5.2. 他のプラットフォームでの RHACS の Central サービスのインストール

Central は、RHACS アプリケーション管理インターフェイスとサービスを含むリソースです。データの永続性、API インタラクション、および RHACS ポータルアクセスを処理します。同じ Central インスタンスを使用して、複数の OpenShift Container Platform または Kubernetes クラスターを保護できます。

次のいずれかの方法を使用して、Central をインストールできます。

Helm チャートを使用してインストールする
roxctl CLI を使用してインストールします (この方法を使用する必要がある特定のインストールが必要でない限り、この方法は使用しないでください)。

5.2.1. Helm チャートを使用して Central をインストールする

カスタマイズせずに Helm チャートを使用するか、デフォルト値を使用するか、設定パラメーターをさらにカスタマイズして Helm チャートを使用することにより、Central をインストールできます。

5.2.1.1. カスタマイズせずに Helm チャートを使用して Central をインストールする

RHACS は、カスタマイズなしで Red Hat OpenShift クラスターにインストールできます。Helm チャートリポジトリーを追加し、Central-Services Helm チャートをインストールして、Central と Scanner の一元化されたコンポーネントをインストールする必要があります。

5.2.1.1.1. Helm チャートリポジトリーの追加

手順

RHACS チャートリポジトリーを追加します。

$ helm repo add rhacs https://mirror.openshift.com/pub/rhacs/charts/

Red Hat Advanced Cluster Security for Kubernetes の Helm リポジトリーには、異なるコンポーネントをインストールするための Helm チャートが含まれています。

集中型コンポーネント (Central および Scanner) をインストールするための Central サービス Helm チャート (central-services)。
注記
集中型コンポーネントは 1 回だけデプロイします。同じインストールを使用して複数の別のクラスターを監視できます。
クラスターおよびノードごとのコンポーネント (Sensor、Admission Controller、Collector、および Scanner-slim) をインストールするためのセキュアクラスターサービスの Helm チャート (secured-cluster-services)。
注記
モニターする各クラスターにクラスターごとのコンポーネントをデプロイし、モニターするすべてのノードにノードごとのコンポーネントをデプロイします。

検証

次のコマンドを実行して、追加されたチャートリポジトリーを確認します。
```
$ helm search repo -l rhacs/
```

5.2.1.1.2. カスタマイズせずに central-services Helm チャートをインストールする

次の手順を使用して、central-services Helm チャートをインストールし、集中型コンポーネント (Central および Scanner) をデプロイします。

前提条件

Red Hat Container Registry へのアクセスがあること。registry.redhat.io からイメージをダウンロードする方法は、Red Hat コンテナーレジストリーの認証を参照してください。

手順

次のコマンドを実行して Central services をインストールし、ルートを使用して Central を公開します。
```
$ helm install -n stackrox \
  --create-namespace stackrox-central-services rhacs/central-services \
  --set imagePullSecrets.username=<username> \ 1
  --set imagePullSecrets.password=<password> \ 2
  --set central.exposure.route.enabled=true
```
1
Red Hat Container Registry 認証のプルシークレットのユーザー名を含めます。
2
Red Hat Container Registry 認証のプルシークレットのパスワードを含めます。
または、次のコマンドを実行して Central services をインストールし、ロードバランサーを使用して Central を公開します。
```
$ helm install -n stackrox \
  --create-namespace stackrox-central-services rhacs/central-services \
  --set imagePullSecrets.username=<username> \ 1
  --set imagePullSecrets.password=<password> \ 2
  --set central.exposure.loadBalancer.enabled=true
```
1
Red Hat Container Registry 認証のプルシークレットのユーザー名を含めます。
2
Red Hat Container Registry 認証のプルシークレットのパスワードを含めます。
または、次のコマンドを実行して Central services をインストールし、port forward を使用して Central を公開します。
```
$ helm install -n stackrox \
  --create-namespace stackrox-central-services rhacs/central-services \
  --set imagePullSecrets.username=<username> \ 1
  --set imagePullSecrets.password=<password>  2
```
1
Red Hat Container Registry 認証のプルシークレットのユーザー名を含めます。
2
Red Hat Container Registry 認証のプルシークレットのパスワードを含めます。

重要

外部サービスに接続するためにプロキシーが必要なクラスターに Red Hat Cluster Security for Kubernetes をインストールする場合は、proxyConfig パラメーターを使用してプロキシー設定を指定する必要があります。以下に例を示します。
```
env:
  proxyConfig: |
    url: http://proxy.name:port
    username: username
    password: password
    excludes:
    - some.domain
```
インストール先の namespace に 1 つ以上のイメージプルシークレットをすでに作成している場合は、ユーザー名とパスワードを使用する代わりに、--set imagePullSecrets.useExisting="<pull-secret-1;pull-secret-2>" を使用できます。
イメージプルシークレットは使用しないでください。
- quay.io/stackrox-io または認証を必要としないプライベートネットワークのレジストリーからイメージを取得する場合。ユーザー名とパスワードを指定する代わりに、--set imagePullSecrets.allowNone=true を使用します。
- インストールする namespace のデフォルトサービスアカウントでイメージプルシークレットをすでに設定している場合。ユーザー名とパスワードを指定する代わりに、--set imagePullSecrets.useFromDefaultServiceAccount=true を使用します。

