Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

3.3. 다른 플랫폼에 RHACS용 중앙 서비스 설치

Central은 RHACS 애플리케이션 관리 인터페이스 및 서비스가 포함된 리소스입니다. 데이터 지속성, API 상호 작용 및 RHACS 포털 액세스를 처리합니다. 동일한 중앙 인스턴스를 사용하여 여러 OpenShift Container Platform 또는 Kubernetes 클러스터를 보호할 수 있습니다.

다음 방법 중 하나를 사용하여 Central을 설치할 수 있습니다.

  • Helm 차트를 사용하여 설치
  • roxctl CLI를 사용하여 설치합니다(사용해야 하는 특정 설치가 없는 경우 이 메서드를 사용하지 마십시오).

3.3.1. Helm 차트를 사용하여 중앙 설치

사용자 정의 없이 Helm 차트를 사용하거나 기본값을 사용하거나 구성 매개변수의 추가 사용자 정의와 함께 Helm 차트를 사용하여 중앙을 설치할 수 있습니다.

3.3.1.1. 사용자 정의 없이 Helm 차트를 사용하여 중앙 설치

사용자 정의 없이 Red Hat OpenShift 클러스터에 RHACS를 설치할 수 있습니다. Helm 차트 리포지터리를 추가하고 central-services Helm 차트를 설치하여 중앙 및 스캐너의 중앙 집중식 구성 요소를 설치해야 합니다.

3.3.1.1.1. Helm 차트 리포지터리 추가

절차

  • RHACS 차트 리포지터리를 추가합니다. 

    $ helm repo add rhacs https://mirror.openshift.com/pub/rhacs/charts/

Kubernetes용 Red Hat Advanced Cluster Security용 Helm 리포지토리에는 다음을 포함하여 다양한 구성 요소를 설치하기 위한 Helm 차트가 포함되어 있습니다.

  • 중앙 집중식 구성 요소(Central 및 Scanner)를 설치하기 위한 중앙 서비스Helm 차트(중앙 서비스)입니다.

    참고

    중앙 집중식 구성 요소를 한 번만 배포하고 동일한 설치를 사용하여 여러 개의 개별 클러스터를 모니터링할 수 있습니다.

  • 클러스터당(Sensor 및 Admission 컨트롤러) 및 노드별(Collector) 구성 요소를 설치하기 위한 보안 클러스터 서비스 Helm 차트(secured-cluster-services)

    참고

    모니터링할 모든 노드에서 노드별 구성 요소를 모니터링하고 배포하려는 각 클러스터에 클러스터별 구성 요소를 배포합니다.

검증

  • 다음 명령을 실행하여 추가된 차트 리포지터리를 확인합니다. 

    $ helm search repo -l rhacs/
3.3.1.1.2. 사용자 정의 없이 central-services Helm 차트 설치

다음 지침을 사용하여 중앙 서비스 Helm 차트를 설치하여 중앙 집중식 구성 요소(Central 및 Scanner)를 배포합니다.

사전 요구 사항

  • Red Hat Container Registry에 액세스할 수 있어야 합니다. registry.redhat.io 에서 이미지를 다운로드하는 방법에 대한 자세한 내용은 Red Hat Container Registry 인증을 참조하십시오.

절차

  • 다음 명령을 실행하여 중앙 서비스를 설치하고 경로를 사용하여 Central을 노출합니다. 

    $ helm install -n stackrox \
  --create-namespace stackrox-central-services rhacs/central-services \
  --set imagePullSecrets.username=<username> \
  --set imagePullSecrets.password=<password> \
  --set central.exposure.route.enabled=true

  • 또는 다음 명령을 실행하여 중앙 서비스를 설치하고 로드 밸런서를 사용하여 Central을 노출합니다. 

    $ helm install -n stackrox \
  --create-namespace stackrox-central-services rhacs/central-services \
  --set imagePullSecrets.username=<username> \
  --set imagePullSecrets.password=<password> \
  --set central.exposure.loadBalancer.enabled=true

  • 또는 다음 명령을 실행하여 중앙 서비스를 설치하고 포트 전달을 사용하여 Central을 노출합니다. 

    $ helm install -n stackrox \
  --create-namespace stackrox-central-services rhacs/central-services \
    --set imagePullSecrets.username=<username> \
  --set imagePullSecrets.password=<password>
중요

  • 외부 서비스에 연결하기 위해 프록시가 필요한 클러스터에 Red Hat Advanced Cluster Security for Kubernetes를 설치하는 경우 proxyConfig 매개변수를 사용하여 프록시 구성을 지정해야 합니다. 예를 들면 다음과 같습니다. 

    env:
  proxyConfig: |
    url: http://proxy.name:port
    username: username
    password: password
    excludes:
    - some.domain
  • 사용자 이름과 암호를 사용하는 대신 설치할 네임스페이스에 하나 이상의 이미지 풀 시크릿을 이미 생성한 경우 --set imagePullSecrets.useExisting="<pull-secret-1;pull-secret-2>" 를 사용할 수 있습니다.

  • 이미지 풀 시크릿을 사용하지 마십시오.

    • quay.io/stackrox-io 또는 인증이 필요하지 않은 프라이빗 네트워크의 레지스트리에서 이미지를 가져오는 경우. 사용자 이름과 암호를 지정하는 대신 --set imagePullSecrets.allowNone=true 를 사용하십시오.
    • 설치 중인 네임스페이스의 기본 서비스 계정에 이미지 가져오기 보안을 이미 구성한 경우 사용자 이름과 암호를 지정하는 대신 --set imagePullSecrets.useFromDefaultServiceAccount=true 를 사용합니다.

