5.5. 선택 사항 - Operator를 사용하여 RHACS의 보안 클러스터 구성 옵션 구성

centralEndpoint

포트 번호를 포함하여 연결할 중앙 인스턴스의 끝점입니다. 로드 밸런서가 아닌 gRPC를 사용하는 경우 엔드포인트 주소 앞에 wss:// 를 추가하여 WebSocket 프로토콜을 사용합니다. 이 매개 변수의 값을 지정하지 않으면 Sensor는 동일한 네임스페이스에서 실행 중인 Central 인스턴스에 연결을 시도합니다.

clusterName

RHACS 포털에 표시되는 이 클러스터의 고유한 이름입니다. 이 매개변수를 사용하여 이름을 설정한 후에는 다시 변경할 수 없습니다. 이름을 변경하려면 오브젝트를 삭제하고 다시 생성해야 합니다.

admissionControl.listenOnCreates

오브젝트 생성에 대한 예방 정책 시행을 활성화하려면 true 를 지정합니다. 기본값은 false입니다.

admissionControl.listenOnEvents

port-forward 및 exec 이벤트와 같은 Kubernetes 이벤트에 대한 모니터링 및 적용을 활성화하려면 true 를 지정합니다. Kubernetes API를 통해 리소스에 대한 액세스를 제어하는 데 사용됩니다. 기본값은 true입니다.

admissionControl.listenOnUpdates

오브젝트 업데이트에 대한 예방 정책 시행을 활성화하려면 true 를 지정합니다. Listen On Creates 가 true 로 설정되어 있지 않으면 효과가 없습니다. 기본값은 false입니다.

admissionControl.nodeSelector

이 구성 요소를 특정 노드에서만 실행하려면 이 매개변수를 사용하여 노드 선택기를 구성할 수 있습니다.

admissionControl.tolerations

노드 선택기가 테인트된 노드를 선택하는 경우 이 매개변수를 사용하여 Admission Control에 테인트 허용 오차 키, 값 및 효과를 지정합니다. 이 매개변수는 주로 인프라 노드에 사용됩니다.

admissionControl.resources.limits

이 매개변수를 사용하여 승인 컨트롤러의 기본 리소스 제한을 덮어씁니다.

admissionControl.resources.requests

이 매개변수를 사용하여 승인 컨트롤러의 기본 리소스 요청을 덮어씁니다.

admissionControl.bypass

다음 값 중 하나를 사용하여 승인 컨트롤러 적용 우회를 구성합니다.

기본값은 BreakGlassAnnotation 입니다.

admissionControl.contactImageScanners

다음 값 중 하나를 사용하여 승인 컨트롤러가 이미지 스캐너에 연결해야 하는지 지정합니다.

기본값은 DoNotScanInline 입니다.

admissionControl.timeoutSeconds

이 매개변수를 사용하여 Red Hat Advanced Cluster Security for Kubernetes가 실패로 표시되기 전에 승인 검토를 기다려야 하는 최대 시간(초)을 지정합니다.

scanner.analyzer.nodeSelector

노드 선택기 레이블을 label-key: label-value 로 지정하여 라벨이 지정된 노드에서만 스캐너를 예약하도록 강제 적용합니다.

scanner.analyzer.resources.requests.memory

scanner 컨테이너에 대한 메모리 요청입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다.

scanner.analyzer.resources.requests.cpu

scanner 컨테이너에 대한 CPU 요청입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다.

scanner.analyzer.resources.limits.memory

scanner 컨테이너의 메모리 제한입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다.

scanner.analyzer.resources.limits.cpu

scanner 컨테이너의 CPU 제한입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다.

scanner.scaling.autoscaling

이 옵션을 Disabled 로 설정하면 Kubernetes의 Red Hat Advanced Cluster Security는 스캐너 배포에서 자동 스케일링을 비활성화합니다. 기본값은 Enabled 입니다.

scanner.scaling.minReplicas

자동 스케일링을 위한 최소 복제본 수입니다. 기본값은 2입니다.

scanner.scaling.maxReplicas

자동 스케일링을 위한 최대 복제본 수입니다. 기본값은 5 입니다.

scanner.scaling.replicas

기본 복제본 수입니다. 기본값은 3입니다.

scanner.Tolerations

노드 선택기가 테인트된 노드를 선택하는 경우 이 매개변수를 사용하여 스캐너에 테인트 허용 오차 키, 값 및 효과를 지정합니다.

scanner.db.nodeSelector

노드 선택기 레이블을 label-key: label-value 로 지정하여 라벨이 지정된 노드에서만 스캐너 DB를 예약하도록 강제 적용합니다.