インストールコマンドの出力は次のとおりです。

自動的に生成された管理者パスワード。
すべての設定値を保存するための手順。
Helm が生成する警告。

5.2.1.2. カスタマイズされた Helm チャートを使用して Central をインストールする

helm install および helm upgrade コマンドで Helm チャート設定パラメーターを使用することにより、Red Hat OpenShift クラスターに RHACS をカスタマイズしてインストールできます。これらのパラメーターは、--set オプションを使用するか、YAML 設定ファイルを作成することで指定できます。

以下のファイルを作成して、Red Hat Advanced Cluster Security for Kubernetes をインストールするための Helm チャートを設定します。

パブリック設定ファイル values-public.yaml: このファイルを使用して、機密性の低いすべての設定オプションを保存します。
プライベート設定ファイル values-private.yaml: このファイルを使用して、機密性の高いすべての設定オプションを保存します。このファイルは安全に保管してください。
設定ファイル declarative-config-values.yaml: 宣言設定を使用して宣言設定マウントを Central に追加する場合は、このファイルを作成します。

5.2.1.2.1. プライベート設定ファイル

このセクションでは、values-private.yaml ファイルの設定可能なパラメーターをリストします。これらのパラメーターのデフォルト値はありません。

5.2.1.2.1.1. イメージプルのシークレット

レジストリーからイメージをプルするために必要な認証情報は、以下の要素によって異なります。

カスタムレジストリーを使用している場合、以下のパラメーターを指定する必要があります。
- imagePullSecrets.username
- imagePullSecrets.password
- image.registry
カスタムレジストリーへのログインにユーザー名とパスワードを使用しない場合は、以下のいずれかのパラメーターを指定する必要があります。
- imagePullSecrets.allowNone
- imagePullSecrets.useExisting
- imagePullSecrets.useFromDefaultServiceAccount

パラメーター	説明
`imagePullSecrets.username`	レジストリーへのログインに使用されるアカウントのユーザー名。
`imagePullSecrets.password`	レジストリーへのログインに使用されるアカウントのパスワード
`imagePullSecrets.allowNone`	カスタムレジストリーを使用していて、クレデンシャルなしでイメージをプルできる場合は、`true` を使用します。
`imagePullSecrets.useExisting`	値としてのシークレットのコンマ区切りリスト。たとえば、`secret1, secret2, secretN` です。ターゲット namespace に指定された名前で既存のイメージプルシークレットをすでに作成している場合は、このオプションを使用します。
`imagePullSecrets.useFromDefaultServiceAccount`	十分なスコープのイメージプルシークレットを使用してターゲット namespace にデフォルトのサービスアカウントをすでに設定している場合は、`true` を使用します。

5.2.1.2.1.2. プロキシー設定

外部サービスに接続するためにプロキシーが必要なクラスターに Red Hat Cluster Security for Kubernetes をインストールする場合は、proxyConfig パラメーターを使用してプロキシー設定を指定する必要があります。以下に例を示します。

env:
  proxyConfig: |
    url: http://proxy.name:port
    username: username
    password: password
    excludes:
    - some.domain

パラメーター	説明
`env.proxyConfig`	プロキシー設定。

5.2.1.2.1.3. Central

Central の設定可能なパラメーター。

新規インストールの場合、次のパラメーターをスキップできます。

central.jwtSigner.key
central.serviceTLS.cert
central.serviceTLS.key
central.adminPassword.value
central.adminPassword.htpasswd
central.db.serviceTLS.cert
central.db.serviceTLS.key
central.db.password.value
これらのパラメーターの値を指定しない場合、Helm チャートはそれらの値を自動生成します。
これらの値を変更する場合は、helm upgrade コマンドを使用し、--set オプションを使用して値を指定できます。

重要

管理者パスワードの設定には、central.adminPassword.value または central.adminPassword.htpasswd のいずれかのみを使用できますが、両方を使用することはできません。

パラメーター	説明
`central.jwtSigner.key`	Red Hat Advanced Cluster Security for Kubernetes が認証用の JSON Web トークン (JWT) に署名するために使用する必要がある秘密鍵。
`central.serviceTLS.cert`	Central サービスが Central をデプロイするために使用する必要がある内部証明書。
`central.serviceTLS.key`	Central サービスが使用する必要がある内部証明書の秘密鍵。
`central.defaultTLS.cert`	Central が使用する必要のあるユーザー向けの証明書。Red Hat Advanced Cluster Security for Kubernetes は、RHACS ポータルにこの証明書を使用します。新規インストールの場合は、証明書を提供する必要があります。提供しない場合、Red Hat Advanced Cluster Security for Kubernetes は自己署名証明書を使用して Central をインストールします。アップグレードする場合、Red Hat Advanced Cluster Security for Kubernetes は既存の証明書とそのキーを使用します。
`central.defaultTLS.key`	Central が使用する必要のあるユーザー向け証明書の秘密鍵。新規インストールの場合は、秘密鍵を指定する必要があります。指定しない場合、Red Hat Advanced Cluster Security for Kubernetes は自己署名証明書を使用して Central をインストールします。アップグレードする場合、Red Hat Advanced Cluster Security for Kubernetes は既存の証明書とそのキーを使用します。
`central.db.password.value`	Central DB の接続パスワード。
`central.adminPassword.value`	Red Hat Advanced Cluster Security for Kubernetes にログインするための管理者パスワード。
`central.adminPassword.htpasswd`	Red Hat Advanced Cluster Security for Kubernetes にログインするための管理者パスワード。このパスワードは、bcrypt を使用してハッシュ形式で保存されます。
`central.db.serviceTLS.cert`	Central DB サービスが Central DB をデプロイするために使用する内部証明書。
`central.db.serviceTLS.key`	Central DB サービスが使用する内部証明書の秘密キー。
`central.db.password.value`	Central DB への接続に使用されるパスワード。