설치 명령 출력에는 다음이 포함됩니다.

  • 자동 생성된 관리자 암호입니다.
  • 모든 구성 값을 저장하는 지침입니다.
  • Helm이 생성하는 경고입니다.

3.3.1.2. 사용자 지정과 함께 Helm 차트를 사용하여 중앙 설치

helm installhelm upgrade 명령과 함께 Helm 차트 구성 매개변수를 사용하여 사용자 지정으로 Red Hat OpenShift 클러스터에 RHACS를 설치할 수 있습니다. set 옵션을 사용하거나 YAML 구성 파일을 생성하여 이러한 매개변수를 지정할 수 있습니다.

Kubernetes용 Red Hat Advanced Cluster Security를 설치하기 위해 Helm 차트를 구성하려면 다음 파일을 생성합니다.

  • 공용 설정 파일 값-public.yaml: 이 파일을 사용하여 민감하지 않은 모든 구성 옵션을 저장합니다.
  • 비공개 설정 파일 values-private.yaml: 이 파일을 사용하여 중요한 모든 구성 옵션을 저장합니다. 이 파일을 안전하게 저장하십시오.
3.3.1.2.1. 개인 설정 파일

이 섹션에는 values-private.yaml 파일의 구성 가능한 매개변수가 나열됩니다. 이러한 매개변수에 대한 기본값이 없습니다.

3.3.1.2.1.1. 이미지 풀 시크릿

레지스트리에서 이미지를 가져오는 데 필요한 인증 정보는 다음과 같은 요인에 따라 달라집니다.

  • 사용자 정의 레지스트리를 사용하는 경우 다음 매개변수를 지정해야 합니다.

    • imagePullSecrets.username
    • imagePullSecrets.password
    • image.registry

  • 사용자 정의 레지스트리에 로그인하는 데 사용자 이름과 암호를 사용하지 않는 경우 다음 매개변수 중 하나를 지정해야 합니다.

    • imagePullSecrets.allowNone
    • imagePullSecrets.useExisting
    • imagePullSecrets.useFromDefaultServiceAccount
매개변수설명

imagePullSecrets.username

레지스트리에 로그인하는 데 사용되는 계정의 사용자 이름입니다.

imagePullSecrets.password

레지스트리에 로그인하는 데 사용되는 계정의 암호입니다.

imagePullSecrets.allowNone

사용자 정의 레지스트리를 사용하는 경우 true 를 사용하고 인증 정보 없이 이미지를 가져올 수 있습니다.

imagePullSecrets.useExisting

쉼표로 구분된 시크릿 목록을 값으로 사용합니다. 예를 들면 secret1, secret2, secretN 입니다. 대상 네임스페이스에 지정된 이름으로 기존 이미지 가져오기 보안을 이미 생성한 경우 이 옵션을 사용합니다.

imagePullSecrets.useFromDefaultServiceAccount

충분한 범위가 지정된 이미지 가져오기 보안이 있는 대상 네임스페이스에 기본 서비스 계정을 이미 구성한 경우 true 를 사용합니다.

3.3.1.2.1.2. 프록시 설정

외부 서비스에 연결하기 위해 프록시가 필요한 클러스터에 Red Hat Advanced Cluster Security for Kubernetes를 설치하는 경우 proxyConfig 매개변수를 사용하여 프록시 구성을 지정해야 합니다. 예를 들면 다음과 같습니다. 

env:
  proxyConfig: |
    url: http://proxy.name:port
    username: username
    password: password
    excludes:
    - some.domain
매개변수설명

env.proxyConfig

프록시 설정입니다.

3.3.1.2.1.3. 중앙

중앙에 대한 구성 가능한 매개변수입니다.

새 설치의 경우 다음 매개변수를 생략할 수 있습니다.

  • central.jwtSigner.key
  • central.serviceTLS.cert
  • central.serviceTLS.key
  • central.adminPassword.value
  • central.adminPassword.htpasswd
  • central.db.serviceTLS.cert
  • central.db.serviceTLS.key
  • central.db.password.value
  • 이러한 매개변수에 값을 지정하지 않으면 Helm 차트 값이 자동으로 생성됩니다.
  • 이러한 값을 수정하려면 helm upgrade 명령을 사용하여 --set 옵션을 사용하여 값을 지정할 수 있습니다.
중요

관리자 암호를 설정하는 경우 central.adminPassword.value 또는 central.adminPassword.htpasswd 만 사용할 수 있지만 둘 다 사용할 수는 없습니다.

매개변수설명

central.jwtSigner.key

인증을 위해 Red Hat Advanced Cluster Security for Kubernetes에서 JSON 웹 토큰(JWT) 서명에 사용해야 하는 개인 키입니다.

central.serviceTLS.cert

중앙 서비스에서 Central을 배포하는 데 사용해야 하는 내부 인증서입니다.

central.serviceTLS.key

중앙 서비스에서 사용해야 하는 내부 인증서의 개인 키입니다.

central.defaultTLS.cert

중앙에서 사용해야 하는 사용자용 인증서입니다. Red Hat Advanced Cluster Security for Kubernetes는 RHACS 포털에 이 인증서를 사용합니다.

