Red Hat Summit3.2. 다른 플랫폼의 RHACS 사전 요구 사항
Amazon Elastic Kubernetes Service(Amazon EKS), Google GKE(Google Kubernetes Engine) 및 Microsoft AKS(Microsoft AKS)와 같은 다른 플랫폼에 RHACS를 설치하기 전에 사전 요구 사항을 충족해야 합니다.
3.2.1. 일반 요구 사항
RHACS에는 설치 전에 충족해야 하는 몇 가지 시스템 요구 사항이 있습니다.
다음에 Red Hat Advanced Cluster Security for Kubernetes를 설치할 수 없습니다.
- Amazon Elastic File System(Amazon EFS). 대신 기본 gp2 볼륨 유형과 함께 Amazon Elastic Block Store(Amazon EBS)를 사용합니다.
- SSE(Streaming SIMD Extensions) 4.2 명령어 세트가 없는 이전 CPU. 예를 들어, Bulld>-<er보다 오래된 Intel 프로세서는 Sandy Bridge 및 AMD 프로세서보다 오래 되었습니다. (이 프로세서는 2011년에 출시되었습니다.)
Red Hat Advanced Cluster Security for Kubernetes를 설치하려면 다음이 필요합니다.
- OpenShift Container Platform 버전 4.10 이상 지원되는 자체 관리 및 관리형 OpenShift Container Platform 버전에 대한 자세한 내용은 Red Hat Advanced Cluster Security for Kubernetes 지원 정책을 참조하십시오.
지원되는 운영 체제가 있는 클러스터 노드:
- RHCOS(Red Hat Enterprise Linux CoreOS), RHEL(Red Hat Enterprise Linux).
- 지원되는 관리형 Kubernetes 플랫폼입니다. 자세한 내용은 Red Hat Advanced Cluster Security for Kubernetes 지원 정책에서 참조하십시오.
지원되는 운영 체제가 있는 클러스터 노드:
- 운영 체제: Amazon Linux, CentOS, Container-Optimized OS from Google, Red Hat Enterprise Linux CoreOS (RHCOS), Debian, Red Hat Enterprise Linux (RHEL) 또는 Ubuntu.
프로세서 및 메모리: 2개의 CPU 코어와 최소 3GiB의 RAM.
참고중앙 배포의 경우 4개 이상의 코어가 있는 머신 유형을 사용하고 스케줄링 정책을 적용하여 이러한 노드에서 Central을 시작합니다.
아키텍처: AMD64, ppc64le 또는 s390x.
참고ppc64le 또는 s390x 아키텍처의 경우 IBM Power, IBM zSystems 및 IBM® LinuxONE 클러스터에만 RHACS 보안 클러스터 서비스를 설치할 수 있습니다. 현재 중앙은 지원되지 않습니다.
PVC(영구 볼륨 클레임)를 사용하는 영구 스토리지입니다.
중요Red Hat Advanced Cluster Security for Kubernetes에서 Ceph FS 스토리지를 사용해서는 안 됩니다. Red Hat Advanced Cluster Security for Kubernetes에 RBD 블록 모드 PVC를 사용하는 것이 좋습니다.
- 최상의 성능을 위해 SSD(Solid-State Drive)를 사용합니다. 그러나 사용 가능한 SSD가 없는 경우 다른 스토리지 유형을 사용할 수 있습니다.
Helm 차트를 사용하여 설치하려면 다음을 수행합니다.
-
Helm 차트를 사용하여 Kubernetes용 Red Hat Advanced Cluster Security를 설치하거나 구성하는 경우 Helm CLI(명령줄 인터페이스) v3.2 이상이 있어야 합니다.
helm version명령을 사용하여 설치한 Helm 버전을 확인합니다. -
Red Hat OpenShift CLI(
oc). -
Red Hat Container Registry에 액세스할 수 있어야 합니다.
registry.redhat.io에서 이미지를 다운로드하는 방법에 대한 자세한 내용은 Red Hat Container Registry 인증을 참조하십시오.
3.2.2. 중앙 설치를 위한 사전 요구 사항
Central이라는 컨테이너화된 서비스는 중앙 DB(PostgreSQL 13)라는 컨테이너화된 서비스에서 데이터 지속성을 처리하는 동안 API 상호 작용 및 사용자 인터페이스(Portal) 액세스를 처리합니다.
Central 및 Central DB 둘 다 영구 스토리지가 필요합니다.
PVC(영구 볼륨 클레임)로 스토리지를 제공할 수 있습니다.
참고모든 호스트(또는 호스트 그룹)가 NFS 공유 또는 스토리지 어플라이언스와 같은 공유 파일 시스템을 마운트하는 경우에만 스토리지에 hostPath 볼륨을 사용할 수 있습니다. 그렇지 않으면 데이터가 단일 노드에만 저장됩니다. Red Hat은 hostPath 볼륨을 사용하는 것을 권장하지 않습니다.
- 최상의 성능을 위해 SSD(Solid-State Drive)를 사용합니다. 그러나 사용 가능한 SSD가 없는 경우 다른 스토리지 유형을 사용할 수 있습니다.
웹 프록시 또는 방화벽을 사용하는 경우
definitions.stackrox.io및collector-modules.stackrox.io도메인에 대한 트래픽을 허용하고 Kubernetes용 Red Hat Advanced Cluster Security를 활성화하여 웹 프록시 또는 방화벽을 신뢰하도록 바이패스 규칙을 구성해야 합니다. 그렇지 않으면 취약점 정의 및 커널 지원 패키지 업데이트가 실패합니다.Red Hat Advanced Cluster Security for Kubernetes는 다음에 액세스할 수 있어야 합니다.