注記

Central.adminPassword.htpasswd パラメーターを使用している場合は、bcrypt でエンコードされたパスワードハッシュを使用する必要があります。コマンド htpasswd -nB admin を実行して、パスワードハッシュを生成できます。以下に例を示します。

htpasswd: |
  admin:<bcrypt-hash>

5.2.1.2.1.4. Scanner

Scanner の設定可能なパラメーター。

新規インストールの場合、次のパラメーターをスキップでき、Helm チャートがそれらの値を自動生成します。それ以外の場合、新しいバージョンにアップグレードする場合は、以下のパラメーターの値を指定してください。

scanner.dbPassword.value
scanner.serviceTLS.cert
scanner.serviceTLS.key
scanner.dbServiceTLS.cert
scanner.dbServiceTLS.key

パラメーター	説明
`scanner.dbPassword.value`	Scanner データベースでの認証に使用するパスワード。Red Hat Advanced Cluster Security for Kubernetes はその値を内部で自動的に作成して使用するため、このパラメーターは変更しないでください。
`scanner.serviceTLS.cert`	Scanner サービスが Scanner のデプロイに使用する必要がある内部証明書。
`scanner.serviceTLS.key`	Scanner サービスが使用する必要がある内部証明書の秘密鍵。
`scanner.dbServiceTLS.cert`	Scanner-db サービスが Scanner データベースをデプロイするために使用する必要がある内部証明書。
`scanner.dbServiceTLS.key`	Scanner-db サービスが使用する必要がある内部証明書の秘密鍵。

5.2.1.2.2. パブリック設定ファイル

このセクションでは、values-public.yaml ファイルの設定可能なパラメーターをリストします。

5.2.1.2.2.1. イメージプルのシークレット

イメージプルシークレットは、レジストリーからイメージをプルするために必要なクレデンシャルです。

パラメーター	説明
`imagePullSecrets.allowNone`	カスタムレジストリーを使用していて、クレデンシャルなしでイメージをプルできる場合は、`true` を使用します。
`imagePullSecrets.useExisting`	値としてのシークレットのコンマ区切りリスト。たとえば、`secret1, secret2`。ターゲット namespace に指定された名前で既存のイメージプルシークレットをすでに作成している場合は、このオプションを使用します。
`imagePullSecrets.useFromDefaultServiceAccount`	十分なスコープのイメージプルシークレットを使用してターゲット namespace にデフォルトのサービスアカウントをすでに設定している場合は、`true` を使用します。

5.2.1.2.2.2. Image

Image は、Helm チャートが central.image、scanner.image、および scanner.dbImage パラメーターのイメージを解決するために使用するメインレジストリーをセットアップするための設定を宣言します。

パラメーター	説明
`image.registry`	イメージレジストリーのアドレス。`Registry.redhat.io` などのホスト名、または `us.gcr.io/stackrox-mirror` などのリモートレジストリーホスト名のいずれかを使用します。

5.2.1.2.2.3. 環境変数

Red Hat Advanced Cluster Security for Kubernetes は、クラスター環境を自動的に検出し、env.openshift、env.istio、および env.platform の値を設定します。クラスター環境の自動検出をオーバーライドするには、これらの値のみを設定してください。

パラメーター	説明
`env.openshift`	OpenShift Container Platform クラスターにインストールし、クラスター環境の自動検出をオーバーライドする場合は、`true` を使用します。
`env.istio`	`true` を使用して、Istio が有効化されたクラスターにインストールし、クラスター環境の自動検出をオーバーライドします。
`env.platform`	Red Hat Advanced Cluster Security for Kubernetes をインストールするプラットフォーム。その値を `default` または `gke` に設定して、クラスタープラットフォームを指定し、クラスター環境の自動検出をオーバーライドします。
`env.offlineMode`	オフラインモードで Red Hat Advanced Cluster Security for Kubernetes を使用するには、`true` を使用します。

5.2.1.2.2.4. 追加の信頼された認証局

Red Hat Advanced Cluster Security for Kubernetes は、信頼するシステムルート証明書を自動的に参照します。Central または Scanner が、組織内の機関またはグローバルに信頼されているパートナー組織によって発行された証明書を使用するサービスに到達する必要がある場合、次のパラメーターを使用して信頼するルート認証局を指定することにより、これらのサービスの信頼を追加できます。

パラメーター	説明
`additionalCAs.<certificate_name>`	信頼するルート認証局の PEM エンコード証明書を指定します。

5.2.1.2.2.5. Central

Central の設定可能なパラメーター。

hostPath または PersistentVolumeClaim のいずれかとして永続ストレージオプションを指定する必要があります。
外部アクセス用の Central のデプロイメントを公開するため。1 つのパラメーター、central.exposure.loadBalancer、central.exposure.nodePort、または central.exposure.route のいずれかを指定する必要があります。これらのパラメーターに値を指定しない場合は、手動で Central を公開するか、ポート転送を使用して Central にアクセスする必要があります。

次の表には、外部 PostgreSQL データベース (テクノロジープレビュー) の設定が含まれています。

重要

外部 PostgreSQL サポートはテクノロジープレビュー機能のみです。テクノロジープレビュー機能は、Red Hat 製品サポートのサービスレベルアグリーメント (SLA) の対象外であり、機能的に完全ではない場合があります。Red Hat は、実稼働環境でこれらを使用することを推奨していません。テクノロジープレビュー機能は、最新の製品機能をいち早く提供して、開発段階で機能のテストを行いフィードバックを提供していただくことを目的としています。

