4.2. Operator を使用した RHACS の Central 設定オプションの設定

central.adminPasswordSecret

password データ項目に管理者パスワードを含むシークレットを指定します。省略した場合、operator はパスワードを自動生成し、central-htpasswd シークレットの password 項目に保存します。

central.defaultTLSSecret

デフォルトでは、Central は内部 TLS 証明書のみを提供します。つまり、Ingress またはロードバランサーレベルで TLS 終了を処理する必要があります。Central で TLS を終了し、カスタムサーバー証明書を提供する場合は、証明書と秘密鍵を含むシークレットを指定できます。

central.adminPasswordGenerationDisabled

管理者パスワードの自動生成を無効にするには、このパラメーターを true に設定します。代替認証方法の初回設定を行った後のみこれを使用します。これを初期インストールに使用しないでください。それ以外の場合は、カスタムリソースを再インストールして再度ログインする必要があります。

central.tolerations

ノードセレクターが taint されたノードを選択する場合は、このパラメーターを使用して、Central の taint toleration キー、値、および effect を指定します。このパラメーターは、主にインフラストラクチャーノードに使用されます。

central.hostAliases

このパラメーターを使用して、Pod の hosts ファイルにホストおよび IP アドレスを挿入します。

central.exposure.loadBalancer.enabled

ロードバランサーを介して Central を公開するには、これを true に設定します。

central.exposure.loadBalancer.port

このパラメーターを使用して、ロードバランサーのカスタムポートを指定します。

central.exposure.loadBalancer.ip

このパラメーターを使用して、ロードバランサー用に予約されている静的 IP アドレスを指定します。

central.exposure.route.enabled

Red Hat OpenShift ルートを介して Central を公開するには、これを true に設定します。デフォルト値は false です。

central.exposure.route.host

Central のルートに使用するカスタムホスト名を指定します。OpenShift Container Platform のデフォルト値を受け入れるには、これを未設定のままにします。

central.exposure.nodeport.enabled

これを true に設定すると、ノードポートを介して Central が公開されます。デフォルト値は false です。

central.exposure.nodeport.port

これを使用して、明示的なノードポートを指定します。

central.monitoring.exposeEndpoint

Central の監視を有効にするには、Enabled を使用します。監視を有効にすると、RHACS はポート番号 9090 に新しい監視サービスを作成します。デフォルト値は、Disabled です。

central.nodeSelector

このコンポーネントを特定のノードでのみ実行する場合は、このパラメーターを使用してノードセレクターを設定できます。

central.persistence.hostPath.path

ホスト上のディレクトリーに永続データを保存するためのホストパスを指定します。Red Hat はこのパラメーターの使用を推奨していません。ホストパスを使用する必要がある場合は、ノードセレクターで使用する必要があります。

central.persistence.persistentVolumeClaim.claimName

永続データを管理するための PVC の名前。指定した名前の PVC が存在しない場合は、PVC が作成されます。設定されていない場合、デフォルト値は stackrox-db です。データ損失を防ぐため、Central が削除されても PVC は自動的に削除されません。

central.persistence.persistentVolumeClaim.size

クレームを通じて作成されたときの永続ボリュームのサイズ。これはデフォルトで自動的に生成されます。

central.persistence.persistentVolumeClaim.storageClassName

PVC に使用するストレージクラスの名前。クラスターがデフォルトのストレージクラスで設定されていない場合は、このパラメーターの値を指定する必要があります。

central.resources.limits

このパラメーターを使用して、Central のデフォルトのリソース制限をオーバーライドします。

central.resources.requests

このパラメーターを使用して、Central のデフォルトのリソースリクエストをオーバーライドします。

central.imagePullSecrets

このパラメーターを使用して、Central イメージのイメージプルシークレットを指定します。

central.db.passwordSecret.name

password データ項目にデータベースパスワードを持つシークレットを指定します。このパラメーターは、接続文字列を手動で指定する場合にのみ使用します。省略した場合、Operator はパスワードを自動生成し、central-db-password シークレットの password 項目に保存します。

