ホーム
製品
Red Hat Advanced Cluster Security for Kubernetes
4.8
インストール
5.2. 他のプラットフォームに RHACS の Central サービスをインストールする

5.2. 他のプラットフォームに RHACS の Central サービスをインストールする

Central は、RHACS アプリケーション管理インターフェイスとサービスを含むリソースです。データの永続性、API インタラクション、および RHACS ポータルアクセスを処理します。同じ Central インスタンスを使用して、複数の OpenShift Container Platform または Kubernetes クラスターを保護できます。

次のいずれかの方法を使用して、Central をインストールできます。

Helm チャートを使用してインストールする
roxctl CLI を使用してインストールします (この方法を使用する必要がある特定のインストールが必要でない限り、この方法は使用しないでください)。

5.2.1. Helm チャートを使用して Central をインストールする
リンクのコピー

カスタマイズせずに Helm チャートを使用するか、デフォルト値を使用するか、設定パラメーターをさらにカスタマイズして Helm チャートを使用することにより、Central をインストールできます。

5.2.1.1. カスタマイズせずに Helm チャートを使用して Central をインストールする
リンクのコピー

RHACS は、カスタマイズなしで Red Hat OpenShift クラスターにインストールできます。集中型コンポーネントである Central と Scanner をインストールするために、Helm チャートリポジトリーを追加し、central-services Helm チャートをインストールする必要があります。

5.2.1.1.1. Helm チャートリポジトリーの追加
リンクのコピー

手順

RHACS チャートリポジトリーを追加します。

helm repo add rhacs https://mirror.openshift.com/pub/rhacs/charts/

$ helm repo add rhacs https://mirror.openshift.com/pub/rhacs/charts/

Copy to Clipboard

Toggle word wrap

Red Hat Advanced Cluster Security for Kubernetes の Helm リポジトリーには、次のようなさまざまなコンポーネントをインストールするための Helm チャートが含まれています。

集中型コンポーネント (Central および Scanner) をインストールするための Central サービス Helm チャート (central-services)。
注記
集中型コンポーネントは 1 回だけデプロイします。同じインストールを使用して複数の別のクラスターを監視できます。
クラスターおよびノードごとのコンポーネント (Sensor、Admission Controller、Collector、および Scanner-slim) をインストールするためのセキュアクラスターサービスの Helm チャート (secured-cluster-services)。
注記
モニターする各クラスターにクラスターごとのコンポーネントをデプロイし、モニターするすべてのノードにノードごとのコンポーネントをデプロイします。

検証

次のコマンドを実行して、追加されたチャートリポジトリーを確認します。
```
helm search repo -l rhacs/
```
```
$ helm search repo -l rhacs/
```
Copy to Clipboard Toggle word wrap

5.2.1.1.2. カスタマイズせずに central-services Helm チャートをインストールする
リンクのコピー

次の手順を使用して、central-services Helm チャートをインストールし、集中型コンポーネント (Central および Scanner) をデプロイします。

前提条件

Red Hat コンテナーレジストリーにアクセスできる必要があります。registry.redhat.io からイメージをダウンロードする方法は、Red Hat コンテナーレジストリーの認証を参照してください。

手順

次のコマンドを実行して Central services をインストールし、ルートを使用して Central を公開します。

helm install -n stackrox \
  --create-namespace stackrox-central-services rhacs/central-services \
  --set imagePullSecrets.username=<username> \
  --set imagePullSecrets.password=<password> \
  --set central.exposure.route.enabled=true

$ helm install -n stackrox \
  --create-namespace stackrox-central-services rhacs/central-services \
  --set imagePullSecrets.username=<username> \


  --set imagePullSecrets.password=<password> \


  --set central.exposure.route.enabled=true

Copy to Clipboard

Toggle word wrap

1: Red Hat コンテナーレジストリー認証のプルシークレットのユーザー名を含めます。
2: Red Hat コンテナーレジストリー認証のプルシークレットのパスワードを含めます。

または、次のコマンドを実行して Central services をインストールし、ロードバランサーを使用して Central を公開します。

helm install -n stackrox \
  --create-namespace stackrox-central-services rhacs/central-services \
  --set imagePullSecrets.username=<username> \
  --set imagePullSecrets.password=<password> \
  --set central.exposure.loadBalancer.enabled=true

$ helm install -n stackrox \
  --create-namespace stackrox-central-services rhacs/central-services \
  --set imagePullSecrets.username=<username> \


  --set imagePullSecrets.password=<password> \


  --set central.exposure.loadBalancer.enabled=true

Copy to Clipboard

Toggle word wrap

1: Red Hat コンテナーレジストリー認証のプルシークレットのユーザー名を含めます。
2: Red Hat コンテナーレジストリー認証のプルシークレットのパスワードを含めます。

または、次のコマンドを実行して Central services をインストールし、port forward を使用して Central を公開します。
```
helm install -n stackrox \
  --create-namespace stackrox-central-services rhacs/central-services \
  --set imagePullSecrets.username=<username> \
  --set imagePullSecrets.password=<password>
```
```
$ helm install -n stackrox \
  --create-namespace stackrox-central-services rhacs/central-services \
  --set imagePullSecrets.username=<username> \
```
1
```
  --set imagePullSecrets.password=<password>  
```
2
Copy to Clipboard Toggle word wrap
1
Red Hat コンテナーレジストリー認証のプルシークレットのユーザー名を含めます。
2
Red Hat コンテナーレジストリー認証のプルシークレットのパスワードを含めます。

重要

外部サービスに接続するためにプロキシーが必要なクラスターに Red Hat Cluster Security for Kubernetes をインストールする場合は、proxyConfig パラメーターを使用してプロキシー設定を指定する必要があります。以下に例を示します。
```
env:
  proxyConfig: |
    url: http://proxy.name:port
    username: username
    password: password
    excludes:
    - some.domain
```
```
env:
  proxyConfig: |
    url: http://proxy.name:port
    username: username
    password: password
    excludes:
    - some.domain
```
Copy to Clipboard Toggle word wrap
インストール先の namespace に 1 つ以上のイメージプルシークレットをすでに作成している場合は、ユーザー名とパスワードを使用する代わりに、--set imagePullSecrets.useExisting="<pull-secret-1;pull-secret-2>" を使用できます。
イメージプルシークレットは使用しないでください。
- quay.io/stackrox-io または認証を必要としないプライベートネットワークのレジストリーからイメージを取得する場合。ユーザー名とパスワードを指定する代わりに、--set imagePullSecrets.allowNone=true を使用します。
- インストールする namespace のデフォルトサービスアカウントでイメージプルシークレットをすでに設定している場合。ユーザー名とパスワードを指定する代わりに、--set imagePullSecrets.useFromDefaultServiceAccount=true を使用します。

インストールコマンドの出力は次のとおりです。

自動的に生成された管理者パスワード。
すべての設定値を保存するための手順。
Helm が生成する警告。

5.2.1.1.3. 自動生成された認証局の取得
リンクのコピー

RHACS をインストールすると、認証局 (CA) が自動的に生成され、クラスターの Kubernetes シークレットに保存されます。後で Helm を使用してインストールを変更する場合は、この CA を提供する必要がある場合があります。たとえば、インストール時に最初に無効にされた RHACS コンポーネントを有効にするには、この CA を提供する必要があります。

自動的に生成された CA は、通常、stackrox-generated-suffix のような名前が付けられたシークレットに保存されます。ここで、suffix はランダムに生成された文字列になります。

たとえば、helm upgrade コマンドに必要なときに CA を取得して generated-values.yaml ファイルにエクスポートするには、次のコマンドを実行します。

kubectl -n <namespace> get secret stackrox-generated-<suffix> \
  -o go-template='{{ index .data "generated-values.yaml" }}' | \
  base64 --decode >generated-values.yaml

$ kubectl -n <namespace> get secret stackrox-generated-<suffix> \
  -o go-template='{{ index .data "generated-values.yaml" }}' | \
  base64 --decode >generated-values.yaml

Copy to Clipboard

Toggle word wrap

重要

このファイルには機密データが含まれている可能性があるため、安全な場所に保管してください。

設定を変更した後に helm upgrade コマンドを使用する場合は、この CA を提供する必要がある場合があります。たとえば、システムを更新して Scanner V4 を有効にするには、次のコマンドを実行します。

helm upgrade -n stackrox stackrox-central-services rhacs/central-services --reuse-values \
  -f <path_to_generated-values.yaml> \
  --set scannerV4.disable=false

$ helm upgrade -n stackrox stackrox-central-services rhacs/central-services --reuse-values \
  -f <path_to_generated-values.yaml> \
  --set scannerV4.disable=false

Copy to Clipboard

Toggle word wrap

5.2.1.2. カスタマイズした Helm チャートを使用して Central をインストールする
リンクのコピー

helm install および helm upgrade コマンドで Helm チャートの設定パラメーターを使用することで、Red Hat OpenShift クラスターに RHACS をカスタマイズしてインストールできます。これらのパラメーターは、--set オプションを使用するか、YAML 設定ファイルを作成することで指定できます。