  • 새 설치의 경우 인증서를 제공해야 합니다. 그러지 않으면 자체 서명된 인증서를 사용하여 Kubernetes용 Red Hat Advanced Cluster Security가 Central을 설치합니다.
  • 업그레이드하는 경우 Red Hat Advanced Cluster Security for Kubernetes는 기존 인증서와 해당 키를 사용합니다.

central.defaultTLS.key

중앙에서 사용해야 하는 사용자용 인증서의 개인 키입니다.

  • 새 설치의 경우 개인 키를 제공해야 합니다. 그렇지 않으면 자체 서명된 인증서를 사용하여 Kubernetes용 Red Hat Advanced Cluster Security가 Central을 설치합니다.
  • 업그레이드하는 경우 Red Hat Advanced Cluster Security for Kubernetes는 기존 인증서와 해당 키를 사용합니다.

central.db.password.value

Central 데이터베이스에 대한 연결 암호입니다.

central.adminPassword.value

Red Hat Advanced Cluster Security for Kubernetes에 로그인하기 위한 관리자 암호입니다.

central.adminPassword.htpasswd

Red Hat Advanced Cluster Security for Kubernetes에 로그인하기 위한 관리자 암호입니다. 이 암호는 bcrypt를 사용하여 해시 형식으로 저장됩니다.

central.db.serviceTLS.cert

중앙 DB를 배포하는 데 사용해야 하는 내부 인증서입니다.

central.db.serviceTLS.key

Central DB 서비스에서 사용해야 하는 내부 인증서의 개인 키입니다.

central.db.password.value

중앙 DB에 연결하는 데 사용되는 암호입니다.

참고

central.adminPassword.htpasswd 매개변수를 사용하는 경우 bcrypt 인코딩 암호 해시를 사용해야 합니다. htpasswd -nB admin 명령을 실행하여 암호 해시를 생성할 수 있습니다. 예를 들면 다음과 같습니다. 

htpasswd: |
  admin:<bcrypt-hash>
3.3.1.2.1.4. scanner

scanner에 대한 구성 가능한 매개변수입니다.

새 설치의 경우 다음 매개변수와 Helm 차트에서 해당 매개변수에 대한 값을 자동으로 생성할 수 있습니다. 그렇지 않으면 새 버전으로 업그레이드하는 경우 다음 매개변수의 값을 지정합니다.

  • scanner.dbPassword.value
  • scanner.serviceTLS.cert
  • scanner.serviceTLS.key
  • scanner.dbServiceTLS.cert
  • scanner.dbServiceTLS.key
매개변수설명

scanner.dbPassword.value

Scanner 데이터베이스와의 인증에 사용할 암호입니다. Kubernetes용 Red Hat Advanced Cluster Security는 내부적으로 값을 자동으로 생성하고 사용하므로 이 매개변수를 수정하지 마십시오.

scanner.serviceTLS.cert

scanner 서비스에서 Scanner를 배포하는 데 사용해야 하는 내부 인증서입니다.

scanner.serviceTLS.key

scanner 서비스에서 사용해야 하는 내부 인증서의 개인 키입니다.

scanner.dbServiceTLS.cert

scanner-db 서비스에서 Scanner 데이터베이스를 배포하는 데 사용해야 하는 내부 인증서입니다.

scanner.dbServiceTLS.key

scanner-db 서비스에서 사용해야 하는 내부 인증서의 개인 키입니다.

3.3.1.2.2. 공용 구성 파일

이 섹션에는 values-public.yaml 파일의 구성 가능한 매개변수가 나열됩니다.

3.3.1.2.2.1. 이미지 풀 시크릿

이미지 풀 보안은 레지스트리에서 이미지를 가져오는 데 필요한 인증 정보입니다.

매개변수설명

imagePullSecrets.allowNone

사용자 정의 레지스트리를 사용하는 경우 true 를 사용하고 인증 정보 없이 이미지를 가져올 수 있습니다.

imagePullSecrets.useExisting

쉼표로 구분된 시크릿 목록을 값으로 사용합니다. 예를 들면 secret1, secret2 입니다. 대상 네임스페이스에 지정된 이름으로 기존 이미지 가져오기 보안을 이미 생성한 경우 이 옵션을 사용합니다.

imagePullSecrets.useFromDefaultServiceAccount

충분한 범위가 지정된 이미지 가져오기 보안이 있는 대상 네임스페이스에 기본 서비스 계정을 이미 구성한 경우 true 를 사용합니다.

3.3.1.2.2.2. Image

이미지는 Helm 차트에서 central.image,scanner.imagescanner.dbImage 매개변수의 이미지를 확인하는 데 사용하는 기본 레지스트리를 설정하기 위해 구성을 선언합니다.

매개변수설명

image.registry

이미지 레지스트리의 주소입니다. registry.redhat.io 와 같은 호스트 이름 또는 us.gcr.io/stackrox-mirror 와 같은 원격 레지스트리 호스트 이름을 사용합니다.

3.3.1.2.2.3. 환경 변수

Red Hat Advanced Cluster Security for Kubernetes는 클러스터 환경을 자동으로 감지하고 env.openshift,env.istioenv.platform 의 값을 설정합니다. 자동 클러스터 환경 탐지를 재정의하려면 이 값만 설정합니다.