central.db.connectionString

このパラメーターを設定すると、Central DB がデプロイされず、Central が指定された接続文字列を使用して接続します。このパラメーターの値を指定する場合は、central.db.passwordSecret.name の値も指定する必要があります。このパラメーターには次の制約があります。

central.db.tolerations

ノードセレクターが Taint されたノードを選択する場合、このパラメーターを使用して、Central DB の Taint Toleration キー、値、および効果を指定します。このパラメーターは、主にインフラストラクチャーノードに使用されます。

central.db.hostAliases

このパラメーターを使用して、Pod の hosts ファイルにホストおよび IP アドレスを挿入します。

central.db.persistence.hostPath.path

ホスト上のディレクトリーに永続データを保存するためのホストパスを指定します。Red Hat はこのパラメーターの使用を推奨していません。ホストパスを使用する必要がある場合は、ノードセレクターで使用する必要があります。

central.db.persistence.persistentVolumeClaim.claimName

永続データを管理するための PVC の名前。指定した名前の PVC が存在しない場合は、PVC が作成されます。設定されていない場合、デフォルト値は central-db です。データ損失を防ぐため、Central が削除されても PVC は自動的に削除されません。

central.db.persistence.persistentVolumeClaim.size

クレームを通じて作成されたときの永続ボリュームのサイズ。これはデフォルトで自動的に生成されます。

central.db.persistence.persistentVolumeClaim.storageClassName

PVC に使用するストレージクラスの名前。クラスターがデフォルトのストレージクラスで設定されていない場合は、このパラメーターの値を指定する必要があります。

central.db.resources.limits

このパラメーターを使用して、Central DB のデフォルトのリソース制限をオーバーライドします。

central.db.resources.requests

このパラメーターを使用して、Central DB のデフォルトのリソース要求をオーバーライドします。

central.db.nodeSelector

このコンポーネントを特定のノードでのみ実行する場合は、このパラメーターを使用してノードセレクターを設定できます。

scanner.analyzer.nodeSelector

このスキャナーを特定のノードでのみ実行する場合は、このパラメーターを使用してノードセレクターを設定できます。

scanner.analyzer.tolerations

ノードセレクターがテイントされたノードを選択する場合は、このパラメーターを使用して、StackRox Scanner のテイントの容認キー、値、および effect を指定します。このパラメーターは、主にインフラストラクチャーノードに使用されます。

scanner.analyzer.hostAliases

このパラメーターを使用して、Pod の hosts ファイルにホストおよび IP アドレスを挿入します。

scanner.analyzer.resources.limits

このパラメーターを使用して、StackRox Scanner のデフォルトのリソース制限をオーバーライドします。

scanner.analyzer.resources.requests

このパラメーターを使用して、StackRox Scanner のデフォルトのリソース要求をオーバーライドします。

scanner.analyzer.scaling.autoScaling

有効にすると、アナライザーレプリカの数は、指定された範囲内で、負荷に応じて動的に管理されます。

scanner.analyzer.scaling.maxReplicas

アナライザーの自動スケーリング設定で使用するレプリカの最大数を指定します。

scanner.analyzer.scaling.minReplicas

アナライザーの自動スケーリング設定で使用するレプリカの最小数を指定します。

scanner.analyzer.scaling.replicas

自動スケーリングが無効になっている場合、レプリカの数が常にこの値と一致するように設定されます。

scanner.db.nodeSelector

このコンポーネントを特定のノードでのみ実行する場合は、このパラメーターを使用してノードセレクターを設定できます。

scanner.db.tolerations

ノードセレクターがテイントされたノードを選択する場合は、このパラメーターを使用して、StackRox Scanner DB のテイントの容認キー、値、および effect を指定します。このパラメーターは、主にインフラストラクチャーノードに使用されます。

