Red Hat Summit4.4. Red Hat OpenShift に RHACS のセキュアクラスターサービスをインストールする
以下のいずれかの方法を使用して、セキュアクラスターに Red Hat Advanced Cluster Security for Kubernetes (RHACS) をインストールできます。
- Operator を使用してインストールする
- Helm チャートを使用してインストールする
roxctlCLI を使用してインストールする注記roxctl CLI を使用する必要があるという特別なインストール要件がない限り、
roxctlCLI は使用しないでください。
4.4.1. セキュアクラスターサービスのインストールの概要
クラスターを監視するには、環境内のすべてのクラスターにセキュアクラスターサービスをインストールする必要があります。セキュアクラスターサービスは、Red Hat Advanced Cluster Security for Kubernetes (RHACS) Operator を使用して SecuredCluster カスタムリソース (CR) を作成することでインストールできます。
- インストールの要件と依存関係
SecuredClusterCR をインストールする前に、以下の依存関係と配置ルールを理解しておく必要があります。- Central の依存関係
-
SecuredClusterCR をインストールする前に、CentralCR をインストールする必要があります。セキュアクラスターサービスのインストールには、Central によって生成された証明書が必要です。 - namespace の要件
- 併置
-
Central もホストしているクラスターに
SecuredClusterCR をインストールする場合は、Central と同じ namespace にインストールする必要があります。 - 分離
-
クラスターが Central をホストしていない場合は、
SecuredClusterCR を RHACS Operator がインストールされているプロジェクトとは別の、専用のプロジェクトにインストールする必要があります。 - インストールが禁止されている namespace
-
SecuredClusterCR を、istio-systemプロジェクト、またはkube、openshift、redhatというプレフィックスが付いたプロジェクトにインストールしないでください。
- Operator のアノテーションと実行時のデフォルト設定
RHACS Operator は、CR に割り当てられたアノテーションを使用して設定のデフォルト値を管理します。このアノテーションは、
feature-defaults.platform.stackrox.io/<identifier>の形式で表され、以下の目的で使用されます。- 実行時の決定
- Operator が実行時に環境に基づいて設定項目のデフォルト値を決定できるようにします。
- 永続性
- 更新時にも以前の設定内容が保持されるようにします。たとえば、Scanner V4 の有効化など、新しいバージョンでデフォルトの動作が変更された場合も、このアノテーションがあれば既存の設定が安定した状態を維持できます。
これらのアノテーションを変更したり削除したりしないでください。ただし、CR で値を明示的に設定した場合 (たとえば、フィールドを disable に設定した場合)、その明示的な設定は、アノテーションによって管理されるデフォルトの動作よりも優先されます。
4.4.1.1. インストール時に使用される Operator アノテーション
RHACS は、カスタムリソース (CR) にアタッチされたアノテーションを使用します。これにより、Operator を使用して実行されるインストールでは、特定の設定項目のデフォルト値が現在の環境に基づいて Operator によって実行時に決定され、項目の以前に設定された値が保持されます。
一部の設定項目では、インストール時に静的なデフォルト値を使用することは理想的ではありません。RHACS バージョン 4.8 以降、Operator はクラスターに適用する CR にアタッチされるアノテーションを追加できます。これらのアノテーションにより、新規インストールのデフォルトの動作が変更された場合でも、Operator が以前に行ったデフォルトの決定が保持され、将来的に再適用されます。つまり、RHACS はアノテーションを使用して実行時のデフォルトを永続化します。これは、特定の設定のデフォルト値が実行時に Operator によって決定されることを意味します。
たとえば、リリース 4.8 以降では、Scanner V4 を有効にするための値が指定されていない場合、デフォルトの動作では Scanner V4 が有効になります。ただし、CR に disable などの値が設定されている場合、RHACS はその値を使用します。Scanner V4 の例では、バージョン 4.7 では Scanner V4 はデフォルトで無効になっています。Operator を使用してバージョン 4.8 に更新すると、その無効な設定が維持され、Scanner V4 は無効になります。
アノテーションの形式は feature-defaults.platform.stackrox.io/<identifier> です。たとえば、feature-defaults.platform.stackrox.io/scannerV4 は、Operator が RHACS バージョン 4.8 への更新中にデフォルトの Scanner V4 有効化トグルを安定した状態に保つことを可能にするアノテーションです。
これらのアノテーションを変更したり削除したりしないでください。
4.4.1.2. セキュアクラスターサービスのインストール
Operator を使用してクラスターにセキュアクラスターサービスをインストールできます。これにより、SecuredCluster カスタムリソースが作成されます。セキュアクラスターサービスは、監視する環境内のすべてのクラスターにインストールする必要があります。
Red Hat Advanced Cluster Security for Kubernetes をインストールする場合:
-
RHACS を初めてインストールする場合は、
SecuredClusterカスタムリソースのインストールは Central が生成する証明書に依存しているため、最初にCentralカスタムリソースをインストールする必要があります。 -