以下のファイルを作成して、Red Hat Advanced Cluster Security for Kubernetes をインストールするための Helm チャートを設定します。

パブリック設定ファイル values-public.yaml: このファイルを使用して、機密性の低いすべての設定オプションを保存します。
プライベート設定ファイル values-private.yaml: このファイルを使用して、機密性の高いすべての設定オプションを保存します。このファイルは安全に保管してください。
設定ファイル declarative-config-values.yaml: 宣言設定を使用して宣言設定マウントを Central に追加する場合は、このファイルを作成します。

5.2.1.2.1. プライベート設定ファイル
リンクのコピー

このセクションでは、values-private.yaml ファイルの設定可能なパラメーターをリストします。これらのパラメーターのデフォルト値はありません。

5.2.1.2.1.1. イメージプルのシークレット
リンクのコピー

レジストリーからイメージをプルするために必要な認証情報は、以下の要素によって異なります。

カスタムレジストリーを使用している場合、以下のパラメーターを指定する必要があります。
- imagePullSecrets.username
- imagePullSecrets.password
- image.registry
カスタムレジストリーへのログインにユーザー名とパスワードを使用しない場合は、以下のいずれかのパラメーターを指定する必要があります。
- imagePullSecrets.allowNone
- imagePullSecrets.useExisting
- imagePullSecrets.useFromDefaultServiceAccount

Expand

パラメーター	説明
`imagePullSecrets.username`	レジストリーへのログインに使用されるアカウントのユーザー名。
`imagePullSecrets.password`	レジストリーへのログインに使用されるアカウントのパスワード
`imagePullSecrets.allowNone`	カスタムレジストリーを使用していて、クレデンシャルなしでイメージをプルできる場合は、`true` を使用します。
`imagePullSecrets.useExisting`	値としてのシークレットのコンマ区切りリスト。たとえば、`secret1, secret2, secretN` です。ターゲット namespace に指定された名前で既存のイメージプルシークレットをすでに作成している場合は、このオプションを使用します。
`imagePullSecrets.useFromDefaultServiceAccount`	十分なスコープのイメージプルシークレットを使用してターゲット namespace にデフォルトのサービスアカウントをすでに設定している場合は、`true` を使用します。

5.2.1.2.1.2. プロキシー設定
リンクのコピー

外部サービスに接続するためにプロキシーが必要なクラスターに Red Hat Cluster Security for Kubernetes をインストールする場合は、proxyConfig パラメーターを使用してプロキシー設定を指定する必要があります。以下に例を示します。

env:
  proxyConfig: |
    url: http://proxy.name:port
    username: username
    password: password
    excludes:
    - some.domain

env:
  proxyConfig: |
    url: http://proxy.name:port
    username: username
    password: password
    excludes:
    - some.domain

Copy to Clipboard

Toggle word wrap

Expand

パラメーター	説明
`env.proxyConfig`	プロキシー設定。

5.2.1.2.1.3. Central
リンクのコピー

Central の設定可能なパラメーター。

新規インストールの場合、次のパラメーターをスキップできます。

central.jwtSigner.key
central.serviceTLS.cert
central.serviceTLS.key
central.adminPassword.value
central.adminPassword.htpasswd
central.db.serviceTLS.cert
central.db.serviceTLS.key
central.db.password.value
これらのパラメーターの値を指定しない場合、Helm チャートはそれらの値を自動生成します。
これらの値を変更する場合は、helm upgrade コマンドを使用し、--set オプションを使用して値を指定できます。

重要

管理者パスワードの設定には、central.adminPassword.value または central.adminPassword.htpasswd のいずれかのみを使用できますが、両方を使用することはできません。

Expand

パラメーター	説明
`central.jwtSigner.key`	RHACS が認証用の JSON Web トークン (JWT) に署名するために使用する秘密鍵。
`central.serviceTLS.cert`	Central サービスが Central をデプロイするために使用する必要がある内部証明書。
`central.serviceTLS.key`	Central サービスが使用する必要がある内部証明書の秘密鍵。
`central.defaultTLS.cert`	Central が使用する必要のあるユーザー向けの証明書。RHACS は、RHACS ポータルにこの証明書を使用します。新規インストールの場合は、証明書を指定する必要があります。そうでない場合、RHACS は自己署名証明書を使用して Central をインストールします。アップグレードする場合、RHACS は既存の証明書とその鍵を使用します。
`central.defaultTLS.key`	Central が使用する必要のあるユーザー向け証明書の秘密鍵。新規インストールの場合は、秘密鍵を指定する必要があります。そうでない場合、RHACS は自己署名証明書を使用して Central をインストールします。アップグレードする場合、RHACS は既存の証明書とその鍵を使用します。
`central.db.password.value`	Central データベースの接続パスワード。
`central.adminPassword.value`	RHACS にログインするための管理者パスワード。
`central.adminPassword.htpasswd`	RHACS にログインするための管理者パスワード。このパスワードは、bcrypt を使用してハッシュ形式で保存されます。
`central.db.serviceTLS.cert`	Central DB サービスが Central DB をデプロイするために使用する内部証明書。
`central.db.serviceTLS.key`	Central DB サービスが使用する内部証明書の秘密キー。
`central.db.password.value`	Central DB への接続に使用されるパスワード。

注記

central.adminPassword.htpasswd パラメーターを使用している場合は、bcrypt でエンコードされたパスワードハッシュを使用する必要があります。コマンド htpasswd -nB admin を実行して、パスワードハッシュを生成できます。以下に例を示します。

htpasswd: |
  admin:<bcrypt-hash>

htpasswd: |
  admin:<bcrypt-hash>

Copy to Clipboard

Toggle word wrap

5.2.1.2.1.4. Scanner
リンクのコピー

StackRox Scanner および Scanner V4 の設定可能なパラメーター。

新規インストールの場合、次のパラメーターをスキップでき、Helm チャートがそれらの値を自動生成します。それ以外の場合、新しいバージョンにアップグレードする場合は、以下のパラメーターの値を指定してください。

scanner.dbPassword.value
scanner.serviceTLS.cert
scanner.serviceTLS.key
scanner.dbServiceTLS.cert
scanner.dbServiceTLS.key
scannerV4.db.password.value
scannerV4.indexer.serviceTLS.cert
scannerV4.indexer.serviceTLS.key
scannerV4.matcher.serviceTLS.cert
scannerV4.matcher.serviceTLS.key
scannerV4.db.serviceTLS.cert
scannerV4.db.serviceTLS.key

Expand

パラメーター	説明
`scanner.dbPassword.value`	Scanner データベースでの認証に使用するパスワード。RHACS がこのパラメーターの値を内部で自動的に作成して使用するため、このパラメーターは変更しないでください。
`scanner.serviceTLS.cert`	StackRox Scanner サービスが StackRox Scanner をデプロイするために使用する内部証明書。
`scanner.serviceTLS.key`	Scanner サービスが使用する必要がある内部証明書の秘密鍵。
`scanner.dbServiceTLS.cert`	Scanner-db サービスが Scanner データベースをデプロイするために使用する必要がある内部証明書。
`scanner.dbServiceTLS.key`	Scanner-db サービスが使用する必要がある内部証明書の秘密鍵。
`scannerV4.db.password.value`	Scanner V4 データベースでの認証に使用するパスワード。RHACS がこのパラメーターの値を内部で自動的に作成して使用するため、このパラメーターは変更しないでください。
`scannerV4.db.serviceTLS.cert`	Scanner V4 DB サービスが Scanner V4 データベースをデプロイするために使用する内部証明書。
`scannerV4.db.serviceTLS.key`	Scanner V4 DB サービスが使用する内部証明書の秘密鍵。
`scannerV4.indexer.serviceTLS.cert`	Scanner V4 Indexer をデプロイするために Scanner V4 サービスが使用する内部証明書。
`scannerV4.indexer.serviceTLS.key`	Scanner V4 Indexer が使用する内部証明書の秘密鍵。
`scannerV4.matcher.serviceTLS.cert`	Scanner V4 Matcher をデプロイするために Scanner V4 サービスが使用する内部証明書。
`scannerV4.matcher.serviceTLS.key`	Scanner V4 Matcher が使用する内部証明書の秘密鍵。

