5.2. 다른 플랫폼에서 RHACS용 중앙 서비스 설치

Central은 RHACS 애플리케이션 관리 인터페이스 및 서비스가 포함된 리소스입니다. 데이터 지속성, API 상호 작용 및 RHACS 포털 액세스를 처리합니다. 동일한 중앙 인스턴스를 사용하여 여러 OpenShift Container Platform 또는 Kubernetes 클러스터를 보호할 수 있습니다.

다음 방법 중 하나를 사용하여 Central을 설치할 수 있습니다.

Helm 차트를 사용하여 설치
roxctl CLI를 사용하여 설치(사용해야 하는 특정 설치 요구 사항이 없는 경우 이 방법을 사용하지 마십시오)

5.2.1. Helm 차트를 사용하여 중앙 설치

사용자 정의 없이 Helm 차트를 사용하거나 기본값을 사용하거나 구성 매개변수의 추가 사용자 지정으로 Helm 차트를 사용하여 Central을 설치할 수 있습니다.

5.2.1.1. 사용자 정의없이 Helm 차트를 사용하여 중앙 설치

사용자 정의없이 Red Hat OpenShift 클러스터에 RHACS를 설치할 수 있습니다. Helm 차트 리포지터리를 추가하고 중앙 서비스 Helm 차트를 설치하여 중앙 및 스캐너의 중앙 집중식 구성 요소를 설치해야 합니다.

5.2.1.1.1. Helm 차트 리포지터리 추가

프로세스

RHACS 차트 리포지터리를 추가합니다.

$ helm repo add rhacs https://mirror.openshift.com/pub/rhacs/charts/

Red Hat Advanced Cluster Security for Kubernetes용 Helm 리포지토리에는 다음과 같이 다양한 구성 요소를 설치하기 위한 Helm 차트가 포함되어 있습니다.

중앙 집중식 구성 요소(Central 및 Scanner)를 설치하기 위한 중앙 서비스Helm 차트(중앙 서비스)입니다.
참고
중앙 집중식 구성 요소를 한 번만 배포하고 동일한 설치를 사용하여 여러 개의 개별 클러스터를 모니터링할 수 있습니다.
클러스터 및 노드당 구성 요소(Sensor, Admission Controller, Collector, scanner-slim)를 설치하기 위한보안 클러스터 서비스Helm 차트(보안 클러스터 서비스)입니다.
참고
모니터링하려는 모든 노드에 노드별 구성 요소를 모니터링하고 배포하려는 각 클러스터에 클러스터별 구성 요소를 배포합니다.

검증

다음 명령을 실행하여 추가된 차트 리포지터리를 확인합니다.
```
$ helm search repo -l rhacs/
```

5.2.1.1.2. 사용자 정의없이 중앙 서비스 Helm 차트 설치

다음 지침을 사용하여 중앙 서비스 Helm 차트를 설치하여 중앙 집중식 구성 요소(Central 및 Scanner)를 배포합니다.

사전 요구 사항

Red Hat Container Registry에 액세스할 수 있어야 합니다. registry.redhat.io 에서 이미지를 다운로드하는 방법에 대한 자세한 내용은 Red Hat Container Registry Authentication 을 참조하십시오.

프로세스

다음 명령을 실행하여 중앙 서비스를 설치하고 경로를 사용하여 Central을 노출합니다.
```
$ helm install -n stackrox \
  --create-namespace stackrox-central-services rhacs/central-services \
  --set imagePullSecrets.username=<username> \1
  --set imagePullSecrets.password=<password> \2
  --set central.exposure.route.enabled=true
```
1
Red Hat Container Registry 인증에 대한 풀 시크릿의 사용자 이름을 포함합니다.
2
Red Hat Container Registry 인증에 대한 풀 시크릿의 암호를 포함합니다.
또는 다음 명령을 실행하여 중앙 서비스를 설치하고 로드 밸런서를 사용하여 Central을 노출합니다.
```
$ helm install -n stackrox \
  --create-namespace stackrox-central-services rhacs/central-services \
  --set imagePullSecrets.username=<username> \1
  --set imagePullSecrets.password=<password> \2
  --set central.exposure.loadBalancer.enabled=true
```
1
Red Hat Container Registry 인증에 대한 풀 시크릿의 사용자 이름을 포함합니다.
2
Red Hat Container Registry 인증에 대한 풀 시크릿의 암호를 포함합니다.
또는 다음 명령을 실행하여 중앙 서비스를 설치하고 포트 전달을 사용하여 Central을 노출합니다.
```
$ helm install -n stackrox \
  --create-namespace stackrox-central-services rhacs/central-services \
  --set imagePullSecrets.username=<username> \1
  --set imagePullSecrets.password=<password>  2
```
1
Red Hat Container Registry 인증에 대한 풀 시크릿의 사용자 이름을 포함합니다.
2
Red Hat Container Registry 인증에 대한 풀 시크릿의 암호를 포함합니다.

