Red Hat Summit13.2. Scanner V4 の有効化
スキャナー V4 はデフォルトでは有効になっていませんが、インストール中またはインストール後に Scanner V4 を有効にすることができます。StackRox スキャナーは Kubernetes システムプラットフォームの脆弱性と RHCOS 以外の脆弱性についての情報を提供するため、StackRox スキャナーを有効にして、そのデータのレポートを引き続き受信する必要があります。
Scanner V4 は Central で有効にされ、クラスター外にあるイメージレジストリーにアクセスする必要があり、Central からアクセスできないなどの特定のニーズがない限り、セキュアなクラスターでは必要ありません。たとえば、OpenShift イメージレジストリーを使用する場合、セキュアなクラスターで Scanner V4 を有効にしたり、独自のファイアウォール内からレジストリーへのトラフィックのみを許可する RHACS Cloud Service システムで Scanner V4 を有効にします。レジストリーミラーリングを使用する場合にも必要です。詳細は、委譲されたイメージスキャンへのアクセス を参照してください。
13.2.1. Operator を使用してインストールする場合の Scanner V4 の有効化
Scanner V4 を使用するには、Central がインストールされているクラスターにインストール中に有効にできます。オプションで、インストール時にセキュアなクラスターで有効にすることができます。
13.2.1.1. Operator を使用してインストールする際の Central の RHACS Scanner V4 の有効化
Scanner V4 はデフォルトで有効になっていませんが、インストール中に有効にすることができます。この手順を使用して、Scanner V4 を有効にするときに実行する必要のある手順について説明します。ただし、他のコンポーネントの設定によっては、追加リソースで詳細なインストールドキュメントを参照する必要がある場合があります。
手順
Central がインストールされているクラスターで、Operator メソッドを使用した Central のインストールの説明に従ってインストール手順に従います。次のいずれかの方法を選択して Scanner V4 を有効にします。
- この手順で説明されているように、Central で使用可能なオプションを設定するときに、Scanner V4 Component Settings セクションに移動し、Scanner V4 Component メニューで Enabled を選択します。
Central カスタムリソース(CR) YAML で、次のパラメーターを設定します。
scannerV4: scannerComponent: EnabledscannerV4: scannerComponent: EnabledCopy to Clipboard Copied!
- init バンドルまたはクラスター登録シークレット(CRS)を設定して、Central とセキュアなクラスター間の通信を許可します。詳細については、「Red Hat OpenShift での RHACS の init バンドルまたはクラスター登録シークレットの生成と適用」を参照してください。
13.2.1.2. Operator を使用してインストールするときに、セキュアなクラスターで RHACS Scanner V4 を有効にする
Scanner V4 はデフォルトで有効になっていませんが、インストール中に有効にすることができます。この手順を使用して、Scanner V4 を有効にするときに実行する必要のある手順について説明します。ただし、他のコンポーネントの設定によっては、追加リソースで詳細なインストールドキュメントを参照する必要がある場合があります。
前提条件
- 相互に通信できるように、init バンドルまたは CRS を使用して Central とセキュアなクラスターをセットアップします。
手順
セキュアなクラスターでは、Operator を使用したセキュアなクラスターへの RHACS のインストールで説明されているインストール手順に従います。次のいずれかの方法を選択して Scanner V4 を有効にします。
- Scanner V4 Component Settings セクションの Scanner V4 Component メニューで AutoSense を選択します。
SecuredCluster CR YAML で、次のパラメーターを設定します。
scannerV4: scannerComponent: AutoSensescannerV4: scannerComponent: AutoSenseCopy to Clipboard Copied!