Red Hat のテクノロジープレビュー機能のサポート範囲に関する詳細は、テクノロジープレビュー機能のサポート範囲を参照してください。

パラメーター	説明
`central.declarativeConfiguration.mounts.configMaps`	宣言的設定に使用される config map をマウントします。
`Central.declarativeConfiguration.mounts.secrets`	宣言型設定に使用されるシークレットをマウントします。
`central.endpointsConfig`	Central のエンドポイント設定オプションです。
`central.nodeSelector`	ノードセレクターが taint されたノードを選択する場合は、このパラメーターを使用して、Central の taint toleration キー、値、および effect を指定します。このパラメーターは、主にインフラストラクチャーノードに使用されます。
`central.tolerations`	ノードセレクターが taint されたノードを選択する場合は、このパラメーターを使用して、Central の taint toleration キー、値、および effect を指定します。このパラメーターは、主にインフラストラクチャーノードに使用されます。
`central.exposeMonitoring`	ポート番号 `9090` で Central の Prometheus メトリクスエンドポイントを公開するには、`true` を指定します。
`central.image.registry`	Central イメージのグローバル `image.registry` パラメーターをオーバーライドするカスタムレジストリーです。
`central.image.name`	デフォルトの Central イメージ名 (`main`) をオーバーライドするカスタムイメージ名。
`central.image.tag`	Central イメージのデフォルトタグをオーバーライドするカスタムイメージタグです。新規インストール時に独自のイメージタグを指定した場合は、`helm upgrade` コマンドを実行して新しいバージョンにアップグレードするときに、このタグを手動でインクリメントする必要があります。独自のレジストリーで Central イメージをミラーリングする場合は、元のイメージタグを変更しないでください。
`central.image.fullRef`	Central イメージのレジストリーアドレス、イメージ名、およびイメージタグを含む完全なリファレンスです。このパラメーターの値を設定すると、`central.image.registry`、`central.image.name`、および `central.image.tag` パラメーターがオーバーライドされます。
`central.resources.requests.memory`	Central がデフォルト値をオーバーライドするためのメモリーリクエストです。
`central.resources.requests.cpu`	Central がデフォルト値をオーバーライドするための CPU リクエストです。
`central.resources.limits.memory`	Central がデフォルト値をオーバーライドためのメモリー制限です。
`central.resources.limits.cpu`	Central がデフォルト値をオーバーライドための CPU 制限です。
`central.persistence.hostPath`	RHACS がデータベースボリュームを作成するノード上のパス。Red Hat はこのオプションの使用を推奨していません。
`central.persistence.persistentVolumeClaim.claimName`	使用している永続ボリューム要求 (PVC) の名前です。
`central.persistence.persistentVolumeClaim.createClaim`	新しい PVC を作成するには `true` を使用し、既存のクレームを使用するには `false` を使用します。
`central.persistence.persistentVolumeClaim.size`	指定された要求によるマネージドの永続ボリュームのサイズ (GiB 単位) です。
`central.exposure.loadBalancer.enabled`	ロードバランサーを使用して Central を公開するには、`true` を使用します。
`central.exposure.loadBalancer.port`	Central を公開するポート番号です。デフォルトのポート番号は 443 です。
`central.exposure.nodePort.enabled`	`true` を使用して、ノードポートサービスを使用して Central を公開します。
`central.exposure.nodePort.port`	Central を公開するポート番号です。このパラメーターをスキップすると、OpenShift Container Platform は自動的にポート番号を割り当てます。Red Hat では、ノードポートを使用して Red Hat Advanced Cluster Security for Kubernetes を公開する場合、ポート番号を指定しないことを推奨しています。
`central.exposure.route.enabled`	ルートを使用して Central を公開するには、`true` を使用します。このパラメーターは、OpenShift Container Platform クラスターでのみ使用できます。
`central.db.external`	(テクノロジープレビュー) Central DB をデプロイメントせず、外部データベースを使用することを指定するには、`true` を使用します。
`central.db.source.connectionString`	(テクノロジープレビュー) Central がデータベースへの接続に使用する接続文字列。これは、`central.db.external` が true に設定されている場合にのみ使用されます。接続文字列は、PostgreSQL ドキュメントの追加リソースで説明されているように、キーワード/値の形式である必要があります。 PostgreSQL 13 のみがサポートされています。 PgBouncer を介した接続はサポートされていません。ユーザーは、データベースを作成および削除できるスーパーユーザーである必要があります。
`central.db.source.minConns`	確立されるデータベースへの接続の最小数。
`central.db.source.maxConns`	確立されるデータベースへの接続の最大数。
`central.db.source.statementTimeoutMs`	単一のクエリーまたはトランザクションがデータベースに対してアクティブにできるミリ秒数。
`central.db.postgresConfig`	PostgreSQL ドキュメントの「追加リソース」で説明されているように、Central DB に使用される postgresql.conf。
`central.db.hbaConfig`	PostgreSQL ドキュメントの「追加リソース」で説明されているように、Central DB に使用される pg_hba.conf。
`central.db.nodeSelector`	ノードセレクターのラベルを `label-key: label-value` の形式で指定して、指定したラベルを持つノードでのみ Central DB をスケジュールするように強制します。
`central.db.image.registry`	Central DB イメージのグローバル `image.registry` パラメーターをオーバーライドするカスタムレジストリー。
`central.db.image.name`	デフォルトの Central DB イメージ名 (`central-db`) をオーバーライドするカスタムイメージ名。
`central.db.image.tag`	Central DB イメージのデフォルトのタグをオーバーライドするカスタムイメージタグ。新規インストール時に独自のイメージタグを指定した場合は、`helm upgrade` コマンドを実行して新しいバージョンにアップグレードするときに、このタグを手動でインクリメントする必要があります。Central DB イメージを独自のレジストリーにミラーリングする場合は、元のイメージタグを変更しないでください。
`central.db.image.fullRef`	Central DB イメージのレジストリーアドレス、イメージ名、イメージタグを含む完全なリファレンス。このパラメーターの値を設定すると、`central.db.image.registry`、`central.db.image.name`、および `central.db.image.tag` パラメーターがオーバーライドされます。
`central.db.resources.requests.memory`	Central DB がデフォルト値をオーバーライドするためのメモリー要求。
`central.db.resources.requests.cpu`	Central DB がデフォルト値をオーバーライドするための CPU 要求。
`central.db.resources.limits.memory`	Central DB がデフォルト値をオーバーライドするためのメモリー制限。
`central.db.resources.limits.cpu`	Central DB がデフォルト値をオーバーライドするための CPU 制限。
`central.db.persistence.hostPath`	RHACS がデータベースボリュームを作成するノード上のパス。Red Hat はこのオプションの使用を推奨していません。
`central.db.persistence.persistentVolumeClaim.claimName`	使用している永続ボリューム要求 (PVC) の名前です。
`central.db.persistence.persistentVolumeClaim.createClaim`	`true` を使用して新しい永続ボリューム要求を作成するか、`false` を使用して既存の要求を使用します。
`central.db.persistence.persistentVolumeClaim.size`	指定された要求によるマネージドの永続ボリュームのサイズ (GiB 単位) です。