5.2.1.2.2. パブリック設定ファイル
リンクのコピー

このセクションでは、values-public.yaml ファイルの設定可能なパラメーターをリストします。

5.2.1.2.2.1. イメージプルのシークレット
リンクのコピー

イメージプルシークレットは、レジストリーからイメージをプルするために必要なクレデンシャルです。

Expand

パラメーター	説明
`imagePullSecrets.allowNone`	カスタムレジストリーを使用していて、クレデンシャルなしでイメージをプルできる場合は、`true` を使用します。
`imagePullSecrets.useExisting`	値としてのシークレットのコンマ区切りリスト。たとえば、`secret1, secret2`。ターゲット namespace に指定された名前で既存のイメージプルシークレットをすでに作成している場合は、このオプションを使用します。
`imagePullSecrets.useFromDefaultServiceAccount`	十分なスコープのイメージプルシークレットを使用してターゲット namespace にデフォルトのサービスアカウントをすでに設定している場合は、`true` を使用します。

5.2.1.2.2.2. イメージ
リンクのコピー

イメージでは、メインレジストリーをセットアップするための設定を宣言します。Helm チャートはこの設定を使用して、central.image、scanner.image、scanner.dbImage、scannerV4.image、および scannerV4.db.image パラメーターのイメージを解決します。

Expand

パラメーター	説明
`image.registry`	イメージレジストリーのアドレス。`registry.redhat.io` などのホスト名、または `us.gcr.io/stackrox-mirror` などのリモートレジストリーホスト名のいずれかを使用します。

5.2.1.2.2.3. Policy as code 機能
リンクのコピー

Policy as code 機能を使用すると、RHACS を Argo CD などの継続的デリバリーツールと連携させて、ローカルで作成したポリシーや RHACS ポータルからエクスポートして変更したポリシーを追跡、管理、適用するように設定できます。RHACS がインストールされているのと同じ namespace に、Policy as code 機能を適用するように Argo CD またはその他のツールを設定します。

Expand

パラメーター	説明
`configAsCode.enabled`	デフォルトでは、値は `true` なので、Policy as code 機能が有効になります。Policy as code 機能を使用しない場合は、`false` に設定します。

5.2.1.2.2.4. 環境変数
リンクのコピー

Red Hat Advanced Cluster Security for Kubernetes は、クラスター環境を自動的に検出し、env.openshift、env.istio、および env.platform の値を設定します。クラスター環境の自動検出をオーバーライドするには、これらの値のみを設定してください。

Expand

パラメーター	説明
`env.openshift`	OpenShift Container Platform クラスターにインストールし、クラスター環境の自動検出をオーバーライドする場合は、`true` を使用します。
`env.istio`	`true` を使用して、Istio が有効化されたクラスターにインストールし、クラスター環境の自動検出をオーバーライドします。
`env.platform`	RHACS をインストールするプラットフォーム。その値を `default` または `gke` に設定して、クラスタープラットフォームを指定し、クラスター環境の自動検出をオーバーライドします。
`env.offlineMode`	RHACS をオフラインモードで使用するには `true` を使用します。

5.2.1.2.2.5. 追加の信頼された認証局
リンクのコピー

RHACS は、信頼するシステムルート証明書を自動的に参照します。Central、StackRox Scanner、または Scanner V4 が、組織内の機関またはグローバルに信頼されているパートナー組織によって発行された証明書を使用するサービスにアクセスする必要がある場合、次のパラメーターを使用して信頼するルート認証局を指定することにより、これらのサービスの信頼を追加できます。

Expand

パラメーター	説明
`additionalCAs.<certificate_name>`	信頼するルート認証局の PEM エンコード証明書を指定します。

5.2.1.2.2.6. デフォルトのネットワークポリシー
リンクのコピー

ネットワークレベルでセキュリティーを確保するために、RHACS は Central がインストールされている namespace にデフォルトの NetworkPolicy リソースを作成します。これらのネットワークポリシーは、特定のポート上の特定のコンポーネントへの Ingress を許可します。RHACS でこれらのポリシーを作成しない場合は、このパラメーターを Disabled に設定します。デフォルト値は Enabled です。

警告

デフォルトのネットワークポリシーの作成を無効にすると、RHACS コンポーネント間の通信が切断される可能性があります。デフォルトポリシーの作成を無効にする場合は、この通信を許可するために独自のネットワークポリシーを作成する必要があります。

Expand

パラメーター	説明
`network.enableNetworkPolicies`	RHACS がコンポーネント間の通信を許可するためにデフォルトのネットワークポリシーを作成するかどうかを指定します。独自のネットワークポリシーを作成するには、このパラメーターを `False` に設定します。デフォルト値は `True` です。

5.2.1.2.2.7. Central
リンクのコピー

Central の設定可能なパラメーター。

外部アクセス用の Central のデプロイメントを公開するため。1 つのパラメーター、central.exposure.loadBalancer、central.exposure.nodePort、または central.exposure.route のいずれかを指定する必要があります。これらのパラメーターに値を指定しない場合は、手動で Central を公開するか、ポート転送を使用して Central にアクセスする必要があります。

次の表に、外部 PostgreSQL データベースの設定を記載します。

Expand

パラメーター	説明
`central.declarativeConfiguration.mounts.configMaps`	宣言的設定に使用される config map をマウントします。
`Central.declarativeConfiguration.mounts.secrets`	宣言型設定に使用されるシークレットをマウントします。
`central.endpointsConfig`	Central のエンドポイント設定オプションです。
`central.nodeSelector`	ノードセレクターが taint されたノードを選択する場合は、このパラメーターを使用して、Central の taint toleration キー、値、および effect を指定します。このパラメーターは、主にインフラストラクチャーノードに使用されます。
`central.tolerations`	ノードセレクターが taint されたノードを選択する場合は、このパラメーターを使用して、Central の taint toleration キー、値、および effect を指定します。このパラメーターは、主にインフラストラクチャーノードに使用されます。
`central.exposeMonitoring`	ポート番号 `9090` で Central の Prometheus メトリクスエンドポイントを公開するには、`true` を指定します。
`central.image.registry`	Central イメージのグローバル `image.registry` パラメーターをオーバーライドするカスタムレジストリーです。
`central.image.name`	デフォルトの Central イメージ名 (`main`) をオーバーライドするカスタムイメージ名。
`central.image.tag`	Central イメージのデフォルトタグをオーバーライドするカスタムイメージタグです。新規インストール時に独自のイメージタグを指定した場合は、`helm upgrade` コマンドを実行して新しいバージョンにアップグレードするときに、このタグを手動でインクリメントする必要があります。独自のレジストリーで Central イメージをミラーリングする場合は、元のイメージタグを変更しないでください。
`central.image.fullRef`	Central イメージのレジストリーアドレス、イメージ名、およびイメージタグを含む完全なリファレンスです。このパラメーターの値を設定すると、`central.image.registry`、`central.image.name`、および `central.image.tag` パラメーターがオーバーライドされます。
`central.resources.requests.memory`	Central のメモリー要求。
`central.resources.requests.cpu`	Central の CPU 要求。
`central.resources.limits.memory`	Central のメモリー制限。
`central.resources.limits.cpu`	Central の CPU 制限。
`central.exposure.loadBalancer.enabled`	ロードバランサーを使用して Central を公開するには、`true` を使用します。
`central.exposure.loadBalancer.port`	Central を公開するポート番号です。デフォルトのポート番号は 443 です。
`central.exposure.nodePort.enabled`	`true` を使用して、ノードポートサービスを使用して Central を公開します。
`central.exposure.nodePort.port`	Central を公開するポート番号です。このパラメーターをスキップすると、OpenShift Container Platform は自動的にポート番号を割り当てます。Red Hat では、ノードポートを使用して RHACS を公開する場合、ポート番号を指定しないことを推奨しています。
`central.exposure.route.enabled`	ルートを使用して Central を公開するには、`true` を使用します。`false` に設定すると、すべてのルート設定が無効になります。このパラメーターは、OpenShift Container Platform クラスターでのみ使用できます。
`central.exposure.route.host`	このパラメーターを使用して、Central のパススルールートに使用するカスタムホスト名を指定します。OpenShift Container Platform のデフォルト値を受け入れるには、これを未設定のままにします。このパラメーターは、OpenShift Container Platform クラスターでのみ使用できます。
`central.exposure.route.reencrypt.enabled`	Red Hat OpenShift の再暗号化ルートを通じて Central を公開するには、これを `true` に設定します。デフォルト値は `false` です。このパラメーターは、OpenShift Container Platform クラスターでのみ使用できます。
`central.exposure.route.reencrypt.host`	このパラメーターを使用して、Central の再暗号化ルートに使用するカスタムホスト名を指定します。OpenShift Container Platform のデフォルト値を受け入れるには、これを未設定のままにします。このパラメーターは、OpenShift Container Platform クラスターでのみ使用できます。
`central.exposure.route.reencrypt.tls.caCertificate`	このパラメーターを使用して、完全な信頼チェーンを確立するために使用される可能性のある PEM エンコードされた証明書チェーンを指定します。デフォルトでは、OpenShift Container Platform が認証局を提供します。このパラメーターは、OpenShift Container Platform クラスターでのみ使用できます。
`central.exposure.route.reencrypt.tls.certificate`	このパラメーターを使用して、ルートで提供される PEM エンコードされた証明書を指定します。OpenShift Container Platform 認証局がデフォルトの証明書に署名します。このパラメーターは、OpenShift Container Platform クラスターでのみ使用できます。
`central.exposure.route.reencrypt.tls.destinationCACertificate`	このパラメーターを使用して、最終宛先 (つまり Central) の CA 証明書を指定します。OpenShift Container Platform ルーターは、この証明書を使用して、セキュアな接続のヘルスチェックを実行します。デフォルトでは、Central が認証局を提供します。
`central.exposure.route.reencrypt.tls.key`	このパラメーターを使用して、ルートで提供される証明書の PEM エンコードされた秘密鍵を指定します。OpenShift Container Platform 認証局がデフォルトの証明書に署名します。このパラメーターは、OpenShift Container Platform クラスターでのみ使用できます。
`central.db.external`	Central DB をデプロイせず、外部データベースを使用することを指定するには、`true` を使用します。
`central.db.source.connectionString`	Central がデータベースへの接続に使用する接続文字列。これは、`central.db.external` が true に設定されている場合にのみ使用されます。接続文字列は、「関連情報」の PostgreSQL ドキュメントで説明されているように、キーワード/値の形式である必要があります。推奨かつサポートされているバージョンは Postgres 15 です。Red Hat では Postgres 13 のサポートが非推奨となり、RHACS の新しいバージョンで削除される予定です。 PgBouncer を介した接続はサポートされていません。ユーザーは、データベースを作成および削除できるスーパーユーザーである必要があります。
`central.db.source.minConns`	確立されるデータベースへの接続の最小数。
`central.db.source.maxConns`	確立されるデータベースへの接続の最大数。
`central.db.source.statementTimeoutMs`	単一のクエリーまたはトランザクションがデータベースに対してアクティブにできるミリ秒数。
`central.db.postgresConfig`	PostgreSQL ドキュメントの「追加リソース」で説明されているように、Central DB に使用される postgresql.conf。
`central.db.hbaConfig`	PostgreSQL ドキュメントの「追加リソース」で説明されているように、Central DB に使用される pg_hba.conf。
`central.db.nodeSelector`	ノードセレクターのラベルを `label-key: label-value` の形式で指定して、指定したラベルを持つノードでのみ Central DB をスケジュールするように強制します。
`central.db.image.registry`	Central DB イメージのグローバル `image.registry` パラメーターをオーバーライドするカスタムレジストリー。
`central.db.image.name`	デフォルトの Central DB イメージ名 (`central-db`) をオーバーライドするカスタムイメージ名。
`central.db.image.tag`	Central DB イメージのデフォルトのタグをオーバーライドするカスタムイメージタグ。新規インストール時に独自のイメージタグを指定した場合は、`helm upgrade` コマンドを実行して新しいバージョンにアップグレードするときに、このタグを手動でインクリメントする必要があります。Central DB イメージを独自のレジストリーにミラーリングする場合は、元のイメージタグを変更しないでください。
`central.db.image.fullRef`	Central DB イメージのレジストリーアドレス、イメージ名、イメージタグを含む完全なリファレンス。このパラメーターの値を設定すると、`central.db.image.registry`、`central.db.image.name`、および `central.db.image.tag` パラメーターがオーバーライドされます。
`central.db.resources.requests.memory`	Central DB のメモリー要求。
`central.db.resources.requests.cpu`	Central DB の CPU 要求。
`central.db.resources.limits.memory`	Central DB のメモリー制限。
`central.db.resources.limits.cpu`	Central DB の CPU 制限。
`central.db.persistence.hostPath`	RHACS がデータベースボリュームを作成するノード上のパス。Red Hat はこのオプションの使用を推奨していません。
`central.db.persistence.persistentVolumeClaim.claimName`	使用している永続ボリューム要求 (PVC) の名前です。
`central.db.persistence.persistentVolumeClaim.createClaim`	`true` を使用して新しい永続ボリューム要求を作成するか、`false` を使用して既存の要求を使用します。
`central.db.persistence.persistentVolumeClaim.size`	指定された要求によるマネージドの永続ボリュームのサイズ (GiB 単位) です。