중요

외부 서비스에 연결하기 위해 프록시가 필요한 클러스터에 Red Hat Advanced Cluster Security for Kubernetes를 설치하는 경우 proxyConfig 매개변수를 사용하여 프록시 구성을 지정해야 합니다. 예를 들면 다음과 같습니다.
```
env:
  proxyConfig: |
    url: http://proxy.name:port
    username: username
    password: password
    excludes:
    - some.domain
```
사용자 이름과 암호를 사용하는 대신 설치 중인 네임스페이스에 이미지 가져오기 보안을 하나 이상 생성한 경우, --set imagePullSecrets.useExisting="<pull-secret-1;pull-secret-2>" 을 사용할 수 있습니다.
이미지 풀 시크릿을 사용하지 마십시오.
- quay.io/stackrox-io 또는 인증이 필요하지 않은 프라이빗 네트워크의 레지스트리에서 이미지를 가져오는 경우. 사용자 이름과 암호를 지정하는 대신 --set imagePullSecrets.allowNone=true 를 사용합니다.
- 설치 중인 네임스페이스의 기본 서비스 계정에 이미지 가져오기 보안을 이미 구성한 경우. 사용자 이름과 암호를 지정하는 대신 --set imagePullSecrets.useFromDefaultServiceAccount=true 를 사용합니다.

설치 명령의 출력에는 다음이 포함됩니다.

자동으로 생성된 관리자 암호입니다.
모든 구성 값을 저장하는 명령입니다.
Helm이 생성하는 경고입니다.

5.2.1.2. 사용자 지정이 포함된 Helm 차트를 사용하여 중앙 설치

helm install 및 helm upgrade 명령과 함께 Helm 차트 구성 매개변수를 사용하여 사용자 지정으로 Red Hat OpenShift 클러스터에 RHACS를 설치할 수 있습니다. set 옵션을 사용하거나 YAML 구성 파일을 생성하여 이러한 매개변수를 지정할 수 있습니다.

Red Hat Advanced Cluster Security for Kubernetes 설치를 위해 Helm 차트를 구성하기 위해 다음 파일을 생성합니다.

공용 구성 파일 values-public.yaml: 이 파일을 사용하여 중요하지 않은 구성 옵션을 모두 저장합니다.
개인 구성 파일 values-private.yaml: 이 파일을 사용하여 중요한 모든 구성 옵션을 저장합니다. 이 파일을 안전하게 저장해야 합니다.
구성 파일 declarative-config-values.yaml: 선언적 구성을 사용하여 선언적 구성 마운트를 Central에 추가하는 경우 이 파일을 만듭니다.

5.2.1.2.1. 개인 구성 파일

이 섹션에는 values-private.yaml 파일의 구성 가능한 매개변수가 나열됩니다. 이러한 매개변수에 대한 기본값이 없습니다.

5.2.1.2.1.1. 이미지 풀 시크릿

레지스트리에서 이미지를 가져오는 데 필요한 인증 정보는 다음과 같은 요인에 따라 다릅니다.