매개변수설명

env.openshift

OpenShift Container Platform 클러스터에 설치하고 자동 클러스터 환경 탐지를 재정의하려면 true 를 사용합니다.

env.istio

Istio가 활성화된 클러스터에 설치하고 자동 클러스터 환경 탐지를 재정의하려면 true 를 사용합니다.

env.platform

Red Hat Advanced Cluster Security for Kubernetes를 설치하는 플랫폼입니다. 클러스터 플랫폼을 지정하고 자동 클러스터 환경 탐지를 재정의하려면 해당 값을 default 또는 gke 로 설정합니다.

env.offlineMode

true 를 사용하여 오프라인 모드에서 Red Hat Advanced Cluster Security for Kubernetes를 사용합니다.

3.3.1.2.2.4. 신뢰할 수 있는 추가 인증 기관

Kubernetes용 Red Hat Advanced Cluster Security는 신뢰할 수 있는 시스템 루트 인증서를 자동으로 참조합니다. 조직의 기관 또는 전역 신뢰할 수 있는 파트너 조직의 인증서를 사용하는 서비스에 중앙 또는 스캐너를 사용해야 하는 경우 다음 매개변수를 사용하여 신뢰할 루트 인증 기관을 지정하여 이러한 서비스에 대한 신뢰를 추가할 수 있습니다.

매개변수설명

additionalCAs.<certificate_name>

신뢰할 루트 인증 기관의 PEM 인코딩 인증서를 지정합니다.

3.3.1.2.2.5. 중앙

중앙에 대한 구성 가능한 매개변수입니다.

  • 영구 스토리지 옵션을 hostPath 또는 persistentVolumeClaim 으로 지정해야 합니다.
  • 외부 액세스를 위해 중앙 배포를 노출합니다. central.exposure.loadBalancer,central.exposure.nodePort, central.exposure.route 중 하나의 매개변수를 지정해야 합니다. 이러한 매개변수에 대한 값을 지정하지 않으면 포트 전달을 사용하여 중앙 관리를 수동으로 노출하거나 액세스해야 합니다.

다음 표에는 외부 PostgreSQL 데이터베이스 설정이 포함되어 있습니다(기술 프리뷰).

중요

외부 PostgreSQL 지원은 기술 프리뷰 기능 전용입니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.

Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.

매개변수설명

central.endpointsConfig

중앙의 끝점 구성 옵션입니다.

central.nodeSelector

노드 선택기에서 테인트된 노드를 선택하는 경우 이 매개변수를 사용하여 중앙에 대한 테인트 허용 오차 키, 값 및 효과를 지정합니다. 이 매개변수는 주로 인프라 노드에 사용됩니다.

central.tolerations

노드 선택기에서 테인트된 노드를 선택하는 경우 이 매개변수를 사용하여 중앙에 대한 테인트 허용 오차 키, 값 및 효과를 지정합니다. 이 매개변수는 주로 인프라 노드에 사용됩니다.

central.exposeMonitoring

포트 번호 9090 에서 중앙에 대한 Prometheus 지표 끝점을 노출하려면 true 를 지정합니다.

central.image.registry

중앙 이미지의 글로벌 image.registry 매개변수를 재정의하는 사용자 정의 레지스트리입니다.

central.image.name

기본 중앙 이미지 이름(기본)을 재정의하는 사용자 지정 이미지 이름입니다.

central.image.tag

중앙 이미지의 기본 태그를 재정의하는 사용자 정의 이미지 태그입니다. 새 설치 중에 자체 이미지 태그를 지정하는 경우 helm upgrade 명령을 실행하여 새 버전으로 업그레이드할 때 이 태그를 수동으로 늘려야 합니다. 자체 레지스트리에서 중앙 이미지를 미러링하는 경우 원래 이미지 태그를 수정하지 마십시오.

central.image.fullRef

중앙 이미지의 레지스트리 주소, 이미지 이름, 이미지 태그를 포함한 전체 참조입니다. 이 매개변수의 값을 설정하면 central.image.registry,central.image.namecentral.image.tag 매개변수가 재정의됩니다.

central.resources.requests.memory

Central에 기본값을 덮어쓰는 메모리 요청입니다.

central.resources.requests.cpu

중앙에서 기본값을 재정의하는 CPU 요청입니다.

central.resources.limits.memory

중앙에서 기본값을 덮어쓰는 메모리 제한입니다.

central.resources.limits.cpu

중앙에서 기본값을 재정의하는 CPU 제한입니다.

central.persistence.hostPath

RHACS가 데이터베이스 볼륨을 생성해야 하는 노드의 경로입니다. Red Hat은 이 옵션을 사용하는 것을 권장하지 않습니다.

central.persistence.persistentVolumeClaim.claimName

사용 중인 PVC(영구 볼륨 클레임)의 이름입니다.

central.persistence.persistentVolumeClaim.createClaim

true 를 사용하여 기존 클레임을 사용하려면 새 PVC 또는 false 를 생성합니다.

central.persistence.persistentVolumeClaim.size

지정된 클레임에서 관리하는 영구 볼륨의 크기(GiB)입니다.

central.exposure.loadBalancer.enabled

로드 밸런서를 사용하여 Central을 노출하려면 true 를 사용합니다.

central.exposure.loadBalancer.port

중앙에서 노출할 포트 번호입니다. 기본 포트 번호는 443입니다.

central.exposure.nodePort.enabled

노드 포트 서비스를 사용하여 Central을 노출하려면 true 를 사용합니다.