13.2.2. Helm を使用してインストールする場合の Scanner V4 の有効化
Scanner V4 を使用するには、Central がインストールされているクラスターにインストール中に有効にできます。オプションで、インストール時にセキュアなクラスターで有効にすることができます。
13.2.2.1. Helm を使用してインストールする場合のセントラル用の RHACS Scanner V4 の有効化
Scanner V4 はデフォルトで有効になっていませんが、インストール中に有効にすることができます。この手順を使用して、Scanner V4 を有効にするときに実行する必要のある手順について説明します。ただし、他のコンポーネントの設定によっては、追加リソースで詳細なインストールドキュメントを参照する必要がある場合があります。
手順
Central がインストールされているクラスターで、詳細が必要な場合は、「カスタマイズされた Helm チャートを使用した Central のインストール」にある手順を使用して、次のコマンドを実行します。
helm install -n stackrox --create-namespace \ stackrox-central-services rhacs/central-services \ --set scannerV4.disable=false \ -f <path_to_values_public.yaml> -f <path_to_values_private.yaml>$ helm install -n stackrox --create-namespace \ stackrox-central-services rhacs/central-services \ --set scannerV4.disable=false \ -f <path_to_values_public.yaml> -f <path_to_values_private.yaml>Copy to Clipboard Copied! 出力例
Central Services Configuration Summary: Stackrox Version: 4.7.1 Kubernetes Version: v1.31.6 Kubernetes Namespace: stackrox Helm Release Name: stackrox-central-services OpenShift Cluster: 4 Scanner V4: enabled Scanner V4 DB Volume: PVC (scanner-v4-db)Central Services Configuration Summary: Stackrox Version: 4.7.1 Kubernetes Version: v1.31.6 Kubernetes Namespace: stackrox Helm Release Name: stackrox-central-services OpenShift Cluster: 4 Scanner V4: enabled Scanner V4 DB Volume: PVC (scanner-v4-db)Copy to Clipboard Copied! - init バンドルまたはクラスター登録シークレット(CRS)を設定して、Central とセキュアなクラスターが通信できるようにします。詳細については、「Red Hat OpenShift での RHACS の init バンドルまたはクラスター登録シークレットの生成と適用」または「他のプラットフォーム上の RHACS の init バンドルまたはクラスター登録シークレットの生成と適用」を参照してください。
13.2.2.2. Helm を使用してインストールするときに、セキュアなクラスターで RHACS Scanner V4 を有効にする
Scanner V4 はデフォルトで有効になっていませんが、インストール中に有効にすることができます。この手順を使用して、Scanner V4 を有効にするときに実行する必要のある手順について説明します。ただし、他のコンポーネントの設定によっては、追加リソースで詳細なインストールドキュメントを参照する必要がある場合があります。
前提条件
- 相互に通信できるように、init バンドルまたは CRS を使用して Central とセキュアなクラスターをセットアップします。
手順
セキュアなクラスターで、詳細情報が必要な場合は、「カスタマイズによる secured-cluster-services Helm チャートの設定」の手順に従って、以下のコマンドを実行します。
helm install -n stackrox --create-namespace \ stackrox-secured-cluster-services rhacs/secured-cluster-services \ --set-file crs.file=<crs_file_name.yaml> \ -f <path_to_pull_secret.yaml> \ -f <path_to_values_public.yaml> -f <path_to_values_private.yaml> \ --set clusterName=<name_of_the_secured_cluster> \ --set centralEndpoint=<endpoint_of_central_service> \ --set scanner.disable=false \ --set scannerV4.disable=false$ helm install -n stackrox --create-namespace \ stackrox-secured-cluster-services rhacs/secured-cluster-services \ --set-file crs.file=<crs_file_name.yaml> \ -f <path_to_pull_secret.yaml> \ -f <path_to_values_public.yaml> -f <path_to_values_private.yaml> \ --set clusterName=<name_of_the_secured_cluster> \ --set centralEndpoint=<endpoint_of_central_service> \ --set scanner.disable=false \ --set scannerV4.disable=falseCopy to Clipboard Copied!