5.2.1.2.2.6. Scanner

Scanner の設定可能なパラメーター。

パラメーター	説明
`scanner.disable`	Scanner を使用せずに Red Hat Advanced Cluster Security for Kubernetes をインストールする場合は `true` を使用します。`helm upgrade` コマンドで使用すると、Helm は既存の Scanner のデプロイメントを削除します。
`scanner.exposeMonitoring`	`true` を指定すると、ポート番号 `9090` でスキャナーの Prometheus メトリックエンドポイントが公開されます。
`scanner.replicas`	Scanner のデプロイメント用に作成するレプリカの数です。`Scanner.autoscaling` パラメーターと一緒に使用する場合、この値はレプリカの初期数を設定します。
`scanner.logLevel`	Scanner のログレベルを設定します。Red Hat では、ログレベルのデフォルト値 (`INFO`) を変更しないことを推奨しています。
`scanner.nodeSelector`	ノードセレクターのラベルを `label-key: label-value` の形式で指定して、指定したラベルを持つノードでのみ Scanner をスケジュールするように強制します。
`scanner.tolerations`	ノードセレクターが taint されたノードを選択する場合は、このパラメーターを使用して、Scanner の taint toleration キー、値、および effect を指定します。このパラメーターは、主にインフラストラクチャーノードに使用されます。
`scanner.autoscaling.disable`	`true` を使用した Scanner のデプロイメントの自動スケーリングを無効にします。自動スケーリングを無効にすると、`minReplicas` パラメーターと `maxReplicas` パラメーターは効果がありません。
`scanner.autoscaling.minReplicas`	自動スケーリングのレプリカの最小数です。
`scanner.autoscaling.maxReplicas`	自動スケーリングのレプリカの最大数です。
`scanner.resources.requests.memory`	Scanner がデフォルト値をオーバーライドするためのメモリーリクエストです。
`scanner.resources.requests.cpu`	Scanner がデフォルト値をオーバーライドするための CPU リクエストです。
`scanner.resources.limits.memory`	Scanner がデフォルト値をオーバーライドするためのメモリー制限です。
`scanner.resources.limits.cpu`	Scanner がデフォルト値をオーバーライドするための CPU 制限です。
`scanner.dbResources.requests.memory`	Scanner データベースのデプロイメントがデフォルト値をオーバーライドするためのメモリーリクエストです。
`scanner.dbResources.requests.cpu`	Scanner データベースのデプロイメントがデフォルト値をオーバーライドするための CPU リクエストです。
`scanner.dbResources.limits.memory`	Scanner データベースのデプロイメントがデフォルト値をオーバーライドするためのメモリー制限です。
`scanner.dbResources.limits.cpu`	Scanner データベースのデプロイメントがデフォルト値をオーバーライドするための CPU 制限です。
`scanner.image.registry`	Scanner イメージのカスタムレジストリーです。
`scanner.image.name`	デフォルトの Scanner イメージ名 (`scanner`) をオーバーライドするカスタムイメージ名です。
`scanner.dbImage.registry`	Scanner DB イメージのカスタムレジストリーです。
`scanner.dbImage.name`	デフォルトの Scanner DB イメージ名 (`scanner-db`) をオーバーライドするカスタムイメージ名です。
`scanner.dbNodeSelector`	ノードセレクターのラベルを `label-key: label-value` の形式で指定して、指定したラベルを持つノードでのみ Scanner DB をスケジュールするように強制します。
`scanner.dbTolerations`	ノードセレクターが taint されたノードを選択する場合は、このパラメーターを使用して、Scanner DB の taint toleration キー、値、および effect を指定します。このパラメーターは、主にインフラストラクチャーノードに使用されます。

