5.2. セキュアクラスターサービス
セキュアクラスターサービスには、次のコンポーネントが含まれています。
- Sensor
- Admission コントローラー
- Collector
5.2.1. Sensor
Sensor は、Kubernetes および OpenShift Container Platform クラスターをモニターします。これらのサービスは現在、単一のデプロイメントでデプロイされ、Kubernetes API とのインタラクションを処理し、Collector と連携しています。
メモリーと CPU の要件
次の表に、セキュアクラスターに Sensor をインストールして実行するために必要なメモリーとストレージの最小値を示します。
Sensor | CPU | メモリー |
---|---|---|
要求 | 2 コア | 4 GiB |
制限 | 4 コア | 8 GiB |
5.2.2. Admission コントローラー
Admission コントローラーは、ユーザーが設定したポリシーに違反するワークロードを作成するのを防ぎます。
メモリーと CPU の要件
デフォルトでは、アドミッションコントロールサービスは 3 つのレプリカを実行します。次の表に、各レプリカのリクエストと制限を示します。
Admission コントローラー | CPU | メモリー |
---|---|---|
要求 | 0.05 コア | 100 MiB |
制限 | 0.5 コア | 500 MiB |
5.2.3. Collector
Collector は、セキュアクラスター内の各ノードのランタイムアクティビティーを監視します。Sensor に接続してこの情報をレポートします。コレクター Pod には 3 つのコンテナーがあります。最初のコンテナーはコレクターで、ノード上のランタイムアクティビティーを実際に監視して報告します。他の 2 つはコンプライアンスと node-inventory です。
コレクション要件
CORE_BPF
収集方法を使用するには、ベースカーネルが BTF をサポートし、BTF ファイルが Collector で使用できる必要があります。通常、カーネルのバージョンは 5.8 (RHEL ノードの場合は 4.18) 以降である必要があり、CONFIG_DEBUG_INFO_BTF
設定オプションを設定する必要があります。
Collector は、次の一覧に示されている標準の場所で BTF ファイルを検索します。
例5.1 BTF ファイルの場所
/sys/kernel/btf/vmlinux /boot/vmlinux-<kernel-version> /lib/modules/<kernel-version>/vmlinux-<kernel-version> /lib/modules/<kernel-version>/build/vmlinux /usr/lib/modules/<kernel-version>/kernel/vmlinux /usr/lib/debug/boot/vmlinux-<kernel-version> /usr/lib/debug/boot/vmlinux-<kernel-version>.debug /usr/lib/debug/lib/modules/<kernel-version>/vmlinux
これらのファイルのいずれかが存在する場合は、カーネルに BTF サポートがあり、CORE_BPF
が設定可能である可能性があります。
メモリーと CPU の要件
デフォルトでは、Collector サービスは 3 つのレプリカを実行します。次の表に、各レプリカの要求と制限、および Collector レプリカの合計を示します。
Collector コンテナー
タイプ | CPU | メモリー |
---|---|---|
要求 | 0.06 コア | 320 MiB |
制限 | 0.9 コア | 1000 MiB |
Compliance コンテナー
タイプ | CPU | メモリー |
---|---|---|
要求 | 0.01 コア | 10 MiB |
制限 | 1 コア | 2000 MiB |
Node-inventory コンテナー
タイプ | CPU | メモリー |
---|---|---|
要求 | 0.01 コア | 10 MiB |
制限 | 1 コア | 500 MiB |
Collector レプリカ要件の合計
タイプ | CPU | メモリー |
---|---|---|
要求 | 0.07 コア | 340 MiB |
制限 | 2.75 コア | 3500 MiB |
5.2.4. Scanner V4 (テクノロジープレビュー)
Scanner V4 は任意です。Scanner V4 がセキュアクラスターにインストールされている場合は、次の要件が適用されます。
Scanner V4 はテクノロジープレビューのみの機能です。テクノロジープレビュー機能は、Red Hat 製品のサービスレベルアグリーメント (SLA) の対象外であり、機能的に完全ではないことがあります。Red Hat では、実稼働環境での使用を推奨していません。テクノロジープレビューの機能は、最新の製品機能をいち早く提供して、開発段階で機能のテストを行いフィードバックを提供していただくことを目的としています。
Red Hat のテクノロジープレビュー機能のサポート範囲に関する詳細は、テクノロジープレビュー機能のサポート範囲 を参照してください。
この表の要件は、デフォルトである 2 レプリカに基づいています。
Scanner V4 Indexer | CPU | メモリー |
---|---|---|
要求 | 2 コア | 3000 MiB |
制限 | 4 コア | 6 GiB |
Scanner V4 は、データを保存するために Scanner V4 DB を必要とします。次の表に、Scanner V4 DB をインストールして実行するために必要なメモリーとストレージの最小値を示します。Scanner V4 DB の場合は、PVC の使用を強く推奨します。使用すると、最適なパフォーマンスが実現するためです。PVC は 10 GiB である必要があります。
Scanner V4 DB | CPU | メモリー |
---|---|---|
要求 | 0.2 コア | 3 GiB |
制限 | 2 コア | 4 GiB |