5.2.1.2.2.8. StackRox Scanner
リンクのコピー

次の表に、StackRox Scanner の設定可能なパラメーターを示します。StackRox Scanner は非推奨となりました。

Expand

パラメーター	説明
`scanner.disable`	StackRox Scanner なしで RHACS をインストールするには、`true` を使用します。`helm upgrade` コマンドで使用すると、Helm によって既存の StackRox Scanner デプロイメントが削除されます。
`scanner.exposeMonitoring`	ポート番号 `9090` で StackRox Scanner の Prometheus メトリクスエンドポイントを公開するには、`true` を指定します。
`scanner.replicas`	StackRox Scanner デプロイメント用に作成するレプリカの数。`scanner.autoscaling` パラメーターと一緒に使用する場合、この値はレプリカの初期数を設定します。
`scanner.logLevel`	StackRox Scanner のログレベルを設定します。Red Hat では、デフォルトのログレベル値 (`INFO`) を変更しないことを推奨しています。
`scanner.nodeSelector`	ノードセレクターのラベルを `label-key: label-value` の形式で指定して、指定したラベルを持つノードでのみ StackRox Scanner をスケジュールするように強制します。
`scanner.tolerations`	ノードセレクターがテイントされたノードを選択する場合は、このパラメーターを使用して、StackRox Scanner のテイントの容認キー、値、および effect を指定します。このパラメーターは、主にインフラストラクチャーノードに使用されます。
`scanner.autoscaling.disable`	StackRox Scanner デプロイメントの自動スケーリングを無効にするには、`true` を使用します。自動スケーリングを無効にすると、`minReplicas` パラメーターと `maxReplicas` パラメーターは効果がありません。
`scanner.autoscaling.minReplicas`	自動スケーリングのレプリカの最小数です。
`scanner.autoscaling.maxReplicas`	自動スケーリングのレプリカの最大数です。
`scanner.resources.requests.memory`	StackRox Scanner のメモリー要求。
`scanner.resources.requests.cpu`	StackRox Scanner の CPU 要求。
`scanner.resources.limits.memory`	StackRox Scanner のメモリー制限。
`scanner.resources.limits.cpu`	StackRox Scanner の CPU 制限。
`scanner.dbResources.requests.memory`	StackRox Scanner データベースデプロイメントのメモリー要求。
`scanner.dbResources.requests.cpu`	StackRox Scanner データベースデプロイメントの CPU 要求。
`scanner.dbResources.limits.memory`	StackRox Scanner データベースデプロイメントのメモリー制限。
`scanner.dbResources.limits.cpu`	StackRox Scanner データベースデプロイメントの CPU 制限。
`scanner.image.registry`	StackRox Scanner イメージのカスタムレジストリー。
`scanner.image.name`	デフォルトの StackRox Scanner イメージ名 (`scanner`) をオーバーライドするカスタムイメージ名。
`scanner.dbImage.registry`	StackRox Scanner DB イメージのカスタムレジストリー。
`scanner.dbImage.name`	デフォルトの StackRox Scanner DB イメージ名 (`scanner-db`) をオーバーライドするカスタムイメージ名。
`scanner.dbNodeSelector`	ノードセレクターのラベルを `label-key: label-value` の形式で指定して、指定したラベルを持つノードでのみ StackRox Scanner DB をスケジュールするように強制します。
`scanner.dbTolerations`	ノードセレクターがテイントされたノードを選択する場合は、このパラメーターを使用して、StackRox Scanner DB のテイントの容認キー、値、および effect を指定します。このパラメーターは、主にインフラストラクチャーノードに使用されます。