5.2.1.2.2.7. カスタマイズ

これらのパラメーターを使用して、Red Hat Advanced Cluster Security for Kubernetes が作成するすべてのオブジェクトの追加の属性を指定します。

パラメーター	説明
`customize.labels`	すべてのオブジェクトにアタッチするカスタムラベルです。
`customize.annotations`	すべてのオブジェクトにアタッチするカスタムアノテーションです。
`customize.podLabels`	すべてのデプロイメントにアタッチするカスタムラベルです。
`customize.podAnnotations`	すべてのデプロイメントにアタッチするカスタムアノテーションです。
`customize.envVars`	すべてのオブジェクトのすべてのコンテナーのカスタム環境変数。
`customize.central.labels`	Central が作成するすべてのオブジェクトに割り当てるカスタムラベル。
`customize.central.annotations`	Central が作成するすべてのオブジェクトに割り当てるカスタムアノテーション。
`customize.central.podLabels`	すべての Central のデプロイメントにアタッチするカスタムラベルです。
`customize.central.podAnnotations`	すべての Central のデプロイメントにアタッチするカスタムアノテーションです。
`customize.central.envVars`	すべての Central コンテナーのカスタム環境変数。
`customize.scanner.labels`	Scanner が作成するすべてのオブジェクトに割り当てるカスタムラベル。
`customize.scanner.annotations`	Scanner が作成するすべてのオブジェクトに割り当てるカスタムアノテーション。
`customize.scanner.podLabels`	すべての Scanner のデプロイメントにアタッチするカスタムラベルです。
`customize.scanner.podAnnotations`	すべての Scanner のデプロイメントにアタッチするカスタムアノテーションです。
`customize.scanner.envVars`	すべての Scanner コンテナーのカスタム環境変数。
`customize.scanner-db.labels`	Scanner DB が作成するすべてのオブジェクトに割り当てるカスタムラベル。
`customize.scanner-db.annotations`	Scanner DB が作成するすべてのオブジェクトに割り当てるカスタムアノテーション。
`customize.scanner-db.podLabels`	すべての Scanner DB のデプロイメントにアタッチするカスタムラベルです。
`customize.scanner-db.podAnnotations`	すべての Scanner DB のデプロイメントにアタッチするカスタムアノテーションです。
`customize.scanner-db.envVars`	すべての Scanner DB コンテナーのカスタム環境変数です。

以下のように使用することもできます。

すべてのオブジェクトのラベルとアノテーションを指定するための customize.other.service/*.labels および customize.other.service/*.annotations パラメーターです。
または、特定のサービス名を指定します。たとえば、customize.other.service/central-loadbalancer.labels と customize.other.service/central-loadbalancer.annotations をパラメーターとして指定し、それらの値を設定します。

5.2.1.2.2.8. 高度なカスタマイズ

重要

このセクションで指定されているパラメーターは、情報提供のみを目的としています。Red Hat は、namespace とリリース名が変更された Red Hat Advanced Cluster Security for Kubernetes インスタンスをサポートしていません。

パラメーター	説明
`allowNonstandardNamespace`	`true` を使用して、Red Hat Advanced Cluster Security for Kubernetes をデフォルトの namespace `stackrox` 以外の namespace にデプロイします。
`allowNonstandardReleaseName`	`true` を使用して、Red Hat Advanced Cluster Security for Kubernetes をデフォルトの `stackrox-central-services` 以外のリリース名でデプロイします。

5.2.1.2.3. 宣言的な設定値

宣言型設定を使用するには、宣言型設定マウントを Central に追加する YAML ファイル (この例では declarative-config-values.yaml という名前) を作成する必要があります。このファイルは Helm インストールで使用されます。

手順

次の例をガイドラインとして使用して、YAML ファイル (この例では declarative-config-values.yaml という名前) を作成します。
```
central:
  declarativeConfiguration:
    mounts:
      configMaps:
        - declarative-configs
      secrets:
        - sensitive-declarative-configs
```
「central-services Helm チャートのインストール」の説明に従って、declarative-config-values.yaml ファイルを参照して、Central サービス Helm チャートをインストールします。

関連情報

5.2.1.2.4. central-services Helm チャートのインストール

values-public.yaml ファイルと values-private.yaml ファイルを設定した後、central-services Helm チャートをインストールして、集中型コンポーネント (Central と Scanner) をデプロイします。

手順

以下のコマンドを実行します。

$ helm install -n stackrox --create-namespace \
  stackrox-central-services rhacs/central-services \
  -f <path_to_values_public.yaml> -f <path_to_values_private.yaml> 1

1: -f オプションを使用して、YAML 設定ファイルのパスを指定します。

注記

オプション: 宣言型設定を使用する場合は、このコマンドに -f <path_to_declarative-config-values.yaml を追加して、宣言型設定ファイルを Central にマウントします。

5.2.1.3. central-services Helm チャートをデプロイした後の設定オプションの変更

central-services Helm チャートをデプロイした後、任意の設定オプションに変更を加えることができます。

手順

values-public.yaml および values-private.yaml 設定ファイルを新しい値で更新します。
helm upgrade コマンドを実行し、-f オプションを使用して設定ファイルを指定します。
```
$ helm upgrade -n stackrox \
  stackrox-central-services rhacs/central-services \
  -f <path_to_values_public.yaml> \
  -f <path_to_values_private.yaml>
```
注記
--set または --set-file パラメーターを使用して設定値を指定することもできます。ただし、これらのオプションは保存されないため、変更を加えるたびにすべてのオプションを手動で再度指定する必要があります。

