Red Hat Summit2.2. 中央サービス (セルフマネージド)
Red Hat Advanced Cluster Security Cloud Service (RHACS Cloud Service) を使用している場合、 Central サービスは Red Hat によって管理されるため、Central サービスの要件を確認する必要はありません。確認する必要があるのは、セキュアなクラスターサービスの要件のみです。
Central サービスには次のコンポーネントが含まれています。
- Central
- Scanner
2.2.1. Central
Central と呼ばれるコンテナー化されたサービスは API インタラクションと RHACS Web ポータルアクセスを処理し、Central DB (PostgreSQL 13) と呼ばれるコンテナー化されたサービスはデータの永続性を処理します。
Central DB には永続ストレージが必要です。
ストレージは永続ボリューム要求 (PVC) を使用して提供できます。
注記hostPath ボリュームをストレージに使用できるのは、すべてのホスト (またはホストのグループ) が NFS 共有やストレージアプライアンスなどの共有ファイルシステムをマウントしている場合のみです。それ以外の場合、データは単一のノードにのみ保存されます。Red Hat は、hostPath ボリュームの使用を推奨していません。
- 最高のパフォーマンスを得るには、ソリッドステートドライブ (SSD) を使用してください。ただし、SSD を使用できない場合は、別のタイプのストレージを使用できます。
Web プロキシーまたはファイアウォールを使用する場合は、
definitions.stackrox.ioドメインとcollector-modules.stackrox.ioドメインのトラフィックを許可するバイパスルールを設定し、Red Hat Advanced Cluster Security for Kubernetes が Web プロキシーまたはファイアウォールを信頼できるようにする必要があります。そうしないと、脆弱性定義とカーネルサポートパッケージの更新が失敗します。Red Hat Advanced Cluster Security for Kubernetes には、以下へのアクセスが必要です。
-
definitions.stackrox.io では、更新された脆弱性定義がダウンロードできます。脆弱性定義の更新により、Red Hat Advanced Cluster Security for Kubernetes は、新しい脆弱性が発見されたとき、または追加のデータソースが追加されたときに、最新の脆弱性データを維持できます。 -
更新されたカーネルサポートパッケージをダウンロードするには、
collector-modules.stackrox.ioを使用します。更新されたカーネルサポートパッケージにより、Red Hat Advanced Cluster Security for Kubernetes は、最新のオペレーティングシステムをモニターし、コンテナー内で実行されているネットワークトラフィックとプロセスに関するデータを収集できます。これらの更新がないと、クラスターに新しいノードを追加したり、ノードのオペレーティングシステムを更新したりすると、Red Hat Advanced Cluster Security for Kubernetes がコンテナーのモニターに失敗する可能性があります。
-
セキュリティー上の理由から、管理アクセスが制限されたクラスターに Central をデプロイする必要があります。
メモリー、CPU、およびストレージの要件
次の表に、Central のインストールと実行に必要な最小メモリーとストレージの値を示します。
| Central | CPU | メモリー | ストレージ |
|---|---|---|---|
| 要求 | 1.5 コア | 4 GiB | 100 GiB |
| 制限 | 4 コア | 8 GiB | 100 GiB |
Central ではデータを保存するために Central DB が必要です。次の表に、Central DB のインストールと実行に必要な最小メモリーとストレージの値を示します。
| Central DB | CPU | メモリー | ストレージ |
|---|---|---|---|
| 要求 | 4 コア | 8 GiB | 100 GiB |
| 制限 | 8 コア | 16 GiB | 100 GiB |
2.2.2. Scanner
Red Hat Advanced Cluster Security for Kubernetes には、Scanner と呼ばれるイメージ脆弱性 Scanner が含まれています。このサービスは、イメージレジストリーに統合されているスキャナーでスキャンされていないイメージをスキャンします。
メモリーと CPU の要件
| Scanner | CPU | メモリー |
|---|---|---|
| 要求 | 1 コア | 1500 MiB |
| 制限 | 2 コア | 4000 MiB |
スキャナーはデータを保存するために Scanner-DB を必要とします。次の表に、Scanner-DB のインストールと実行に必要な最小メモリーとストレージの値を示します。
| Scanner-DB | CPU | メモリー |
|---|---|---|
| 要求 | .2 コア | 200 MiB |
| 制限 | 2 コア | 4000 MiB |