13.2.3. Operator を使用してインストール後に Scanner V4 を有効にする
Scanner V4 を使用するには、Central がインストールされているクラスターにインストール後に有効にできます。オプションで、インストール後にセキュアなクラスターで有効にすることができます。
13.2.3.1. Operator インストール後の Central の RHACS Scanner V4 の有効化
Scanner V4 は、デフォルトでは有効になっていません。インストール時に有効にしなかった場合は、インストール後に有効にできます。
手順
-
Central がインストールされているクラスターで、コンソールで Operators
Installed Operators をクリックし、RHACS Operator を選択します。 - メニューバーの Central をクリックします。
- Central がインストールされているクラスターの名前をクリックします。デフォルト値は stackrox-central-services です。
- YAML タブをクリックします。
以下の例のように YAML ファイルを編集します。
scannerV4: scannerComponent: EnabledscannerV4: scannerComponent: EnabledCopy to Clipboard Copied!
13.2.3.2. Operator のインストール後にセキュアなクラスターで RHACS Scanner V4 を有効にする
Scanner V4 は、デフォルトでは有効になっていません。インストール時に有効にしなかった場合は、インストール後に有効にできます。
前提条件
- 相互に通信できるように、init バンドルまたは CRS を使用して Central とセキュアなクラスターをセットアップします。
手順
-
セキュアなクラスターで Operators
Installed Operators をクリックし、RHACS Operator を選択します。 - メニューバーの Secured Cluster をクリックします。
- デフォルトのクラスター名 stackrox-secured-cluster-services、またはインストール時に入力した名前をクリックします。
- YAML タブをクリックします。
以下の例のように YAML ファイルを編集します。
scannerV4: scannerComponent: AutoSensescannerV4: scannerComponent: AutoSenseCopy to Clipboard Copied!
13.2.4. Helm を使用してインストール後に Scanner V4 を有効にする
Scanner V4 を使用するには、Central がインストールされているクラスターにインストール後に有効にできます。オプションで、インストール後にセキュアなクラスターで有効にすることができます。
13.2.4.1. Helm インストール後の Central の RHACS Scanner V4 を有効にする
スキャナー V4 はデフォルトでは有効になっていませんが、インストール後に Scanner V4 を有効にすることができます。
手順
Central がインストールされているクラスターで、"Changing configuration options after deployed the central-services Helm chart" の手順に従って、以下のコマンドを実行します。
helm upgrade -n stackrox \ stackrox-central-services rhacs/central-services \ --reuse-values \ -f <path_to_values_public.yaml> \ -f <path_to_generated-values.yaml> \ --set scannerV4.disable=false$ helm upgrade -n stackrox \ stackrox-central-services rhacs/central-services \ --reuse-values \ -f <path_to_values_public.yaml> \ -f <path_to_generated-values.yaml> \1 --set scannerV4.disable=falseCopy to Clipboard Copied! - 1
- システムを更新して新規コンポーネントをインストールする場合は、内部 CA を指定する必要があります。自動生成された認証局の取得を参照してください。
13.2.4.2. Helm インストール後にセキュアなクラスターで RHACS Scanner V4 を有効にする
スキャナー V4 はデフォルトでは有効になっていませんが、インストール後に Scanner V4 を有効にすることができます。
前提条件
- 相互に通信できるように、init バンドルまたは CRS を使用して Central とセキュアなクラスターをセットアップします。
手順
セキュアなクラスターで、詳細情報が必要な場合は、「カスタマイズによる secured-cluster-services Helm チャートの設定」の手順に従って、以下のコマンドを実行します。
helm upgrade -n stackrox \ stackrox-central-services rhacs/secured-cluster-services \ --reuse-values \ -f <path_to_values_public.yaml> \ -f <path_to_generated-values.yaml> \ --set scannerV4.disable=false$ helm upgrade -n stackrox \ stackrox-central-services rhacs/secured-cluster-services \ --reuse-values \ -f <path_to_values_public.yaml> \ -f <path_to_generated-values.yaml> \1 --set scannerV4.disable=falseCopy to Clipboard Copied! - 1
- システムを更新して新規コンポーネントをインストールする場合は、内部 CA を指定する必要があります。自動生成された認証局の取得を参照してください。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}