5.2.2. roxctl CLI を使用して Central をインストールする

警告

実稼働環境では、Red Hat は Operator または Helm チャートを使用して RHACS をインストールすることを推奨しています。この方法を使用する必要がある特定のインストールがない限り、roxctl のインストール手法を使用しないでください。

5.2.2.1. roxctl CLI のインストール

Red Hat Advanced Cluster Security for Kubernetes をインストールするには、バイナリーをダウンロードして roxctl CLI をインストールする必要があります。roxctl は、Linux、Windows、または macOS にインストールできます。

5.2.2.1.1. Linux への roxctl CLI のインストール

次の手順を使用して、Linux に roxctl CLI バイナリーをインストールできます。

手順

roxctl CLI の最新バージョンをダウンロードします。

$ curl -O https://mirror.openshift.com/pub/rhacs/assets/4.2.5/bin/Linux/roxctl

roxctl バイナリーを実行可能にします。
```
$ chmod +x roxctl
```
PATH 上にあるディレクトリーに roxctl バイナリーを配置します。
PATH を確認するには、以下のコマンドを実行します。
```
$ echo $PATH
```

検証

インストールした roxctl のバージョンを確認します。
```
$ roxctl version
```

5.2.2.1.2. macOS への roxctl CLI のインストール

次の手順を使用して、roxctl CLI バイナリーを macOS にインストールできます。

手順

roxctl CLI の最新バージョンをダウンロードします。

$ curl -O https://mirror.openshift.com/pub/rhacs/assets/4.2.5/bin/Darwin/roxctl

バイナリーからすべての拡張属性を削除します。
```
$ xattr -c roxctl
```
roxctl バイナリーを実行可能にします。
```
$ chmod +x roxctl
```
PATH 上にあるディレクトリーに roxctl バイナリーを配置します。
PATH を確認するには、以下のコマンドを実行します。
```
$ echo $PATH
```

検証

インストールした roxctl のバージョンを確認します。
```
$ roxctl version
```

5.2.2.1.3. Windows への roxctl CLI のインストール

次の手順を使用して、roxctl CLI バイナリーを Windows にインストールできます。

手順

roxctl CLI の最新バージョンをダウンロードします。

$ curl -O https://mirror.openshift.com/pub/rhacs/assets/4.2.5/bin/Windows/roxctl.exe

検証

インストールした roxctl のバージョンを確認します。
```
$ roxctl version
```

5.2.2.2. 対話型インストーラーの使用

対話型インストーラーを使用して、お使いの環境に必要なシークレット、デプロイメント設定、およびデプロイメントスクリプトを生成します。

手順

対話型インストールコマンドを実行します。
```
$ roxctl central generate interactive
```
重要
roxctl CLI を使用して RHACS をインストールすると、下位互換性のためにデフォルトで PodSecurityPolicy (PSP) オブジェクトが作成されます。RHACS を Kubernetes バージョン 1.25 以降または OpenShift Container Platform バージョン 4.12 以降にインストールする場合、PSP オブジェクトの作成を無効にする必要があります。これを行うには、roxctl central generate コマンドと roxctl sensor generate コマンドで --enable-pod-security-policies オプションを false に指定します。

Enter を押してプロンプトのデフォルト値を受け入れるか、必要に応じてカスタム値を入力します。次の例は、対話型インストーラーのプロンプトを示しています。

Enter path to the backup bundle from which to restore keys and certificates (optional):
Enter read templates from local filesystem (default: "false"):
Enter path to helm templates on your local filesystem (default: "/path"):
Enter PEM cert bundle file (optional): 1
Enter Create PodSecurityPolicy resources (for pre-v1.25 Kubernetes) (default: "true"): 2
Enter administrator password (default: autogenerated):
Enter orchestrator (k8s, openshift):
Enter default container images settings (development_build, stackrox.io, rhacs, opensource); it controls repositories from where to download the images, image names and tags format (default: "development_build"):
Enter the directory to output the deployment bundle to (default: "central-bundle"):
Enter the OpenShift major version (3 or 4) to deploy on (default: "0"):
Enter whether to enable telemetry (default: "false"):
Enter central-db image to use (if unset, a default will be used according to --image-defaults):
Enter Istio version when deploying into an Istio-enabled cluster (leave empty when not running Istio) (optional):
Enter the method of exposing Central (route, lb, np, none) (default: "none"): 3
Enter main image to use (if unset, a default will be used according to --image-defaults):
Enter whether to run StackRox in offline mode, which avoids reaching out to the Internet (default: "false"):
Enter list of secrets to add as declarative configuration mounts in central (default: "[]"): 4
Enter list of config maps to add as declarative configuration mounts in central (default: "[]"): 5
Enter the deployment tool to use (kubectl, helm, helm-values) (default: "kubectl"):
Enter scanner-db image to use (if unset, a default will be used according to --image-defaults):
Enter scanner image to use (if unset, a default will be used according to --image-defaults):
Enter Central volume type (hostpath, pvc): 6
Enter external volume name for Central (default: "stackrox-db"):
Enter external volume size in Gi for Central (default: "100"):
Enter storage class name for Central (optional if you have a default StorageClass configured):
Enter external volume name for Central DB (default: "central-db"):
Enter external volume size in Gi for Central DB (default: "100"):
Enter storage class name for Central DB (optional if you have a default StorageClass configured):