5.2.1.2.2.9. Scanner V4
リンクのコピー

次の表に、Scanner V4 の設定可能なパラメーターを示します。

Expand

パラメーター	説明
`scannerV4.db.persistence.persistentVolumeClaim.claimName`	Scanner V4 の永続データを管理する PVC の名前。Central の場合、デフォルトでシステムは PVC を作成し、名前にデフォルト値 `scanner-v4-db` を使用します。
`scannerV4.db.persistence.persistentVolumeClaim.size`	Scanner V4 の永続データを管理するための PVC のサイズ。
`scannerV4.db.persistence.persistentVolumeClaim.storageClassName`	PVC に使用するストレージクラスの名前。クラスターがデフォルトのストレージクラスで設定されていない場合は、このパラメーターの値を指定する必要があります。
`scannerV4.disable`	次の値が有効です。 `true`:Scanner V4 はデプロイされていません。 `false`:Scanner V4 がデプロイされています。値が指定されていない場合は、デフォルトで次の動作が発生します。新規インストール:Scanner V4 がデプロイされています。 4.8 より前のリリースからのアップグレード:Scanner V4 はデプロイされていません。
`scannerV4.exposeMonitoring`	Scanner V4 の Prometheus メトリクスエンドポイントをポート番号 `9090` で公開するには、`true` を指定します。
`scannerV4.indexer.replicas`	Scanner V4 Indexer デプロイメント用に作成するレプリカの数。`scannerV4.indexer.autoscaling` パラメーターとともに使用すると、この値によってレプリカの初期数が設定されます。
`scannerV4.indexer.logLevel`	Scanner V4 Indexer のログレベルを設定します。Red Hat では、デフォルトのログレベル値 (`INFO`) を変更しないことを推奨しています。
`scannerV4.indexer.nodeSelector`	ノードセレクターのラベルを `label-key: label-value` の形式で指定して、指定したラベルを持つノードでのみ Scanner V4 Indexer をスケジュールするように強制します。
`scannerV4.indexer.tolerations`	ノードセレクターがテイントされたノードを選択する場合は、このパラメーターを使用して、Scanner V4 Indexer のテイントの容認キー、値、および effect を指定します。このパラメーターは、主にインフラストラクチャーノードに使用されます。
`scannerV4.indexer.autoscaling.disable`	Scanner V4 Indexer デプロイメントの自動スケーリングを無効にするには、`true` を使用します。自動スケーリングを無効にすると、`minReplicas` パラメーターと `maxReplicas` パラメーターは効果がありません。
`scannerV4.indexer.autoscaling.minReplicas`	自動スケーリングのレプリカの最小数です。
`scannerV4.indexer.autoscaling.maxReplicas`	自動スケーリングのレプリカの最大数です。
`scannerV4.indexer.resources.requests.memory`	Scanner V4 Indexer のメモリー要求。
`scannerV4.indexer.resources.requests.cpu`	Scanner V4 Indexer の CPU 要求。
`scannerV4.indexer.resources.limits.memory`	Scanner V4 Indexer のメモリー制限。
`scannerV4.indexer.resources.limits.cpu`	Scanner V4 Indexer の CPU 制限。
`scannerV4.matcher.replicas`	Scanner V4 Matcher デプロイメント用に作成するレプリカの数。`scannerV4.matcher.autoscaling` パラメーターとともに使用すると、この値によってレプリカの初期数が設定されます。
`scannerV4.matcher.logLevel`	Red Hat では、デフォルトのログレベル値 (`INFO`) を変更しないことを推奨しています。
`scannerV4.matcher.nodeSelector`	ノードセレクターのラベルを `label-key: label-value` の形式で指定して、指定したラベルを持つノードでのみ Scanner V4 Matcher をスケジュールするように強制します。
`scannerV4.matcher.tolerations`	ノードセレクターがテイントされたノードを選択する場合は、このパラメーターを使用して、Scanner V4 Matcher のテイントの容認キー、値、および effect を指定します。このパラメーターは、主にインフラストラクチャーノードに使用されます。
`scannerV4.matcher.autoscaling.disable`	Scanner V4 Matcher デプロイメントの自動スケーリングを無効にするには、`true` を使用します。自動スケーリングを無効にすると、`minReplicas` パラメーターと `maxReplicas` パラメーターは効果がありません。
`scannerV4.matcher.autoscaling.minReplicas`	自動スケーリングのレプリカの最小数です。
`scannerV4.matcher.autoscaling.maxReplicas`	自動スケーリングのレプリカの最大数です。
`scannerV4.matcher.resources.requests.memory`	Scanner V4 Matcher のメモリー要求。
`scannerV4.matcher.resources.requests.cpu`	Scanner V4 Matcher の CPU 要求。
`scannerV4.db.resources.requests.memory`	Scanner V4 データベースデプロイメントのメモリー要求。
`scannerV4.db.resources.requests.cpu`	Scanner V4 データベースデプロイメントの CPU 要求。
`scannerV4.db.resources.limits.memory`	Scanner V4 データベースデプロイメントのメモリー制限。
`scannerV4.db.resources.limits.cpu`	Scanner V4 データベースデプロイメントの CPU 制限。
`scannerV4.db.nodeSelector`	ノードセレクターのラベルを `label-key: label-value` の形式で指定して、指定したラベルを持つノードでのみ Scanner V4 DB をスケジュールするように強制します。
`scannerV4.db.tolerations`	ノードセレクターがテイントされたノードを選択する場合は、このパラメーターを使用して、Scanner V4 DB のテイントの容認キー、値、および effect を指定します。このパラメーターは、主にインフラストラクチャーノードに使用されます。
`scannerV4.db.image.registry`	Scanner V4 DB イメージのカスタムレジストリー。
`scannerV4.db.image.name`	デフォルトの Scanner V4 DB イメージ名 (`scanner-v4-db`) をオーバーライドするカスタムイメージ名。
`scannerV4.image.registry`	Scanner V4 イメージのカスタムレジストリー。
`scannerV4.image.name`	デフォルトの Scanner V4 イメージ名 (`scanner-v4`) をオーバーライドするカスタムイメージ名。

5.2.1.2.2.10. カスタマイズ
リンクのコピー

以下のパラメーターを使用して、RHACS が作成するすべてのオブジェクトの追加属性を指定します。

Expand

パラメーター	説明
`customize.labels`	すべてのオブジェクトにアタッチするカスタムラベルです。
`customize.annotations`	すべてのオブジェクトにアタッチするカスタムアノテーションです。
`customize.podLabels`	すべてのデプロイメントにアタッチするカスタムラベルです。
`customize.podAnnotations`	すべてのデプロイメントにアタッチするカスタムアノテーションです。
`customize.envVars`	すべてのオブジェクトのすべてのコンテナーのカスタム環境変数。
`customize.central.labels`	Central が作成するすべてのオブジェクトに割り当てるカスタムラベル。
`customize.central.annotations`	Central が作成するすべてのオブジェクトに割り当てるカスタムアノテーション。
`customize.central.podLabels`	すべての Central のデプロイメントにアタッチするカスタムラベルです。
`customize.central.podAnnotations`	すべての Central のデプロイメントにアタッチするカスタムアノテーションです。
`customize.central.envVars`	すべての Central コンテナーのカスタム環境変数。
`customize.scanner.labels`	Scanner が作成するすべてのオブジェクトに割り当てるカスタムラベル。
`customize.scanner.annotations`	Scanner が作成するすべてのオブジェクトに割り当てるカスタムアノテーション。
`customize.scanner.podLabels`	すべての Scanner のデプロイメントにアタッチするカスタムラベルです。
`customize.scanner.podAnnotations`	すべての Scanner のデプロイメントにアタッチするカスタムアノテーションです。
`customize.scanner.envVars`	すべての Scanner コンテナーのカスタム環境変数。
`customize.scanner-db.labels`	Scanner DB が作成するすべてのオブジェクトに割り当てるカスタムラベル。
`customize.scanner-db.annotations`	Scanner DB が作成するすべてのオブジェクトに割り当てるカスタムアノテーション。
`customize.scanner-db.podLabels`	すべての Scanner DB のデプロイメントにアタッチするカスタムラベルです。
`customize.scanner-db.podAnnotations`	すべての Scanner DB のデプロイメントにアタッチするカスタムアノテーションです。
`customize.scanner-db.envVars`	すべての Scanner DB コンテナーのカスタム環境変数。
`customize.scanner-v4-indexer.labels`	Scanner V4 Indexer が作成するすべてのオブジェクトと、それらに属する Pod に割り当てるカスタムラベル。
`customize.scanner-v4-indexer.annotations`	Scanner V4 Indexer が作成するすべてのオブジェクトと、それらに属する Pod に割り当てるカスタムアノテーション。
`customize.scanner-v4-indexer.podLabels`	Scanner V4 Indexer が作成するすべてのオブジェクトと、それらに属する Pod に割り当てるカスタムラベル。
`customize.scanner-v4-indexer.podAnnotations`	Scanner V4 Indexer が作成するすべてのオブジェクトと、それらに属する Pod に割り当てるカスタムアノテーション。
`customize.scanner-4v-indexer.envVars`	すべての Scanner V4 Indexer コンテナーとそれらに属する Pod のカスタム環境変数。
`customize.scanner-v4-matcher.labels`	Scanner V4 Matcher が作成するすべてのオブジェクトと、それらに属する Pod に割り当てるカスタムラベル。
`customize.scanner-v4-matcher.annotations`	Scanner V4 Matcher が作成するすべてのオブジェクトと、それらに属する Pod に割り当てるカスタムアノテーション。
`customize.scanner-v4-matcher.podLabels`	Scanner V4 Matcher が作成するすべてのオブジェクトと、それらに属する Pod に割り当てるカスタムラベル。
`customize.scanner-v4-matcher.podAnnotations`	Scanner V4 Matcher が作成するすべてのオブジェクトと、それらに属する Pod に割り当てるカスタムアノテーション。
`customize.scanner-4v-matcher.envVars`	すべての Scanner V4 Matcher コンテナーとそれらに属する Pod のカスタム環境変数。
`customize.scanner-v4-db.labels`	Scanner V4 DB が作成するすべてのオブジェクトと、それらに属する Pod に割り当てるカスタムラベル。
`customize.scanner-v4-db.annotations`	Scanner V4 DB が作成するすべてのオブジェクトと、それらに属する Pod に割り当てるカスタムアノテーション。
`customize.scanner-v4-db.podLabels`	Scanner V4 DB が作成するすべてのオブジェクトと、それらに属する Pod に割り当てるカスタムラベル。
`customize.scanner-v4-db.podAnnotations`	Scanner V4 DB が作成するすべてのオブジェクトと、それらに属する Pod に割り当てるカスタムアノテーション。
`customize.scanner-4v-db.envVars`	すべての Scanner V4 DB コンテナーとそれらに属する Pod のカスタム環境変数。