central.exposure.nodePort.port

중앙에서 노출할 포트 번호입니다. 이 매개변수를 건너뛰면 OpenShift Container Platform에서 포트 번호를 자동으로 할당합니다. 노드 포트를 사용하여 Kubernetes용 Red Hat Advanced Cluster Security를 노출하는 경우 포트 번호를 지정하지 않는 것이 좋습니다.

central.exposure.route.enabled

경로를 사용하여 Central을 노출하려면 true 를 사용합니다. 이 매개변수는 OpenShift Container Platform 클러스터에서만 사용할 수 있습니다.

central.db.external

(기술 프리뷰)는 중앙 DB를 배포해서는 안 되고 외부 데이터베이스가 사용될 것임을 지정하는 데 true 를 사용합니다.

central.db.source.connectionString

중앙에서 데이터베이스에 연결하는 데 사용할 연결 문자열입니다.The connection string for Central to use to connect to the database. central.db.external 가 true로 설정된 경우에만 사용됩니다. 연결 문자열은 "ECDHE 리소스"의 PostgreSQL 설명서에 설명된 대로 키워드/값 형식이어야 합니다.

  • PostgreSQL 13만 지원됩니다.
  • PgBouncer를 통한 연결은 지원되지 않습니다.
  • 사용자는 데이터베이스를 만들고 삭제할 수 있는 슈퍼 유저여야 합니다.

central.db.source.minConns

설정할 데이터베이스에 대한 최소 연결 수입니다.

central.db.source.maxConns

설정할 데이터베이스에 대한 최대 연결 수입니다.

central.db.source.statementTimeoutMs

단일 쿼리 또는 트랜잭션이 데이터베이스에 대해 활성 상태일 수 있는 시간(밀리초)입니다.

central.db.postgresConfig

PostgreSQL 설명서의 "ECDHE 리소스"에 설명된 대로 Central DB에 사용할 postgresql.conf입니다.

central.db.hbaConfig

pg_hba.conf는 "ECDHE 리소스"의 PostgreSQL 문서에 설명된 대로 중앙 DB에 사용됩니다.

central.db.nodeSelector

노드 선택기 레이블을 label-key: label-value 로 지정하여 중앙 DB가 지정된 라벨이 있는 노드에서만 예약하도록 합니다.

central.db.image.registry

중앙 DB 이미지의 글로벌 image.registry 매개변수를 재정의하는 사용자 정의 레지스트리입니다.

central.db.image.name

기본 Central DB 이미지 이름(central-db)을 덮어쓰는 사용자 지정 이미지 이름입니다.

central.db.image.tag

Central DB 이미지의 기본 태그를 재정의하는 사용자 정의 이미지 태그입니다. 새 설치 중에 자체 이미지 태그를 지정하는 경우 helm upgrade 명령을 실행하여 새 버전으로 업그레이드할 때 이 태그를 수동으로 늘려야 합니다. 자체 레지스트리에서 중앙 DB 이미지를 미러링하는 경우 원본 이미지 태그를 수정하지 마십시오.

central.db.image.fullRef

중앙 DB 이미지의 레지스트리 주소, 이미지 이름 및 이미지 태그를 포함한 전체 참조입니다. 이 매개변수의 값을 설정하면 central.db.image.registry,central.db.image.namecentral.db.image.tag 매개변수가 재정의됩니다.

central.db.resources.requests.memory

중앙 DB에 대한 메모리 요청으로 기본값을 덮어씁니다.

central.db.resources.requests.cpu

중앙 DB에 대한 CPU 요청으로 기본값을 덮어씁니다.

central.db.resources.limits.memory

Central DB가 기본값을 재정의하는 경우의 메모리 제한입니다.

central.db.resources.limits.cpu

Central DB가 기본값을 재정의하는 경우의 CPU 제한입니다.

central.db.persistence.hostPath

RHACS가 데이터베이스 볼륨을 생성해야 하는 노드의 경로입니다. Red Hat은 이 옵션을 사용하는 것을 권장하지 않습니다.

central.db.persistence.persistentVolumeClaim.claimName

사용 중인 PVC(영구 볼륨 클레임)의 이름입니다.

central.db.persistence.persistentVolumeClaim.createClaim

true 를 사용하여 새 영구 볼륨 클레임을 생성하거나 기존 클레임을 사용하려면 false 를 사용합니다.

central.db.persistence.persistentVolumeClaim.size

지정된 클레임에서 관리하는 영구 볼륨의 크기(GiB)입니다.

3.3.1.2.2.6. scanner

scanner에 대한 구성 가능한 매개변수입니다.

매개변수설명

scanner.disable

true 를 사용하여 스캐너 없이 Red Hat Advanced Cluster Security for Kubernetes를 설치합니다. helm upgrade 명령과 함께 사용하면 Helm이 기존 scanner 배포를 제거합니다.

scanner.exposeMonitoring

포트 번호 9090 에서 scanner에 대한 Prometheus 지표 끝점을 노출하려면 true 를 지정합니다.

scanner.replicas

Scanner 배포를 위해 생성할 복제본 수입니다. scanner.autoscaling 매개변수와 함께 사용하면 이 값은 초기 복제본 수를 설정합니다.

scanner.logLevel

scanner에 대한 로그 수준을 구성합니다. 로그 수준의 기본값(INFO)을 변경하지 않는 것이 좋습니다.

scanner.nodeSelector

노드 선택기 레이블을 label-key: label-value 로 지정하여 scanner가 지정된 라벨이 있는 노드에서만 예약하도록 합니다.