scanner.db.resources.requests.memory

scanner DB 컨테이너에 대한 메모리 요청입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다.

scanner.db.resources.requests.cpu

scanner DB 컨테이너에 대한 CPU 요청입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다.

scanner.db.resources.limits.memory

scanner DB 컨테이너의 메모리 제한입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다.

scanner.db.resources.limits.cpu

Scanner DB 컨테이너의 CPU 제한입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다.

scanner.db.tolerations

노드 선택기가 테인트된 노드를 선택하는 경우 이 매개변수를 사용하여 scanner DB에 대한 테인트 허용 오차 키, 값 및 효과를 지정합니다.

scanner.scannerComponent

이 옵션을 Disabled 로 설정하면 Red Hat Advanced Cluster Security for Kubernetes에서 스캐너 배포를 배포하지 않습니다. OpenShift Container Platform 클러스터에서 스캐너를 비활성화하지 마십시오. 기본값은 AutoSense 입니다.

imagePullSecrets.name

이미지 가져오기를 위해 고려해야 할 추가 이미지 풀 시크릿입니다.

perNode.collector.collection

시스템 수준 데이터 수집을 위한 방법입니다. 기본값은 Cryostat PF 입니다. Red Hat은 데이터 수집에 CryostatPF 를 사용할 것을 권장합니다. NoCollection 을 선택하면 수집기에서 네트워크 활동 및 프로세스 실행에 대한 정보를 보고하지 않습니다. 사용 가능한 옵션은 NoCollection,CryostatPF 및 CORE_BPF 입니다. CORE_BPF 컬렉션 방법은 기술 프리뷰 기능 전용입니다.

perNode.collector.imageFlavor

수집기에 사용할 이미지 유형입니다. 일반 또는 슬리 미로 지정할 수 있습니다. 일반 이미지는 크기가 클 수 있지만 대부분의 커널에 커널 모듈이 포함되어 있습니다. Slim 이미지 유형을 사용하는 경우 중앙 인스턴스가 인터넷에 연결되어 있는지 확인하거나 수집기에서 패키지 업데이트를 정기적으로 수신해야 합니다. 기본값은 Slim 입니다.

perNode.collector.resources.limits

이 매개변수를 사용하여 수집기의 기본 리소스 제한을 덮어씁니다.

perNode.collector.resources.requests

이 매개변수를 사용하여 수집기에 대한 기본 리소스 요청을 덮어씁니다.

perNode.compliance.resources.requests

이 매개변수를 사용하여 Compliance에 대한 기본 리소스 요청을 덮어씁니다.

perNode.compliance.resources.limits

이 매개변수를 사용하여 Compliance의 기본 리소스 제한을 덮어씁니다.

taintToleration

클러스터 활동을 포괄적으로 모니터링하기 위해 Red Hat Advanced Cluster Security for Kubernetes는 기본적으로 테인트된 노드를 포함하여 클러스터의 모든 노드에서 서비스를 실행합니다. 이 동작을 수행하지 않으려면 이 매개변수에 대해 AvoidTaints 를 지정합니다.

sensor.nodeSelector

센서를 특정 노드에서만 실행하려면 노드 선택기를 구성할 수 있습니다.

sensor.tolerations

노드 선택기가 테인트된 노드를 선택하는 경우 이 매개변수를 사용하여 센서에 테인트 허용 키, 값 및 효과를 지정합니다. 이 매개변수는 주로 인프라 노드에 사용됩니다.

sensor.resources.limits

센서의 기본 리소스 제한을 덮어쓰려면 이 매개변수를 사용합니다.

sensor.resources.requests

이 매개변수를 사용하여 센서에 대한 기본 리소스 요청을 덮어씁니다.

tls.additionalCAs

보안 클러스터에 대한 신뢰할 수 있는 추가 CA 인증서입니다. 이러한 인증서는 개인 인증 기관을 사용하여 서비스와 통합할 때 사용됩니다.

misc.createSCCs

Central에 대한 SCC를 생성하려면 true 로 설정합니다. 일부 환경에서는 문제가 발생할 수 있습니다.

customize.annotations

중앙 배포의 사용자 지정 주석을 지정할 수 있습니다.

customize.envVars

환경 변수를 구성하는 고급 설정입니다.

egress.connectivityPolicy

Red Hat Advanced Cluster Security for Kubernetes를 온라인 또는 오프라인 모드에서 실행할지 여부를 설정합니다. 오프라인 모드에서는 취약점 정의 및 커널 모듈의 자동 업데이트가 비활성화됩니다.