scanner.db.hostAliases

このパラメーターを使用して、Pod の hosts ファイルにホストおよび IP アドレスを挿入します。

scanner.db.resources.limits

このパラメーターを使用して、StackRox Scanner DB のデフォルトのリソース制限をオーバーライドします。

scanner.db.resources.requests

このパラメーターを使用して、StackRox Scanner DB のデフォルトのリソース要求をオーバーライドします。

scanner.monitoring.exposeEndpoint

StackRox Scanner の監視を有効にするには、Enabled を使用します。監視を有効にすると、RHACS はポート番号 9090 に新しい監視サービスを作成します。デフォルト値は、Disabled です。

scanner.scannerComponent

StackRox Scanner をデプロイしない場合は、このパラメーターを使用して無効にできます。StackRox Scanner を無効にすると、このセクションの他の設定がすべて無効になります。Red Hat は、Red Hat Advanced Cluster Security for Kubernetes の StackRox Scanner を無効にすることを推奨していません。Scanner V4 を有効にしている場合は、StackRox Scanner を無効にしないでください。Scanner V4 によって必要なスキャン機能を提供するには、StackRox Scanner も有効にする必要があります。

scannerV4.db.nodeSelector

このコンポーネントを特定のノードでのみ実行する場合は、このパラメーターを使用してノードセレクターを設定できます。

scannerV4.db.tolerations

ノードセレクターがテイントされたノードを選択する場合は、このパラメーターを使用して、Scanner V4 DB のテイントの容認キー、値、および effect を指定します。このパラメーターは、主にインフラストラクチャーノードに使用されます。

scannerV4.db.hostAliases

このパラメーターを使用して、Pod の hosts ファイルにホストおよび IP アドレスを挿入します。

scannerV4.db.resources.limits

このパラメーターを使用して、Scanner V4 DB のデフォルトのリソース制限をオーバーライドします。

scannerV4.db.resources.requests

このパラメーターを使用して、Scanner V4 DB のデフォルトのリソース要求をオーバーライドします。

scannerV4.db.persistence.persistentVolumeClaim.claimName

Scanner V4 の永続データを管理する PVC の名前。デフォルト値は scanner-v4-db です。

scannerV4.db.persistence.persistentVolumeClaim.size

Scanner V4 の永続データを管理するための PVC のサイズ。

scannerV4.db.persistence.persistentVolumeClaim.storageClassName

PVC に使用するストレージクラスの名前。クラスターがデフォルトのストレージクラスで設定されていない場合は、このパラメーターの値を指定する必要があります。

scannerV4.indexer.nodeSelector

このコンポーネントを特定のノードでのみ実行する場合は、このパラメーターを使用してノードセレクターを設定できます。

scannerV4.indexer.tolerations

ノードセレクターがテイントされたノードを選択する場合は、このパラメーターを使用して、Scanner V4 Indexer のテイントの容認キー、値、および effect を指定します。このパラメーターは、主にインフラストラクチャーノードに使用されます。