scanner.tolerations

노드 선택기에서 테인트된 노드를 선택하는 경우 이 매개변수를 사용하여 scanner에 대한 테인트 허용 오차 키, 값 및 효과를 지정합니다. 이 매개변수는 주로 인프라 노드에 사용됩니다.

scanner.autoscaling.disable

true 를 사용하여 scanner 배포에 대한 자동 스케일링을 비활성화합니다. 자동 스케일링을 비활성화하면 minReplicasmaxReplicas 매개변수에는 적용되지 않습니다.

scanner.autoscaling.minReplicas

자동 스케일링을 위한 최소 복제본 수입니다.

scanner.autoscaling.maxReplicas

자동 스케일링을 위한 최대 복제본 수입니다.

scanner.resources.requests.memory

스캐너가 기본값을 재정의하도록 요청하는 메모리 요청입니다.

scanner.resources.requests.cpu

기본값을 재정의하는 스캐너에 대한 CPU 요청입니다.

scanner.resources.limits.memory

스캐너가 기본값을 재정의하는 데 사용되는 메모리 제한입니다.

scanner.resources.limits.cpu

스캐너가 기본값을 재정의하는 CPU 제한입니다.

scanner.dbResources.requests.memory

scanner 데이터베이스 배포에 대한 메모리 요청으로 기본값을 덮어씁니다.

scanner.dbResources.requests.cpu

scanner 데이터베이스 배포에 대한 CPU 요청으로 기본값을 덮어씁니다.

scanner.dbResources.limits.memory

scanner 데이터베이스 배포에 대한 메모리 제한으로 기본값을 덮어씁니다.

scanner.dbResources.limits.cpu

scanner 데이터베이스 배포에 대한 CPU 제한으로 기본값을 덮어씁니다.

scanner.image.registry

스캐너 이미지의 사용자 정의 레지스트리.

scanner.image.name

기본 스캐너 이미지 이름(scanner)을 덮어쓰는 사용자 정의 이미지 이름입니다.

scanner.dbImage.registry

scanner DB 이미지의 사용자 정의 레지스트리.

scanner.dbImage.name

기본 scanner DB 이미지 이름(scanner-db)을 덮어쓰는 사용자 지정 이미지 이름입니다.

scanner.dbNodeSelector

노드 선택기 레이블을 label-key: label-value 로 지정하여 scanner DB가 지정된 라벨이 있는 노드에서만 예약하도록 합니다.

scanner.dbTolerations

노드 선택기에서 테인트된 노드를 선택하는 경우 이 매개변수를 사용하여 scanner DB에 대한 테인트 허용 오차 키, 값 및 효과를 지정합니다. 이 매개변수는 주로 인프라 노드에 사용됩니다.

3.3.1.2.2.7. 사용자 정의

이러한 매개변수를 사용하여 Red Hat Advanced Cluster Security for Kubernetes에서 생성하는 모든 오브젝트에 대한 추가 속성을 지정합니다.

매개변수설명

customize.labels

모든 오브젝트에 연결할 사용자 정의 레이블입니다.

customize.annotations

모든 오브젝트에 연결할 사용자 정의 주석입니다.

customize.podLabels

모든 배포에 연결할 사용자 지정 레이블입니다.

customize.podAnnotations

모든 배포에 연결할 사용자 지정 주석입니다.

customize.envVars

모든 오브젝트의 모든 컨테이너의 사용자 지정 환경 변수.

customize.central.labels

중앙에서 생성하는 모든 오브젝트에 연결할 사용자 지정 레이블입니다.

customize.central.annotations

중앙에서 생성하는 모든 오브젝트에 연결하는 사용자 정의 주석입니다.

customize.central.podLabels

모든 중앙 배포에 연결할 사용자 지정 레이블입니다.

customize.central.podAnnotations

모든 중앙 배포에 연결할 사용자 지정 주석입니다.

customize.central.envVars

모든 중앙 컨테이너에 대한 사용자 지정 환경 변수.

customize.scanner.labels

scanner가 생성하는 모든 오브젝트에 연결할 사용자 지정 레이블입니다.

customize.scanner.annotations

scanner가 생성하는 모든 오브젝트에 연결하는 사용자 정의 주석입니다.

customize.scanner.podLabels

모든 스캐너 배포에 연결할 사용자 지정 레이블입니다.

customize.scanner.podAnnotations

모든 스캐너 배포에 연결할 사용자 지정 주석입니다.

customize.scanner.envVars

모든 스캐너 컨테이너의 사용자 지정 환경 변수

customize.scanner-db.labels

Scanner DB에서 생성하는 모든 오브젝트에 연결할 사용자 지정 레이블입니다.

customize.scanner-db.annotations

Scanner DB에서 생성하는 모든 오브젝트에 연결하는 사용자 정의 주석입니다.

customize.scanner-db.podLabels

모든 스캐너 DB 배포에 연결할 사용자 지정 레이블입니다.

customize.scanner-db.podAnnotations

모든 스캐너 DB 배포에 연결하는 사용자 정의 주석입니다.

customize.scanner-db.envVars

모든 스캐너 DB 컨테이너의 사용자 지정 환경 변수.

또는 다음을 수행할 수도 있습니다.