名前が
kube、openshift、redhatで始まるプロジェクト、またはistio-systemプロジェクトにはSecuredClusterをインストールしないでください。 -
Central もホストしているクラスターに RHACS
SecuredClusterカスタムリソースをインストールする場合は、必ず Central と同じ namespace にインストールしてください。 -
Central をホストしていないクラスターに Red Hat Advanced Cluster Security for Kubernetes
SecuredClusterカスタムリソースをインストールする場合、Red Hat では、Red Hat Advanced Cluster Security for Kubernetes Operator をインストールしたプロジェクトではなく、独自のプロジェクトに Red Hat Advanced Cluster Security for KubernetesSecuredClusterカスタムリソースをインストールすることを推奨します。
前提条件
- OpenShift Container Platform を使用している場合は、バージョン 4.12 以降をインストールした。
- 保護対象のクラスター (セキュアクラスターと呼ばれます) に RHACS Operator をインストールした。
-
クラスター登録シークレット (CRS) または init バンドルを生成し、推奨される
stackroxnamespace 内のクラスターに適用した。
手順
-
セキュアクラスターの OpenShift Container Platform Web コンソールで、Ecosystem
Installed Operators ページに移動します。 - RHACS Operator をクリックします。
推奨される namespace に Operator をインストールした場合、OpenShift Container Platform はプロジェクトを
rhacs-operatorとしてリストします。注記-
Operator を別の namespace にインストールした場合、OpenShift Container Platform は
rhacs-operatorの代わりにその namespace の名前を表示します。
-
Operator を別の namespace にインストールした場合、OpenShift Container Platform は
- Installed Operators をクリックします。
-
CRS または init バンドルを適用した際に、
stackroxnamespace を作成したはずです。メニューで Project:stackrox が選択されていることを確認して、その namespace にいることを確認します。 - Provided APIs で、Secured Cluster をクリックします。
- Create SecuredCluster をクリックします。
Configure via フィールドで次のいずれかのオプションを選択します。
- Form view: 画面上のフィールドを使用してセキュアクラスターを設定する場合、および他のフィールドを変更する必要がない場合は、このオプションを使用します。
- YAML view: このビューは、YAML ファイルを使用してセキュアクラスターをセットアップするために使用します。YAML ファイルがウィンドウに表示され、その中のフィールドを編集できます。このオプションを選択した場合、ファイルの編集が終了したら、Create をクリックします。
- Form view を使用している場合は、デフォルトの名前を受け入れるか編集して、新しいプロジェクト名を入力します。デフォルト値は stackrox-secured-cluster-services です。
- オプション: クラスターのラベルを追加します。
-
SecuredClusterカスタムリソースの一意の名前を入力します。 Central Endpoint に、Central インスタンスのアドレスを入力します。たとえば、Central が
https://central.example.comで利用できる場合は、Central エンドポイントをcentral.example.comに指定します。-
Central がインストールされている同じクラスターにセキュアクラスターサービスをインストールする場合に のみ、デフォルト値
central.stackrox.svc:443を使用します。 - 複数のクラスターを設定する場合は、デフォルト値を使用しないでください。代わりに、各クラスターの Central Endpoint 値を設定するときにホスト名を使用します。
-
Central がインストールされている同じクラスターにセキュアクラスターサービスをインストールする場合に のみ、デフォルト値
- 残りのフィールドでは、デフォルト値を受け入れるか、必要に応じてカスタム値を設定します。たとえば、カスタム証明書または信頼されていない CA を使用している場合は、TLS の設定が必要になる場合があります。詳細は、「Operator を使用した RHACS のセキュアクラスターサービスオプションの設定」を参照してください。
ファイルアクティビティー監視を使用するには、SFA エージェントを有効にする必要があります。
- SFA を展開します。
- SFA Agent リストから Enabled を選択します。
- Create をクリックします。
少し待った後、SecuredClusters ページに
stackrox-secured-cluster-servicesのステータスが表示されます。次のような状態が表示される場合があります。- Conditions: Deployed, Initialized: セキュアクラスターサービスがインストールされており、セキュアクラスターが Central と通信しています。
- Conditions: Initialized, Irreconcilable: セキュアクラスターが Central と通信していません。RHACS Web ポータルで作成した CRS または init バンドルがセキュアクラスターに適用されていることを確認してください。
次のステップ
- 追加のセキュアクラスター設定を設定します (オプション)。
- インストールの検証
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}