scannerV4.indexer.hostAliases

このパラメーターを使用して、Pod の hosts ファイルにホストおよび IP アドレスを挿入します。

scannerV4.indexer.resources.limits

このパラメーターを使用して、Scanner V4 Indexer のデフォルトのリソース制限をオーバーライドします。

scannerV4.indexer.resources.requests

このパラメーターを使用して、Scanner V4 Indexer のデフォルトのリソース要求をオーバーライドします。

scannerV4.indexer.scaling.autoScaling

有効にすると、Scanner V4 Indexer のレプリカの数が、指定された制限内で負荷に基づいて動的に管理されます。

scannerV4.indexer.scaling.maxReplicas

Scanner V4 Indexer の自動スケーリング設定で使用されるレプリカの最大数を指定します。

scannerV4.indexer.scaling.minReplicas

Scanner V4 Indexer の自動スケーリング設定で使用するレプリカの最小数を指定します。

scannerV4.indexer.scaling.replicas

Scanner V4 Indexer の自動スケーリングが無効になっている場合、レプリカの数が常にこの値と一致するように設定されます。

scannerV4.matcher.nodeSelector

このコンポーネントを特定のノードでのみ実行する場合は、このパラメーターを使用してノードセレクターを設定できます。

scannerV4.matcher.tolerations

ノードセレクターがテイントされたノードを選択する場合は、このパラメーターを使用して、Scanner V4 Matcher のテイントの容認キー、値、および effect を指定します。このパラメーターは、主にインフラストラクチャーノードに使用されます。

scannerV4.matcher.hostAliases

このパラメーターを使用して、Pod の hosts ファイルにホストおよび IP アドレスを挿入します。

scannerV4.matcher.resources.limits

このパラメーターを使用して、Scanner V4 Matcher のデフォルトのリソース制限をオーバーライドします。

scannerV4.matcher.resources.requests

このパラメーターを使用して、Scanner V4 Matcher のデフォルトのリソース要求をオーバーライドします。

scannerV4.matcher.scaling.autoScaling

有効にすると、Scanner V4 Matcher のレプリカの数が、指定された制限内で負荷に基づいて動的に管理されます。

scannerV4.matcher.scaling.maxReplicas

Scanner V4 Matcher の自動スケーリング設定で使用されるレプリカの最大数を指定します。

scannerV4.matcher.scaling.minReplicas

Scanner V4 Matcher の自動スケーリング設定で使用するレプリカの最小数を指定します。

scannerV4.matcher.scaling.replicas

Scanner V4 Matcher の自動スケーリングが無効になっている場合、レプリカの数が常にこの値と一致するように設定されます。

scannerV4.monitoring.exposeEndpoint

Scanner V4 のモニタリングエンドポイントを設定します。モニタリングエンドポイントを使用すると、Prometheus 互換形式で提供されるメトリクスを、他のサービスが Scanner V4 から収集できるようになります。モニタリングエンドポイントを公開するには、Enabled を使用します。モニタリングを有効にすると、RHACS がポート 9090 に新しいサービス (monitoring) を作成し、そのポートへの受信接続を許可するネットワークポリシーを作成します。デフォルトでは、これは有効になっていません。

scannerV4.scannerComponent

Scanner V4 を有効にします。デフォルト値は default で、このパラメーターは無効になっています。Scanner V4 を有効にするには、このパラメーターを Enabled に設定します。

customize.annotations

Central デプロイメントのカスタムアノテーションを指定できます。

customize.envVars

環境変数を設定するための詳細設定。

egress.connectivityPolicy

RHACS をオンラインモードまたはオフラインモードのどちらで実行するかを設定します。オフラインモードでは、脆弱性定義とカーネルモジュールの自動更新は無効になります。

misc.createSCCs

Central の SecurityContextConstraints (SCC) を作成するには、true を指定します。true に設定すると、一部の環境で問題が発生する可能性があります。

monitoring.openshift.enabled

このオプションを false に設定すると、Red Hat Advanced Cluster Security for Kubernetes が Red Hat OpenShift モニタリングをセットアップしません。Red Hat OpenShift 4 では、デフォルトで true に設定されます。

network.policies

ネットワークレベルでセキュリティーを確保するために、RHACS は Central がインストールされている namespace にデフォルトの NetworkPolicy リソースを作成します。これらのネットワークポリシーは、特定のポート上の特定のコンポーネントへの Ingress を許可します。RHACS でこれらのポリシーを作成しない場合は、このパラメーターを Disabled に設定します。デフォルト値は Enabled です。

overlays

「Operator とオーバーレイを使用したインストールのカスタマイズ」を参照してください。

tls.additionalCAs

セキュアクラスターが信頼する追加の信頼できる CA 証明書。これらの証明書は、通常、プライベート認証局を使用してサービスと統合するときに使用されます。