  • 모든 오브젝트에 대한 레이블 및 주석을 지정하는 customize.other.service/*.labelscustomize.other.service/*.annotations 매개변수입니다.
  • 또는 특정 서비스 이름(예: customize.other.service/central-loadbalancer.labelscustomize.other.service/central-loadbalancer.annotations )을 매개변수로 지정하고 해당 값을 설정합니다.
3.3.1.2.2.8. 고급 사용자 정의
중요

이 섹션에 지정된 매개변수는 정보 전용입니다. Red Hat은 수정된 네임스페이스 및 릴리스 이름이 있는 Kubernetes 인스턴스용 Red Hat Advanced Cluster Security for Kubernetes 인스턴스를 지원하지 않습니다.

매개변수설명

allowNonstandardNamespace

true 를 사용하여 기본 네임스페이스 stackrox 이외의 네임스페이스에 Red Hat Advanced Cluster Security for Kubernetes를 배포합니다.

allowNonstandardReleaseName

true 를 사용하여 기본 stackrox-central-services 이외의 릴리스 이름으로 Red Hat Advanced Cluster Security for Kubernetes를 배포합니다.

추가 리소스

3.3.1.2.3. central-services Helm 차트 설치

values-public.yamlvalues-private.yaml 파일을 구성한 후 central-services Helm 차트를 설치하여 중앙 집중식 구성 요소(Central 및 Scanner)를 배포합니다.

절차

  • 다음 명령을 실행합니다. 

    $ helm install -n stackrox --create-namespace \
  stackrox-central-services rhacs/central-services \
  -f <path_to_values_public.yaml> -f <path_to_values_private.yaml> 1
    1
    -f 옵션을 사용하여 YAML 구성 파일의 경로를 지정합니다.

3.3.1.3. central-services Helm 차트를 배포한 후 구성 옵션 변경

central-services Helm 차트를 배포한 후 구성 옵션을 변경할 수 있습니다.

절차

  1. values-public.yamlvalues-private.yaml 구성 파일을 새 값으로 업데이트합니다.

  2. helm upgrade 명령을 실행하고 -f 옵션을 사용하여 구성 파일을 지정합니다. 

    $ helm upgrade -n stackrox \
  stackrox-central-services rhacs/central-services \
  -f <path_to_values_public.yaml> \
  -f <path_to_values_private.yaml>
    참고

    --set 또는 --set-file 매개변수를 사용하여 구성 값을 지정할 수도 있습니다. 그러나 이러한 옵션은 저장되지 않으며 변경할 때마다 모든 옵션을 수동으로 다시 지정해야 합니다.

3.3.2. roxctl CLI를 사용하여 중앙 설치

주의

프로덕션 환경의 경우 Red Hat은 Operator 또는 Helm 차트를 사용하여 RHACS를 설치하는 것이 좋습니다. 이 방법을 사용해야 하는 특정 설치에 필요한 경우가 아니면 roxctl install 메서드를 사용하지 마십시오.

3.3.2.1. roxctl CLI 설치

Red Hat Advanced Cluster Security for Kubernetes를 설치하려면 바이너리를 다운로드하여 roxctl CLI를 설치해야 합니다. Linux, Windows 또는 macOS에 roxctl 을 설치할 수 있습니다.

3.3.2.1.1. Linux에서 roxctl CLI 설치

다음 절차에 따라 Linux에서 roxctl CLI 바이너리를 설치할 수 있습니다.

절차

  1. 최신 버전의 roxctl CLI를 다운로드합니다. 

    $ curl -O https://mirror.openshift.com/pub/rhacs/assets/4.0.5/bin/Linux/roxctl

  2. roxctl 바이너리를 실행 가능하게 합니다. 

    $ chmod +x roxctl

  3. roxctl 바이너리를 PATH 에 있는 디렉터리에 배치합니다.

    PATH를 확인하려면 다음 명령을 실행합니다. 

    $ echo $PATH

검증

  • 설치된 roxctl 버전을 확인합니다. 

    $ roxctl version
3.3.2.1.2. macOS에 roxctl CLI 설치

다음 절차에 따라 macOS에서 roxctl CLI 바이너리를 설치할 수 있습니다.

절차

  1. 최신 버전의 roxctl CLI를 다운로드합니다. 

    $ curl -O https://mirror.openshift.com/pub/rhacs/assets/4.0.5/bin/Darwin/roxctl

  2. 바이너리에서 모든 확장 속성을 제거합니다. 

    $ xattr -c roxctl

  3. roxctl 바이너리를 실행 가능하게 합니다. 

    $ chmod +x roxctl

  4. roxctl 바이너리를 PATH 에 있는 디렉터리에 배치합니다.

    PATH를 확인하려면 다음 명령을 실행합니다. 

    $ echo $PATH

검증

  • 설치된 roxctl 버전을 확인합니다. 

    $ roxctl version
3.3.2.1.3. Windows에 roxctl CLI 설치

다음 절차에 따라 Windows에서 roxctl CLI 바이너리를 설치할 수 있습니다.

절차

  • 최신 버전의 roxctl CLI를 다운로드합니다. 

    $ curl -O https://mirror.openshift.com/pub/rhacs/assets/4.0.5/bin/Windows/roxctl.exe

검증

  • 설치된 roxctl 버전을 확인합니다. 

    $ roxctl version

3.3.2.2. 대화형 설치 프로그램 사용

대화형 설치 프로그램을 사용하여 환경에 필요한 시크릿, 배포 구성 및 배포 스크립트를 생성합니다.

절차

  1. 대화형 설치 명령을 실행합니다. 

