

RHACS 検証 Webhook の評価でエラーまたはタイムアウトが発生した場合に、API サーバー要求を許可するか (フェイルオープン)、ブロックするか (フェイルクローズ) を決定します。有効な値は Ignore と Fail です。デフォルト値は、フェイルオープンするように Ignore に設定されています。

admissionControl.timeoutSeconds

このパラメーターを設定する機能は非推奨となりました。RHACS のタイムアウト期間には事前設定された値が使用されており、これを変更することはできません。このパラメーターは無視されます。

scanner.analyzer.nodeSelector

ノードセレクターのラベルを label-key: label-value の形式で指定して、指定したラベルを持つノードでのみ Scanner をスケジュールするように強制します。

scanner.analyzer.tolerations

taint が付与されたノードをノードセレクターで選択する場合は、このパラメーターを使用して、Scanner に対する taint の toleration の key、value、および effect を指定します。

scanner.analyzer.hostAliases

このパラメーターを使用して、Pod の hosts ファイルにホストおよび IP アドレスを注入します。

scanner.analyzer.resources.requests.memory

Scanner コンテナーのメモリー要求。このパラメーターを使用して、デフォルト値をオーバーライドします。

scanner.analyzer.resources.requests.cpu

Scanner コンテナーの CPU 要求。このパラメーターを使用して、デフォルト値をオーバーライドします。

scanner.analyzer.resources.limits.memory

Scanner コンテナーのメモリー制限。このパラメーターを使用して、デフォルト値をオーバーライドします。

scanner.analyzer.resources.limits.cpu

Scanner コンテナーの CPU 制限。このパラメーターを使用して、デフォルト値をオーバーライドします。

scanner.analyzer.scaling.autoscaling

このオプションを Disabled に設定すると、Red Hat Advanced Cluster Security for Kubernetes は Scanner デプロイメントでの自動スケーリングを無効にします。デフォルト値は Enabled です。

scanner.analyzer.scaling.minReplicas

自動スケーリングのレプリカの最小数です。デフォルト値は 2 です。

scanner.analyzer.scaling.maxReplicas

自動スケーリングのレプリカの最大数です。デフォルト値は 5 です。

scanner.analyzer.scaling.replicas

レプリカのデフォルト数。デフォルト値は 3 です。

scanner.analyzer.tolerations

taint が付与されたノードをノードセレクターで選択する場合は、このパラメーターを使用して、Scanner に対する taint の toleration の key、value、および effect を指定します。

scanner.db.nodeSelector

ノードセレクターのラベルを label-key: label-value の形式で指定して、指定したラベルを持つノードでのみ Scanner DB をスケジュールするように強制します。

scanner.db.hostAliases

このパラメーターを使用して、Pod の hosts ファイルにホストおよび IP アドレスを注入します。

scanner.db.resources.requests.memory

Scanner DB コンテナーのメモリー要求。このパラメーターを使用して、デフォルト値をオーバーライドします。

scanner.db.resources.requests.cpu

Scanner DB コンテナーの CPU 要求。このパラメーターを使用して、デフォルト値をオーバーライドします。

scanner.db.resources.limits.memory

Scanner DB コンテナーのメモリー制限。このパラメーターを使用して、デフォルト値をオーバーライドします。

scanner.db.resources.limits.cpu

Scanner DB コンテナーの CPU 制限。このパラメーターを使用して、デフォルト値をオーバーライドします。

scanner.db.tolerations

taint が付与されたノードをノードセレクターで選択する場合は、このパラメーターを使用して、Scanner DB に対する taint の toleration の key、value、および effect を指定します。

scanner.scannerComponent

このオプションを Disabled に設定すると、Red Hat Advanced Cluster Security for Kubernetes は Scanner デプロイメントをデプロイしません。OpenShift Container Platform クラスターで Scanner を無効にしないでください。デフォルト値は AutoSense です。

scannerV4.db.nodeSelector

このコンポーネントを特定のノードでのみ実行する場合は、このパラメーターを使用してノードセレクターを設定できます。

scannerV4.db.tolerations

taint が付与されたノードをノードセレクターで選択する場合は、このパラメーターを使用して、Scanner V4 DB に対する taint の toleration の key、value、および effect を指定します。このパラメーターは、主にインフラストラクチャーノードに使用されます。