以下のように使用することもできます。

すべてのオブジェクトのラベルとアノテーションを指定するための customize.other.service/*.labels および customize.other.service/*.annotations パラメーターです。
または、特定のサービス名を指定します。たとえば、customize.other.service/central-loadbalancer.labels と customize.other.service/central-loadbalancer.annotations をパラメーターとして指定し、それらの値を設定します。

5.2.1.2.2.11. 高度なカスタマイズ
リンクのコピー

重要

このセクションで指定されているパラメーターは、情報提供のみを目的としています。Red Hat は、namespace やリリース名が変更された RHACS インスタンスをサポートしません。

Expand

パラメーター	説明
`allowNonstandardNamespace`	RHACS をデフォルトの `stackrox` 以外の namespace にデプロイするには、`true` を使用します。
`allowNonstandardReleaseName`	デフォルトの `stackrox-central-services` 以外のリリース名で RHACS をデプロイするには、`true` を使用します。

5.2.1.2.3. 宣言的な設定値
リンクのコピー

宣言型設定を使用するには、宣言型設定マウントを Central に追加する YAML ファイル (この例では "declarative-config-values.yaml" という名前) を作成する必要があります。このファイルは Helm インストールで使用されます。

手順

次の例をガイドラインとして使用して、YAML ファイル (この例では declarative-config-values.yaml という名前) を作成します。

central:
  declarativeConfiguration:
    mounts:
      configMaps:
        - declarative-configs
      secrets:
        - sensitive-declarative-configs

central:
  declarativeConfiguration:
    mounts:
      configMaps:
        - declarative-configs
      secrets:
        - sensitive-declarative-configs

Copy to Clipboard

Toggle word wrap

「central-services Helm チャートのインストール」の説明に従って、declarative-config-values.yaml ファイルを参照して、Central サービス Helm チャートをインストールします。

5.2.1.2.4. central-services Helm チャートのインストール
リンクのコピー

values-public.yaml ファイルと values-private.yaml ファイルを設定した後、central-services Helm チャートをインストールして、集中型コンポーネント (Central と Scanner) をデプロイします。

手順

以下のコマンドを実行します。

helm install -n stackrox --create-namespace \
  stackrox-central-services rhacs/central-services \
  -f <path_to_values_public.yaml> -f <path_to_values_private.yaml>

$ helm install -n stackrox --create-namespace \
  stackrox-central-services rhacs/central-services \
  -f <path_to_values_public.yaml> -f <path_to_values_private.yaml>

Copy to Clipboard

Toggle word wrap

1: -f オプションを使用して、YAML 設定ファイルのパスを指定します。

注記

オプション: 宣言型設定を使用する場合は、このコマンドに -f <path_to_declarative-config-values.yaml を追加して、宣言型設定ファイルを Central にマウントします。

5.2.1.3. central-services Helm チャートをデプロイした後の設定オプションの変更
リンクのコピー

central-services Helm チャートをデプロイした後、設定オプションを変更できます。

helm upgrade コマンドを使用して変更を加える場合は、次のガイドラインと要件が適用されます。

--set または --set-file パラメーターを使用して設定値を指定することもできます。ただし、これらのオプションは保存されないため、変更を加えるたびにすべてのオプションを手動で再度指定する必要があります。
新しいコンポーネントを有効にするなどの一部の変更では、コンポーネントに対して新しい証明書を発行する必要があります。したがって、これらの変更を行う場合は CA を指定する必要があります。
- CA が初期インストール中に Helm チャートによって生成された場合は、自動的に生成された該当する値をクラスターから取得し、helm upgrade コマンドで指定する必要があります。central-services Helm チャートのインストール後の注記に、自動生成された値を取得するためのコマンドが含まれています。
- CA が Helm チャートの外部で生成されたものであり、central-services チャートのインストール時にその CA を指定した場合は、helm upgrade コマンドを使用するときに、たとえば helm upgrade コマンドで --reuse-values フラグを使用して、その操作を再度実行する必要があります。

手順

values-public.yaml および values-private.yaml 設定ファイルを新しい値で更新します。

helm upgrade コマンドを実行し、-f オプションを使用して設定ファイルを指定します。

helm upgrade -n stackrox \
  stackrox-central-services rhacs/central-services \
  --reuse-values \
  -f <path_to_init_bundle_file \
  -f <path_to_values_public.yaml> \
  -f <path_to_values_private.yaml>

$ helm upgrade -n stackrox \
  stackrox-central-services rhacs/central-services \
  --reuse-values \


  -f <path_to_init_bundle_file \
  -f <path_to_values_public.yaml> \
  -f <path_to_values_private.yaml>

Copy to Clipboard

Toggle word wrap

1: values_public.yaml ファイルと values_private.yaml ファイルに含まれていない値を変更した場合は、--reuse-values パラメーターを含めます。

5.2.2. roxctl CLI を使用して Central をインストールする
リンクのコピー

警告

実稼働環境では、Red Hat は Operator または Helm チャートを使用して RHACS をインストールすることを推奨しています。この方法を使用する必要がある特定のインストールがない限り、roxctl のインストール手法を使用しないでください。

5.2.2.1. roxctl CLI のインストール
リンクのコピー

Red Hat Advanced Cluster Security for Kubernetes をインストールするには、バイナリーをダウンロードして roxctl CLI をインストールする必要があります。roxctl は、Linux、Windows、または macOS にインストールできます。

5.2.2.1.1. Linux への roxctl CLI のインストール
リンクのコピー

次の手順を使用して、Linux に roxctl CLI バイナリーをインストールできます。

注記

Linux 用の roxctl CLI は、amd64、arm64、ppc64le、s390x アーキテクチャーで使用できます。

手順

ターゲットのオペレーティングシステムの roxctl アーキテクチャーを確認します。
```
arch="$(uname -m | sed "s/x86_64//")"; arch="${arch:+-$arch}"
```
```
$ arch="$(uname -m | sed "s/x86_64//")"; arch="${arch:+-$arch}"
```
Copy to Clipboard Toggle word wrap

roxctl CLI をダウンロードします。

curl -L -f -o roxctl "https://mirror.openshift.com/pub/rhacs/assets/4.8.3/bin/Linux/roxctl${arch}"

$ curl -L -f -o roxctl "https://mirror.openshift.com/pub/rhacs/assets/4.8.3/bin/Linux/roxctl${arch}"

Copy to Clipboard

Toggle word wrap

roxctl バイナリーを実行可能にします。
```
chmod +x roxctl
```
```
$ chmod +x roxctl
```
Copy to Clipboard Toggle word wrap
PATH 上にあるディレクトリーに roxctl バイナリーを配置します。
PATH を確認するには、以下のコマンドを実行します。
```
echo $PATH
```
```
$ echo $PATH
```
Copy to Clipboard Toggle word wrap

検証

インストールした roxctl のバージョンを確認します。
```
roxctl version
```
```
$ roxctl version
```
Copy to Clipboard Toggle word wrap

5.2.2.1.2. macOS への roxctl CLI のインストール
リンクのコピー

次の手順を使用して、roxctl CLI バイナリーを macOS にインストールできます。

注記

macOS 用の roxctl CLI は、amd64 および arm64 アーキテクチャーで使用できます。

手順

ターゲットのオペレーティングシステムの roxctl アーキテクチャーを確認します。
```
arch="$(uname -m | sed "s/x86_64//")"; arch="${arch:+-$arch}"
```
```
$ arch="$(uname -m | sed "s/x86_64//")"; arch="${arch:+-$arch}"
```
Copy to Clipboard Toggle word wrap

roxctl CLI をダウンロードします。

curl -L -f -o roxctl "https://mirror.openshift.com/pub/rhacs/assets/4.8.3/bin/Darwin/roxctl${arch}"

$ curl -L -f -o roxctl "https://mirror.openshift.com/pub/rhacs/assets/4.8.3/bin/Darwin/roxctl${arch}"