1: カスタム TLS 証明書を追加する場合は、PEM でエンコードされた証明書のファイルパスを指定します。カスタム証明書を指定すると、対話型インストーラーは、使用しているカスタム証明書の PEM 秘密鍵を提供するように要求します。
2: Kubernetes バージョン 1.25 以降を実行している場合は、この値を false に設定します。
3: RHACS ポータルを使用するには、ルート、ロードバランサー、またはノードポートを使用して Central を公開する必要があります。
4: 認証と認可に宣言型設定を使用する方法の詳細は、Red Hat Advanced Cluster Security for Kubernetes での RBAC の管理の認証および認可リソースの宣言型設定を参照してください。
5: 認証と認可に宣言型設定を使用する方法の詳細は、Red Hat Advanced Cluster Security for Kubernetes での RBAC の管理の認証および認可リソースの宣言型設定を参照してください。
6: hostPath ボリュームを使用して OpenShift Container Platform に Red Hat Cluster Security for Kubernetes をインストールする場合は、SELinux ポリシーを変更する必要があります。

警告

OpenShift Container Platform で、hostPath ボリュームを使用するには、SELinux ポリシーを変更して、ホストとコンテナーが共有するディレクトリーへのアクセスを許可する必要があります。これは、SELinux がデフォルトでディレクトリー共有をブロックしているためです。SELinux ポリシーを変更するには、次のコマンドを実行します。

$ sudo chcon -Rt svirt_sandbox_file_t <full_volume_path>

ただし、Red Hat は SELinux ポリシーの変更を推奨していません。代わりに、OpenShift Container Platform にインストールするときに PVC を使用してください。

完了すると、インストーラーは central-bundle という名前のフォルダーを作成します。このフォルダーには、Central をデプロイするために必要な YAML マニフェストとスクリプトが含まれています。さらに、信頼できる認証局である Central と Scanner をデプロイするために実行する必要があるスクリプトの画面上の説明と、RHACS ポータルにログインするための認証手順、プロンプトに答える際にパスワードを入力しなかった場合は自動生成されたパスワードも表示されます。

5.2.2.3. Central インストールスクリプトの実行

対話型インストーラーを実行したら、setup.sh スクリプトを実行して Central をインストールできます。

手順

setup.sh スクリプトを実行して、イメージレジストリーアクセスを設定します。
```
$ ./central-bundle/central/scripts/setup.sh
```
必要なリソースを作成します。
```
$ oc create -R -f central-bundle/central
```
デプロイメントの進行状況を確認します。
```
$ oc get pod -n stackrox -w
```

Central の実行後、RHACS ポータルの IP アドレスを見つけて、ブラウザーで開きます。プロンプトに応答するときに選択した公開方法に応じて、次のいずれかの方法を使用して IP アドレスを取得します。

公開方法	コマンド	アドレス	例
ルート	`oc -n stackrox get route central`	出力の `HOST/PORT` 列の下のアドレス	`https://central-stackrox.example.route`
ノードポート	`oc get node -owide && oc -n stackrox get svc central-loadbalancer`	サービス用に表示されたポート上の任意のノードの IP またはホスト名	`https://198.51.100.0:31489`
ロードバランサー	`oc -n stackrox get svc central-loadbalancer`	EXTERNAL-IP、またはポート 443 でサービスに表示されるホスト名	`https://192.0.2.0`
なし	`central-bundle/central/scripts/port-forward.sh 8443`	`https://localhost:8443`	`https://localhost:8443`

注記

対話型インストール中に自動生成されたパスワードを選択した場合は、次のコマンドを実行して、Central にログインするためのパスワードを確認できます。

$ cat central-bundle/password

5.2. 他のプラットフォームでの RHACS の Central サービスのインストール

5.2.1. Helm チャートを使用して Central をインストールする

5.2.1.1. カスタマイズせずに Helm チャートを使用して Central をインストールする

5.2.1.1.1. Helm チャートリポジトリーの追加

5.2.1.1.2. カスタマイズせずに central-services Helm チャートをインストールする

5.2.1.2. カスタマイズされた Helm チャートを使用して Central をインストールする

5.2.1.2.1. プライベート設定ファイル

5.2.1.2.1.1. イメージプルのシークレット

5.2.1.2.1.2. プロキシー設定

5.2.1.2.1.3. Central

5.2.1.2.1.4. Scanner

5.2.1.2.2. パブリック設定ファイル

5.2.1.2.2.1. イメージプルのシークレット

5.2.1.2.2.2. Image

5.2.1.2.2.3. 環境変数

5.2.1.2.2.4. 追加の信頼された認証局

5.2.1.2.2.5. Central

5.2.1.2.2.6. Scanner

5.2.1.2.2.7. カスタマイズ

5.2.1.2.2.8. 高度なカスタマイズ

5.2.1.2.3. 宣言的な設定値

5.2.1.2.4. central-services Helm チャートのインストール

5.2.1.3. central-services Helm チャートをデプロイした後の設定オプションの変更

5.2.2. roxctl CLI を使用して Central をインストールする

5.2.2.1. roxctl CLI のインストール

5.2.2.1.1. Linux への roxctl CLI のインストール

5.2.2.1.2. macOS への roxctl CLI のインストール

5.2.2.1.3. Windows への roxctl CLI のインストール

5.2.2.2. 対話型インストーラーの使用

5.2.2.3. Central インストールスクリプトの実行

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Red Hat legal and privacy links

Red Hat legal and privacy links