-
definitions.stackrox.io업데이트된 취약점 정의를 다운로드합니다. 취약점 정의 업데이트를 통해 Red Hat Advanced Cluster Security for Kubernetes는 새로운 취약점이 발견되거나 추가 데이터 소스가 추가될 때 최신 취약점 데이터를 유지할 수 있습니다. -
collector-modules.stackrox.io를 사용하여 업데이트된 커널 지원 패키지를 다운로드합니다. 업데이트된 커널 지원 패키지를 통해 Red Hat Advanced Cluster Security for Kubernetes에서 최신 운영 체제를 모니터링하고 컨테이너 내에서 실행 중인 네트워크 트래픽 및 프로세스에 대한 데이터를 수집할 수 있습니다. 이러한 업데이트가 없으면 클러스터에 새 노드를 추가하거나 노드의 운영 체제를 업데이트하는 경우 Red Hat Advanced Cluster Security for Kubernetes의 컨테이너를 모니터링하지 못할 수 있습니다.
-
보안상의 이유로 제한된 관리 액세스를 사용하여 클러스터에 Central을 배포해야 합니다.
메모리 및 스토리지 요구사항
다음 표에는 Central을 설치하고 실행하는 데 필요한 최소 메모리 및 스토리지 값이 나열되어 있습니다.
| 중앙 | CPU | 메모리 | 스토리지 |
|---|---|---|---|
| 요청 | 1.5 코어 | 4GiB | 100GiB |
| 제한 | 4개 코어 | 8GiB | 100GiB |
| 중앙 DB | CPU | 메모리 | 스토리지 |
|---|---|---|---|
| 요청 | 4개 코어 | 8GiB | 100GiB |
| 제한 | 8개 코어 | 16GiB | 100GiB |
크기 조정 지침
클러스터의 노드 수에 따라 다음 컴퓨팅 리소스 및 스토리지 값을 사용합니다.
| 노드 | 배포 | 중앙 CPU | 중앙 메모리 | 중앙 스토리지 |
|---|---|---|---|---|
| 최대 100 | 최대 1000 | 2개의 코어 | 4GiB | 100GiB |
| 최대 500 | 최대 2000 | 4개 코어 | 8GiB | 100GiB |
| 500개 이상 | 2000개 이상 | 8개 코어 | 12 - 16GiB | 100 - 200GiB |
| 노드 | 배포 | 중앙 DB CPU | 중앙 DB 메모리 | 중앙 DB 스토리지 |
|---|---|---|---|---|
| 최대 100 | 최대 1000 | 2개의 코어 | 4GiB | 100GiB |
| 최대 500 | 최대 2000 | 4개 코어 | 8GiB | 100GiB |
| 500개 이상 | 2000개 이상 | 8개 코어 | 12 - 16GiB | 100 - 200GiB |
3.2.3. 스캐너를 설치하기 위한 사전 요구 사항
Red Hat Advanced Cluster Security for Kubernetes에는 scanner라는 이미지 취약점 스캐너가 포함되어 있습니다. 이 서비스는 스캐너에서 이미지 레지스트리에 통합된 이미지를 스캔합니다.
메모리 및 스토리지 요구사항
| scanner | CPU | 메모리 |
|---|---|---|
| 요청 | 1.2 코어 | 2700 MiB |
| 제한 | 5개의 코어 | 8000 MiB |
3.2.4. 센서 설치를 위한 사전 요구 사항
센서는 Kubernetes 및 OpenShift Container Platform 클러스터를 모니터링합니다. 이러한 서비스는 현재 Kubernetes API와의 상호 작용을 처리하고 수집기와 조정되는 단일 배포에 배포됩니다.
메모리 및 스토리지 요구사항
| 센서 | CPU | 메모리 |
|---|---|---|
| 요청 | 2개의 코어 | 4GiB |
| 제한 | 4개 코어 | 8GiB |
3.2.5. Admission Controller 설치를 위한 사전 요구 사항
Admission Controller는 사용자가 구성한 정책을 위반하는 워크로드를 생성하지 못하도록 합니다.
메모리 및 스토리지 요구사항
기본적으로 허용 제어 서비스는 3개의 복제본을 실행합니다. 다음 표에는 각 복제본에 대한 요청 및 제한이 나열되어 있습니다.
| 허용 컨트롤러 | CPU | 메모리 |
|---|---|---|
| 요청 | .05 코어 | 100 MiB |
| 제한 | .5 코어 | 500 MiB |
3.2.6. 수집기 설치를 위한 사전 요구 사항
수집기는 보안 클러스터의 각 노드에서 런타임 활동을 모니터링합니다. 이는 이 정보를 보고하기 위해 센서에 연결됩니다.
UEFI(Unified Extensible Firmware Interface)가 있고 Secure Boot가 활성화된 시스템에 수집기를 설치하려면 커널 모듈이 서명되지 않고 UEFI 펌웨어가 서명되지 않은 패키지를 로드할 수 없기 때문에 eBPF 프로브를 사용해야 합니다. 수집기는 시작시 Secure Boot 상태를 확인하고 필요한 경우 eBPF 프로브로 전환합니다.
메모리 및 스토리지 요구사항
| collector | CPU | 메모리 |
|---|---|---|
| 요청 | .05 코어 | 320 MiB |
| 제한 | .75 코어 | 1GiB |
수집기는 변경 가능한 이미지 태그(<version>-latest)를 사용하므로 최신 Linux 커널 버전을 보다 쉽게 지원합니다. 코드, 기존 커널 모듈 또는 이미지 업데이트를 위한 eBPF 프로그램은 변경되지 않습니다. 업데이트에서는 초기 릴리스 이후에 게시된 새 커널 버전을 지원하는 단일 이미지 계층만 추가합니다.