Copy to Clipboard

Toggle word wrap

バイナリーからすべての拡張属性を削除します。
```
xattr -c roxctl
```
```
$ xattr -c roxctl
```
Copy to Clipboard Toggle word wrap
roxctl バイナリーを実行可能にします。
```
chmod +x roxctl
```
```
$ chmod +x roxctl
```
Copy to Clipboard Toggle word wrap
PATH 上にあるディレクトリーに roxctl バイナリーを配置します。
PATH を確認するには、以下のコマンドを実行します。
```
echo $PATH
```
```
$ echo $PATH
```
Copy to Clipboard Toggle word wrap

検証

インストールした roxctl のバージョンを確認します。
```
roxctl version
```
```
$ roxctl version
```
Copy to Clipboard Toggle word wrap

5.2.2.1.3. Windows への roxctl CLI のインストール
リンクのコピー

次の手順を使用して、roxctl CLI バイナリーを Windows にインストールできます。

注記

Windows 用の roxctl CLI は、amd64 アーキテクチャーで使用できます。

手順

roxctl CLI をダウンロードします。

curl -f -O https://mirror.openshift.com/pub/rhacs/assets/4.8.3/bin/Windows/roxctl.exe

$ curl -f -O https://mirror.openshift.com/pub/rhacs/assets/4.8.3/bin/Windows/roxctl.exe

Copy to Clipboard

Toggle word wrap

検証

インストールした roxctl のバージョンを確認します。
```
roxctl version
```
```
$ roxctl version
```
Copy to Clipboard Toggle word wrap

5.2.2.2. 対話型インストーラーの使用
リンクのコピー

対話型インストーラーを使用して、お使いの環境に必要なシークレット、デプロイメント設定、およびデプロイメントスクリプトを生成します。

手順

対話型インストールコマンドを実行します。
```
roxctl central generate interactive
```
```
$ roxctl central generate interactive
```
Copy to Clipboard Toggle word wrap
重要
roxctl CLI を使用して RHACS をインストールすると、下位互換性のためにデフォルトで PodSecurityPolicy (PSP) オブジェクトが作成されます。RHACS を Kubernetes バージョン 1.25 以降または OpenShift Container Platform バージョン 4.12 以降にインストールする場合、PSP オブジェクトの作成を無効にする必要があります。これを行うには、roxctl central generate コマンドと roxctl sensor generate コマンドで --enable-pod-security-policies オプションを false に指定します。

Enter を押してプロンプトのデフォルト値を受け入れるか、必要に応じてカスタム値を入力します。次の例は、対話型インストーラーのプロンプトを示しています。

Path to the backup bundle from which to restore keys and certificates (optional):
PEM cert bundle file (optional): 
Disable the administrator password (only use this if you have already configured an IdP for your instance) (default: "false"):
Create PodSecurityPolicy resources (for pre-v1.25 Kubernetes) (default: "false"): 
Administrator password (default: autogenerated):
Orchestrator (k8s, openshift):
Default container images settings (rhacs, opensource); it controls repositories from where to download the images, image names and tags format (default: "rhacs"):
The directory to output the deployment bundle to (default: "central-bundle"):
Whether to enable telemetry (default: "true"):
The central-db image to use (if unset, a default will be used according to --image-defaults) (default: "registry.redhat.io/advanced-cluster-security/rhacs-central-db-rhel8:4.6.0"):
List of secrets to add as declarative configuration mounts in central (default: "[]"): 
The method of exposing Central (lb, np, none) (default: "none"): 
The main image to use (if unset, a default will be used according to --image-defaults) (default: "registry.redhat.io/advanced-cluster-security/rhacs-main-rhel8:4.6.0"):
Whether to run StackRox in offline mode, which avoids reaching out to the Internet (default: "false"):
List of config maps to add as declarative configuration mounts in central (default: "[]"): 
The deployment tool to use (kubectl, helm, helm-values) (default: "kubectl"):
Istio version when deploying into an Istio-enabled cluster (leave empty when not running Istio) (optional):
The scanner-db image to use (if unset, a default will be used according to --image-defaults) (default: "registry.redhat.io/advanced-cluster-security/rhacs-scanner-db-rhel8:4.6.0"):
The scanner image to use (if unset, a default will be used according to --image-defaults) (default: "registry.redhat.io/advanced-cluster-security/rhacs-scanner-rhel8:4.6.0"):
The scanner-v4-db image to use (if unset, a default will be used according to --image-defaults) (default: "registry.redhat.io/advanced-cluster-security/rhacs-scanner-v4-db-rhel8:4.6.0"):
The scanner-v4 image to use (if unset, a default will be used according to --image-defaults) (default: "registry.redhat.io/advanced-cluster-security/rhacs-scanner-v4-rhel8:4.6.0"):
External volume type (hostpath, pvc): hostpath
Path on the host (default: "/var/lib/stackrox-central"):
Node selector key (e.g. kubernetes.io/hostname):
Node selector value:

Path to the backup bundle from which to restore keys and certificates (optional):
PEM cert bundle file (optional):


Disable the administrator password (only use this if you have already configured an IdP for your instance) (default: "false"):
Create PodSecurityPolicy resources (for pre-v1.25 Kubernetes) (default: "false"):


Administrator password (default: autogenerated):
Orchestrator (k8s, openshift):
Default container images settings (rhacs, opensource); it controls repositories from where to download the images, image names and tags format (default: "rhacs"):
The directory to output the deployment bundle to (default: "central-bundle"):
Whether to enable telemetry (default: "true"):
The central-db image to use (if unset, a default will be used according to --image-defaults) (default: "registry.redhat.io/advanced-cluster-security/rhacs-central-db-rhel8:4.6.0"):
List of secrets to add as declarative configuration mounts in central (default: "[]"):


The method of exposing Central (lb, np, none) (default: "none"):


The main image to use (if unset, a default will be used according to --image-defaults) (default: "registry.redhat.io/advanced-cluster-security/rhacs-main-rhel8:4.6.0"):
Whether to run StackRox in offline mode, which avoids reaching out to the Internet (default: "false"):
List of config maps to add as declarative configuration mounts in central (default: "[]"):


The deployment tool to use (kubectl, helm, helm-values) (default: "kubectl"):
Istio version when deploying into an Istio-enabled cluster (leave empty when not running Istio) (optional):
The scanner-db image to use (if unset, a default will be used according to --image-defaults) (default: "registry.redhat.io/advanced-cluster-security/rhacs-scanner-db-rhel8:4.6.0"):
The scanner image to use (if unset, a default will be used according to --image-defaults) (default: "registry.redhat.io/advanced-cluster-security/rhacs-scanner-rhel8:4.6.0"):
The scanner-v4-db image to use (if unset, a default will be used according to --image-defaults) (default: "registry.redhat.io/advanced-cluster-security/rhacs-scanner-v4-db-rhel8:4.6.0"):
The scanner-v4 image to use (if unset, a default will be used according to --image-defaults) (default: "registry.redhat.io/advanced-cluster-security/rhacs-scanner-v4-rhel8:4.6.0"):
External volume type (hostpath, pvc): hostpath
Path on the host (default: "/var/lib/stackrox-central"):
Node selector key (e.g. kubernetes.io/hostname):
Node selector value:

Copy to Clipboard

Toggle word wrap

1: カスタム TLS 証明書を追加する場合は、PEM でエンコードされた証明書のファイルパスを指定します。カスタム証明書を指定すると、対話型インストーラーは、使用しているカスタム証明書の PEM 秘密鍵を提供するように要求します。
2: Kubernetes バージョン 1.25 以降を実行している場合は、この値を false に設定します。
3: 認証と認可に宣言型設定を使用する方法の詳細は、「Red Hat Advanced Cluster Security for Kubernetes での RBAC の管理」の「認証および認可リソースの宣言型設定」を参照してください。
4: RHACS ポータルを使用するには、ルート、ロードバランサー、またはノードポートを使用して Central を公開する必要があります。
5: 認証と認可に宣言型設定を使用する方法の詳細は、「Red Hat Advanced Cluster Security for Kubernetes での RBAC の管理」の「認証および認可リソースの宣言型設定」を参照してください。

警告

OpenShift Container Platform で、hostPath ボリュームを使用するには、SELinux ポリシーを変更して、ホストとコンテナーが共有するディレクトリーへのアクセスを許可する必要があります。これは、SELinux がデフォルトでディレクトリー共有をブロックしているためです。SELinux ポリシーを変更するには、次のコマンドを実行します。

sudo chcon -Rt svirt_sandbox_file_t <full_volume_path>

$ sudo chcon -Rt svirt_sandbox_file_t <full_volume_path>

Copy to Clipboard

Toggle word wrap

ただし、Red Hat は SELinux ポリシーの変更を推奨していません。代わりに、OpenShift Container Platform にインストールするときに PVC を使用してください。