scannerV4.db.resources.limits

このパラメーターを使用して、Scanner V4 DB のデフォルトのリソース制限をオーバーライドします。

scannerV4.db.resources.requests

このパラメーターを使用して、Scanner V4 DB のデフォルトのリソース要求をオーバーライドします。

scannerV4.db.persistence.persistentVolumeClaim.claimName

Scanner V4 の永続データを管理する PVC の名前。クラスターにデフォルトのストレージクラスが存在する場合は、推奨されるデフォルトである PVC を使用できます。デフォルトのストレージクラスが存在せず、persistentVolumeClaim.storageClassName パラメーターで明示的に設定されていない場合は、一時ストレージが使用されます。

scannerV4.db.persistence.persistentVolumeClaim.size

Scanner V4 の永続データを管理するための PVC のサイズ。

scannerV4.db.persistence.persistentVolumeClaim.storageClassName

PVC に使用するストレージクラスの名前。クラスターがデフォルトのストレージクラスで設定されておらず、このパラメーターに値が指定されていない場合は、一時ストレージが使用されます。

scannerV4.indexer.nodeSelector

このコンポーネントを特定のノードでのみ実行する場合は、このパラメーターを使用してノードセレクターを設定できます。

scannerV4.indexer.tolerations

taint が付与されたノードをノードセレクターで選択する場合は、このパラメーターを使用して、Scanner V4 Indexer に対する taint の toleration の key、value、および effect を指定します。このパラメーターは、主にインフラストラクチャーノードに使用されます。

scannerV4.indexer.resources.limits

このパラメーターを使用して、Scanner V4 Indexer のデフォルトのリソース制限をオーバーライドします。

scannerV4.indexer.resources.requests

このパラメーターを使用して、Scanner V4 Indexer のデフォルトのリソース要求をオーバーライドします。

scannerV4.indexer.scaling.autoScaling

有効にすると、Scanner V4 Indexer のレプリカの数が、指定された制限内で負荷に基づいて動的に管理されます。

scannerV4.indexer.scaling.maxReplicas

Scanner V4 Indexer の自動スケーリング設定で使用されるレプリカの最大数を指定します。

scannerV4.indexer.scaling.minReplicas

Scanner V4 Indexer の自動スケーリング設定で使用するレプリカの最小数を指定します。

scannerV4.indexer.scaling.replicas

Scanner V4 Indexer の自動スケーリングが無効になっている場合、レプリカの数が常にこの値と一致するように設定されます。

scannerV4.monitoring.exposeEndpoint

Scanner V4 のモニタリングエンドポイントを設定します。モニタリングエンドポイントを使用すると、Prometheus 互換形式で提供されるメトリクスを、他のサービスが Scanner V4 から収集できるようになります。モニタリングエンドポイントを公開するには、Enabled を使用します。モニタリングを有効にすると、RHACS がポート 9090 に新しいサービス (monitoring) を作成し、そのポートへの受信接続を許可するネットワークポリシーを作成します。デフォルトでは、これは有効になっていません。

scannerV4.scannerComponent

Scanner V4 を有効にします。有効な値は以下のとおりです。

* Default: Scanner V4 は有効化およびデプロイされていません。

* AutoSense : 同じ namespace に Central が存在する場合、Scanner V4 はデプロイされず、Central とともにインストールされた既存の Scanner V4 が使用されます。この namespace に Central が存在しない場合は、Scanner V4 がデプロイされます。

