Red Hat Summit2.2. 중앙 서비스(self-managed)
Red Hat Advanced Cluster Security Cloud Service(RHACS Cloud Service)를 사용하는 경우 중앙 서비스의 요구 사항은 Red Hat에서 관리하므로 검토할 필요가 없습니다. 보안 클러스터 서비스에 대한 요구 사항만 확인해야 합니다.
중앙 서비스에는 다음 구성 요소가 포함됩니다.
- Central
- 스캐너
2.2.1. Central
Central이라는 컨테이너화된 서비스는 API 상호 작용 및 RHACS 웹 포털 액세스를 처리하고 Central DB(PostgreSQL 13)라는 컨테이너화된 서비스는 데이터 지속성을 처리합니다.
중앙 DB에는 영구 스토리지가 필요합니다.
PVC(영구 볼륨 클레임)를 사용하여 스토리지를 제공할 수 있습니다.
참고모든 호스트(또는 호스트 그룹)가 NFS 공유 또는 스토리지 어플라이언스와 같은 공유 파일 시스템을 마운트하는 경우에만 storage에 hostPath 볼륨을 사용할 수 있습니다. 그렇지 않으면 데이터가 단일 노드에만 저장됩니다. Red Hat은 hostPath 볼륨을 사용하지 않는 것이 좋습니다.
- 최상의 성능을 위해 SSD(Solid-State Drives)를 사용하십시오. 그러나 사용할 수 있는 SSD가 없는 경우 다른 스토리지 유형을 사용할 수 있습니다.
웹 프록시 또는 방화벽을 사용하는 경우
definitions.stackrox.io및collector-modules.stackrox.io도메인에 대한 트래픽을 허용하고 Kubernetes에 대한 Red Hat Advanced Cluster Security를 활성화하여 웹 프록시 또는 방화벽을 신뢰하도록 바이패스 규칙을 구성해야 합니다. 그러지 않으면 취약점 정의 및 커널 지원 패키지에 대한 업데이트가 실패합니다.Red Hat Advanced Cluster Security for Kubernetes는 다음에 액세스해야 합니다.
-
업데이트된 취약점 정의를 다운로드하기 위한
definitions.stackrox.io. 취약점 정의 업데이트를 통해 새로운 취약점이 발견되거나 추가 데이터 소스가 추가되면 Red Hat Advanced Cluster Security for Kubernetes에서 최신 취약점 데이터를 유지할 수 있습니다. -
collector-modules.stackrox.io: 업데이트된 커널 지원 패키지를 다운로드합니다. 업데이트된 커널 지원 패키지를 사용하면 Red Hat Advanced Cluster Security for Kubernetes가 최신 운영 체제를 모니터링하고 컨테이너 내부에서 실행되는 네트워크 트래픽 및 프로세스에 대한 데이터를 수집할 수 있습니다. 이러한 업데이트가 없으면 클러스터에 새 노드를 추가하거나 노드의 운영 체제를 업데이트하는 경우 Red Hat Advanced Cluster Security for Kubernetes가 컨테이너를 모니터링하지 못할 수 있습니다.
-
업데이트된 취약점 정의를 다운로드하기 위한
보안상의 이유로 관리 액세스 권한이 제한된 클러스터에 Central을 배포해야 합니다.
메모리, CPU 및 스토리지 요구사항
다음 표에는 Central을 설치하고 실행하는 데 필요한 최소 메모리 및 스토리지 값이 나열되어 있습니다.
| Central | CPU | 메모리 | 스토리지 |
|---|---|---|---|
| 요청 | 1.5코어 | 4GiB | 100GiB |
| 제한 | 4개의 코어 | 8GiB | 100GiB |
Central은 데이터를 저장하기 위해 중앙 DB가 필요합니다. 다음 표에는 Central DB를 설치하고 실행하는 데 필요한 최소 메모리 및 스토리지 값이 나열되어 있습니다.
| 중앙 DB | CPU | 메모리 | 스토리지 |
|---|---|---|---|
| 요청 | 4개의 코어 | 8GiB | 100GiB |
| 제한 | 8개의 코어 | 16GiB | 100GiB |
2.2.2. 스캐너
Red Hat Advanced Cluster Security for Kubernetes에는 scanner라는 이미지 취약점 스캐너가 포함되어 있습니다. 이 서비스는 이미지 레지스트리에 통합된 스캐너에서 아직 스캔하지 않은 이미지를 검사합니다.
메모리 및 CPU 요구 사항
| 스캐너 | CPU | 메모리 |
|---|---|---|
| 요청 | 코어 1개 | 1500MiB |
| 제한 | 2개의 코어 | 4000MiB |
스캐너에는 데이터를 저장하기 위해 scanner-DB가 필요합니다. 다음 표에는 Scanner-DB를 설치하고 실행하는 데 필요한 최소 메모리 및 스토리지 값이 나열되어 있습니다.
| scanner-DB | CPU | 메모리 |
|---|---|---|
| 요청 | .2 코어 | 200MiB |
| 제한 | 2개의 코어 | 4000MiB |
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}