    $ roxctl central generate interactive
    중요

    roxctl CLI를 사용하여 Kubernetes용 Red Hat Advanced Cluster Security를 설치하면 기본적으로 이전 버전과의 호환성을 위해 PodSecurityPolicy(PSP) 오브젝트가 생성됩니다. Kubernetes 버전 1.25 이상 또는 OpenShift Container Platform 버전 4.12 이상에 RHACS를 설치하는 경우 PSP 오브젝트 생성을 비활성화해야 합니다. 이를 위해 roxctl central generateroxctl sensor generate 명령에 --enable-pod-security-policies 옵션을 false 로 지정합니다.

  2. Enter 를 눌러 프롬프트에 기본값을 허용하거나 필요에 따라 사용자 지정 값을 입력합니다. 

    Enter path to the backup bundle from which to restore keys and certificates (optional):
Enter PEM cert bundle file (optional): 1
Enter administrator password (default: autogenerated):
Enter orchestrator (k8s, openshift): openshift
Enter the directory to output the deployment bundle to (default: "central-bundle"):
Enter the OpenShift major version (3 or 4) to deploy on (default: "0"): 4
Enter Istio version when deploying into an Istio-enabled cluster (leave empty when not running Istio) (optional):
Enter the method of exposing Central (route, lb, np, none) (default: "none"): route 2
Enter main image to use (default: "stackrox.io/main:3.0.61.1"):
Enter whether to run StackRox in offline mode, which avoids reaching out to the Internet (default: "false"):
Enter whether to enable telemetry (default: "true"):
Enter the deployment tool to use (kubectl, helm, helm-values) (default: "kubectl"):
Enter Scanner DB image to use (default: "stackrox.io/scanner-db:2.15.2"):
Enter Scanner image to use (default: "stackrox.io/scanner:2.15.2"):
Enter Central volume type (hostpath, pvc): pvc 3
Enter external volume name (default: "stackrox-db"):
Enter external volume size in Gi (default: "100"):
Enter storage class name (optional if you have a default StorageClass configured):
    1
    사용자 정의 TLS 인증서를 추가하려면 PEM 인코딩 인증서의 파일 경로를 제공합니다. 사용자 정의 인증서를 지정하면 대화형 설치 프로그램에서 사용 중인 사용자 정의 인증서에 대한 PEM 개인 키를 입력하라는 메시지도 표시합니다.
    2
    RHACS 포털을 사용하려면 경로, 로드 밸런서 또는 노드 포트를 사용하여 중앙을 노출해야 합니다.
    3
    hostPath 볼륨을 사용하여 OpenShift Container Platform에 Red Hat Advanced Cluster Security for Kubernetes를 설치하려면 SELinux 정책을 수정해야 합니다.
    주의

    OpenShift Container Platform에서 hostPath 볼륨을 사용하려면 호스트와 컨테이너가 공유하는 디렉터리에 대한 액세스를 허용하도록 SELinux 정책을 수정해야 합니다. SELinux는 기본적으로 디렉터리 공유를 차단하기 때문입니다. SELinux 정책을 수정하려면 다음 명령을 실행합니다. 

    $ sudo chcon -Rt svirt_sandbox_file_t <full_volume_path>

    그러나 Red Hat은 OpenShift Container Platform에 설치할 때 PVC를 대신 사용하여 SELinux 정책을 수정하지 않는 것이 좋습니다.

완료되면 설치 프로그램에서 Central을 배포하는 데 필요한 YAML 매니페스트 및 스크립트가 포함된 central-bundle이라는 폴더를 생성합니다. 또한 신뢰할 수 있는 인증 기관, 중앙 및 스캐너를 추가로 배포하기 위해 실행해야 하는 스크립트에 대한 온-스크린 지침 및 프롬프트에 응답할 때 자동 생성된 암호와 함께 RHACS 포털에 로그인하기 위한 인증 지침이 표시됩니다.

3.3.2.3. 중앙 설치 스크립트 실행

대화형 설치 관리자를 실행한 후 setup.sh 스크립트를 실행하여 Central을 설치할 수 있습니다.

절차

  1. setup.sh 스크립트를 실행하여 이미지 레지스트리 액세스를 구성합니다. 

    $ ./central-bundle/central/scripts/setup.sh

  2. 필요한 리소스를 생성합니다. 

    $ oc create -R -f central-bundle/central

  3. 배포 진행 상황을 확인합니다. 

    $ oc get pod -n stackrox -w

  4. Central이 실행된 후 RHACS 포털 IP 주소를 찾아 브라우저에서 엽니다. 프롬프트에 응답할 때 선택한 노출 방법에 따라 다음 방법 중 하나를 사용하여 IP 주소를 가져옵니다.

    노출 방법명령address예제

    경로

    oc -n stackrox get route central

    출력의 HOST/PORT 열의 주소

    https://central-stackrox.example.route

    노드 포트

    oc get node -owide && oc -n stackrox get svc central-loadbalancer

    서비스에 표시된 포트에서 노드의 IP 또는 호스트 이름

    https://198.51.100.0:31489

    로드 밸런서

    oc -n stackrox get svc central-loadbalancer

    서비스에 대해 표시되는 EXTERNAL-IP 또는 호스트 이름 443

    https://192.0.2.0

    없음

    central-bundle/central/scripts/port-forward.sh 8443

    https://localhost:8443

    https://localhost:8443

참고

대화형 설치 중에 자동 생성된 암호를 선택한 경우 다음 명령을 실행하여 중앙에 로그인할 수 있습니다. 

$ cat central-bundle/password
Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.