* Disabled: Scanner V4 はデプロイされません。

imagePullSecrets.name

イメージをプルするために考慮される追加のイメージプルシークレット。

perNode.collector.collection

システムレベルのデータ収集の方法。デフォルト値は CORE_BPF です。Red Hat は、データ収集に CORE_BPF を使用することを推奨します。NoCollection を選択した場合、Collector からネットワークアクティビティーおよびプロセス実行に関する情報は報告されません。使用可能なオプションは NoCollection と CORE_BPF です。EBPF オプションはバージョン 4.4 以前でのみ使用できます。

perNode.collector.imageFlavor

Collector に使用するイメージのタイプ。Regular または Slim として指定できます。この値は非推奨です。Regular イメージと Slim イメージは同一です。

perNode.collector.resources.limits

このパラメーターを使用して、Collector のデフォルトのリソース制限をオーバーライドします。

perNode.collector.resources.requests

このパラメーターを使用して、Collector のデフォルトのリソースリクエストをオーバーライドします。

perNode.compliance.resources.requests

このパラメーターを使用して、Compliance のデフォルトのリソースリクエストをオーバーライドします。

perNode.compliance.resources.limits

このパラメーターを使用して、Compliance のデフォルトのリソース制限をオーバーライドします。

perNode.sfa.agent

このパラメーターを使用して、セキュアクラスターのファイルアクティビティー監視を有効にします。Enabled に設定します。

perNode.taintToleration

クラスターアクティビティーを包括的にモニタリングするために、Red Hat Advanced Cluster Security for Kubernetes は、デフォルトで taint されたノードを含む、クラスター内のすべてのノードでサービスを実行します。この動作を望まない場合は、このパラメーターに AvoidTaints を指定してください。デフォルト値は TolerateTaints です。

sensor.nodeSelector

Sensor を特定のノードでのみ実行する場合は、ノードセレクターを設定できます。

sensor.tolerations

taint が付与されたノードをノードセレクターで選択する場合は、このパラメーターを使用して、Sensor に対する taint の toleration の key、value、および effect を指定します。このパラメーターは、主にインフラストラクチャーノードに使用されます。

sensor.hostAliases

このパラメーターを使用して、Pod の hosts ファイルにホストおよび IP アドレスを注入します。

sensor.resources.limits

このパラメーターを使用して、Sensor のデフォルトのリソース制限をオーバーライドします。

sensor.resources.requests

このパラメーターを使用して、Sensor のデフォルトのリソースリクエストをオーバーライドします。

customize.annotations

Central デプロイメントのカスタムアノテーションを指定できます。

customize.envVars

環境変数を設定するための詳細設定。

customize.deploymentDefaults.pinToNodes

デプロイメントベースのすべてのコンポーネントを特定のタイプのノードに自動的に配置します。OpenShift インフラストラクチャーノードを対象とするには、InfraRole に設定してください。このパラメーターは、nodeSelector または tolerations と同時に使用することはできません。デフォルト値は None です。

# ...
nodeSelector:
  node-role.kubernetes.io/infra: ""
tolerations:
- key: node-role.kubernetes.io/infra
  value: reserved
  effect: NoSchedule
- key: node-role.kubernetes.io/infra
  value: reserved
# ...

customize.deploymentDefaults.nodeSelector

デプロイメントベースのすべてのコンポーネントにデフォルトの nodeSelector を適用します。このパラメーターは pinToNodes と同時に使用することはできません。

customize.deploymentDefaults.tolerations

デプロイメントベースのすべてのコンポーネントにデフォルトの toleration を適用します。このパラメーターは pinToNodes と同時に使用することはできません。

egress.connectivityPolicy

Red Hat Advanced Cluster Security for Kubernetes をオンラインモードとオフラインモードのどちらで実行するかを設定します。オフラインモードでは、脆弱性定義とカーネルモジュールの自動更新は無効になります。

misc.createSCCs

Central の SCC を作成するには、これを true に設定します。一部の環境では問題が発生する可能性があります。

network.policies

ネットワークレベルでセキュリティーを提供するために、RHACS はセキュアクラスターリソースがインストールされている namespace にデフォルトの NetworkPolicy リソースを作成します。これらのネットワークポリシーは、特定のポート上の特定のコンポーネントへの Ingress を許可します。RHACS でこれらのポリシーを作成しない場合は、このパラメーターを Disabled に設定します。デフォルト値は Enabled です。

overlays

「Operator とオーバーレイを使用したインストールのカスタマイズ」を参照してください。

tls.additionalCAs

セキュアクラスター用の追加の信頼できる CA 証明書。これらの証明書は、プライベート認証局を使用してサービスと統合するときに使用されます。