完了すると、インストーラーは central-bundle という名前のフォルダーを作成します。このフォルダーには、Central をデプロイするために必要な YAML マニフェストとスクリプトが含まれています。さらに、信頼できる認証局である Central と Scanner をデプロイするために実行する必要があるスクリプトの画面上の説明と、RHACS ポータルにログインするための認証手順、プロンプトに答える際にパスワードを入力しなかった場合は自動生成されたパスワードも表示されます。

5.2.2.3. Central インストールスクリプトの実行
リンクのコピー

対話型インストーラーを実行したら、setup.sh スクリプトを実行して Central をインストールできます。

手順

setup.sh スクリプトを実行して、イメージレジストリーアクセスを設定します。
```
./central-bundle/central/scripts/setup.sh
```
```
$ ./central-bundle/central/scripts/setup.sh
```
Copy to Clipboard Toggle word wrap
必要なリソースを作成します。
```
oc create -R -f central-bundle/central
```
```
$ oc create -R -f central-bundle/central
```
Copy to Clipboard Toggle word wrap

kubectl create -R -f central-bundle/central

$ kubectl create -R -f central-bundle/central

Copy to Clipboard

Toggle word wrap

デプロイメントの進行状況を確認します。
```
oc get pod -n stackrox -w
```
```
$ oc get pod -n stackrox -w
```
Copy to Clipboard Toggle word wrap

kubectl get pod -n stackrox -w

$ kubectl get pod -n stackrox -w

Copy to Clipboard

Toggle word wrap

Central の実行後、RHACS ポータルの IP アドレスを見つけて、ブラウザーで開きます。プロンプトに応答するときに選択した公開方法に応じて、次のいずれかの方法を使用して IP アドレスを取得します。

Expand

公開方法	コマンド	アドレス	例
ルート	`oc -n stackrox get route central`	出力の `HOST/PORT` 列の下のアドレス	`https://central-stackrox.example.route`
ノードポート	`oc get node -owide && oc -n stackrox get svc central-loadbalancer`	サービス用に表示されたポート上の任意のノードの IP またはホスト名	`https://198.51.100.0:31489`
ロードバランサー	`oc -n stackrox get svc central-loadbalancer`	EXTERNAL-IP、またはポート 443 でサービスに表示されるホスト名	`https://192.0.2.0`
なし	`central-bundle/central/scripts/port-forward.sh 8443`	`https://localhost:8443`	`https://localhost:8443`

注記

対話型インストール中に自動生成されたパスワードを選択した場合は、次のコマンドを実行して、Central にログインするためのパスワードを確認できます。

cat central-bundle/password

$ cat central-bundle/password

Copy to Clipboard

Toggle word wrap

トップに戻る

5.2. 他のプラットフォームに RHACS の Central サービスをインストールする

5.2.1. Helm チャートを使用して Central をインストールするリンクのコピーリンクがクリップボードにコピーされました!

5.2.1.1. カスタマイズせずに Helm チャートを使用して Central をインストールするリンクのコピーリンクがクリップボードにコピーされました!

5.2.1.1.1. Helm チャートリポジトリーの追加リンクのコピーリンクがクリップボードにコピーされました!

5.2.1.1.2. カスタマイズせずに central-services Helm チャートをインストールするリンクのコピーリンクがクリップボードにコピーされました!

5.2.1.1.3. 自動生成された認証局の取得リンクのコピーリンクがクリップボードにコピーされました!

5.2.1.2. カスタマイズした Helm チャートを使用して Central をインストールするリンクのコピーリンクがクリップボードにコピーされました!

5.2.1.2.1. プライベート設定ファイルリンクのコピーリンクがクリップボードにコピーされました!

5.2.1.2.1.1. イメージプルのシークレットリンクのコピーリンクがクリップボードにコピーされました!

5.2.1.2.1.2. プロキシー設定リンクのコピーリンクがクリップボードにコピーされました!

5.2.1.2.1.3. Centralリンクのコピーリンクがクリップボードにコピーされました!

5.2.1.2.1.4. Scannerリンクのコピーリンクがクリップボードにコピーされました!

5.2.1.2.2. パブリック設定ファイルリンクのコピーリンクがクリップボードにコピーされました!

5.2.1.2.2.1. イメージプルのシークレットリンクのコピーリンクがクリップボードにコピーされました!

5.2.1.2.2.2. イメージリンクのコピーリンクがクリップボードにコピーされました!

5.2.1.2.2.3. Policy as code 機能リンクのコピーリンクがクリップボードにコピーされました!

5.2.1.2.2.4. 環境変数リンクのコピーリンクがクリップボードにコピーされました!

5.2.1.2.2.5. 追加の信頼された認証局リンクのコピーリンクがクリップボードにコピーされました!

5.2.1.2.2.6. デフォルトのネットワークポリシーリンクのコピーリンクがクリップボードにコピーされました!

5.2.1.2.2.7. Centralリンクのコピーリンクがクリップボードにコピーされました!

5.2.1.2.2.8. StackRox Scannerリンクのコピーリンクがクリップボードにコピーされました!

5.2.1.2.2.9. Scanner V4リンクのコピーリンクがクリップボードにコピーされました!

5.2.1.2.2.10. カスタマイズリンクのコピーリンクがクリップボードにコピーされました!

5.2.1.2.2.11. 高度なカスタマイズリンクのコピーリンクがクリップボードにコピーされました!

5.2.1.2.3. 宣言的な設定値リンクのコピーリンクがクリップボードにコピーされました!

5.2.1.2.4. central-services Helm チャートのインストールリンクのコピーリンクがクリップボードにコピーされました!

5.2.1.3. central-services Helm チャートをデプロイした後の設定オプションの変更リンクのコピーリンクがクリップボードにコピーされました!

5.2.2. roxctl CLI を使用して Central をインストールするリンクのコピーリンクがクリップボードにコピーされました!

5.2.2.1. roxctl CLI のインストールリンクのコピーリンクがクリップボードにコピーされました!

5.2.2.1.1. Linux への roxctl CLI のインストールリンクのコピーリンクがクリップボードにコピーされました!

5.2.2.1.2. macOS への roxctl CLI のインストールリンクのコピーリンクがクリップボードにコピーされました!

5.2.2.1.3. Windows への roxctl CLI のインストールリンクのコピーリンクがクリップボードにコピーされました!

5.2.2.2. 対話型インストーラーの使用リンクのコピーリンクがクリップボードにコピーされました!

5.2.2.3. Central インストールスクリプトの実行リンクのコピーリンクがクリップボードにコピーされました!

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

5.2.1. Helm チャートを使用して Central をインストールする
リンクのコピー

5.2.1.1. カスタマイズせずに Helm チャートを使用して Central をインストールする
リンクのコピー

5.2.1.1.1. Helm チャートリポジトリーの追加
リンクのコピー

5.2.1.1.2. カスタマイズせずに central-services Helm チャートをインストールする
リンクのコピー

5.2.1.1.3. 自動生成された認証局の取得
リンクのコピー

5.2.1.2. カスタマイズした Helm チャートを使用して Central をインストールする
リンクのコピー

5.2.1.2.1. プライベート設定ファイル
リンクのコピー

5.2.1.2.1.1. イメージプルのシークレット
リンクのコピー

5.2.1.2.1.2. プロキシー設定
リンクのコピー

5.2.1.2.1.3. Central
リンクのコピー

5.2.1.2.1.4. Scanner
リンクのコピー

5.2.1.2.2. パブリック設定ファイル
リンクのコピー

5.2.1.2.2.1. イメージプルのシークレット
リンクのコピー

5.2.1.2.2.2. イメージ
リンクのコピー

5.2.1.2.2.3. Policy as code 機能
リンクのコピー

5.2.1.2.2.4. 環境変数
リンクのコピー

5.2.1.2.2.5. 追加の信頼された認証局
リンクのコピー

5.2.1.2.2.6. デフォルトのネットワークポリシー
リンクのコピー

5.2.1.2.2.7. Central
リンクのコピー

5.2.1.2.2.8. StackRox Scanner
リンクのコピー

5.2.1.2.2.9. Scanner V4
リンクのコピー

5.2.1.2.2.10. カスタマイズ
リンクのコピー

5.2.1.2.2.11. 高度なカスタマイズ
リンクのコピー

5.2.1.2.3. 宣言的な設定値
リンクのコピー

5.2.1.2.4. central-services Helm チャートのインストール
リンクのコピー

5.2.1.3. central-services Helm チャートをデプロイした後の設定オプションの変更
リンクのコピー

5.2.2. roxctl CLI を使用して Central をインストールする
リンクのコピー

5.2.2.1. roxctl CLI のインストール
リンクのコピー

5.2.2.1.1. Linux への roxctl CLI のインストール
リンクのコピー

5.2.2.1.2. macOS への roxctl CLI のインストール
リンクのコピー

5.2.2.1.3. Windows への roxctl CLI のインストール
リンクのコピー

5.2.2.2. 対話型インストーラーの使用
リンクのコピー

5.2.2.3. Central インストールスクリプトの実行
リンクのコピー