사용자 정의 레지스트리를 사용하는 경우 다음 매개변수를 지정해야 합니다.
- imagePullSecrets.username
- imagePullSecrets.password
- image.registry
사용자 정의 레지스트리에 로그인하는 데 사용자 이름과 암호를 사용하지 않는 경우 다음 매개변수 중 하나를 지정해야 합니다.
- imagePullSecrets.allowNone
- imagePullSecrets.useExisting
- imagePullSecrets.useFromDefaultServiceAccount

매개변수	설명
`imagePullSecrets.username`	레지스트리에 로그인하는 데 사용되는 계정의 사용자 이름입니다.
`imagePullSecrets.password`	레지스트리에 로그인하는 데 사용되는 계정의 암호입니다.
`imagePullSecrets.allowNone`	사용자 정의 레지스트리를 사용하는 경우 `true` 를 사용하면 인증 정보가 없는 이미지를 가져올 수 있습니다.
`imagePullSecrets.useExisting`	쉼표로 구분된 시크릿 목록을 값으로 나타냅니다. 예를 들면 `secret1, secret2, secretN` 입니다. 대상 네임스페이스에서 지정된 이름으로 기존 이미지 가져오기 보안을 이미 생성한 경우 이 옵션을 사용합니다.
`imagePullSecrets.useFromDefaultServiceAccount`	대상 네임스페이스의 기본 서비스 계정을 이미 범위가 지정된 이미지 풀 시크릿으로 구성한 경우 `true` 를 사용합니다.

5.2.1.2.1.2. 프록시 설정

외부 서비스에 연결하기 위해 프록시가 필요한 클러스터에 Red Hat Advanced Cluster Security for Kubernetes를 설치하는 경우 proxyConfig 매개변수를 사용하여 프록시 구성을 지정해야 합니다. 예를 들면 다음과 같습니다.

env:
  proxyConfig: |
    url: http://proxy.name:port
    username: username
    password: password
    excludes:
    - some.domain

매개변수	설명
`env.proxyConfig`	프록시 구성입니다.

5.2.1.2.1.3. Central

Central에 대해 구성 가능한 매개변수입니다.

새 설치의 경우 다음 매개변수를 건너뛸 수 있습니다.

central.jwtSigner.key
central.serviceTLS.cert
central.serviceTLS.key
central.adminPassword.value
central.adminPassword.htpasswd
central.db.serviceTLS.cert
central.db.serviceTLS.key
central.db.password.value
이러한 매개변수의 값을 지정하지 않으면 Helm 차트에서 해당 값을 자동으로 생성합니다.
이러한 값을 수정하려면 helm upgrade 명령을 사용하고 --set 옵션을 사용하여 값을 지정할 수 있습니다.

중요

관리자 암호를 설정하려면 central.adminPassword.value 또는 central.adminPassword.htpasswd 만 사용할 수 있지만 둘 다 사용할 수 없습니다.

매개변수	설명
`central.jwtSigner.key`	인증에 JSON 웹 토큰(JWT) 서명에 RHACS가 사용해야 하는 개인 키입니다.
`central.serviceTLS.cert`	중앙 서비스가 Central을 배포하는 데 사용해야 하는 내부 인증서입니다.
`central.serviceTLS.key`	중앙 서비스에서 사용해야 하는 내부 인증서의 개인 키입니다.
`central.defaultTLS.cert`	중앙에서 사용해야 하는 사용자용 인증서입니다. RHACS는 RHACS 포털에 이 인증서를 사용합니다. 새 설치의 경우 인증서를 제공해야 합니다. 그러지 않으면 RHACS는 자체 서명된 인증서를 사용하여 Central을 설치합니다. 업그레이드하는 경우 RHACS는 기존 인증서와 해당 키를 사용합니다.
`central.defaultTLS.key`	Central에서 사용해야 하는 사용자용 인증서의 개인 키입니다. 새 설치의 경우 개인 키를 제공해야 합니다. 그러지 않으면 RHACS는 자체 서명된 인증서를 사용하여 Central을 설치합니다. 업그레이드하는 경우 RHACS는 기존 인증서와 해당 키를 사용합니다.
`central.db.password.value`	중앙 데이터베이스의 연결 암호입니다.
`central.adminPassword.value`	RHACS에 로그인하기 위한 관리자 암호입니다.
`central.adminPassword.htpasswd`	RHACS에 로그인하기 위한 관리자 암호입니다. 이 암호는 bcrypt를 사용하여 해시 형식으로 저장됩니다.
`central.db.serviceTLS.cert`	Central DB 서비스가 Central DB를 배포하는 데 사용해야 하는 내부 인증서입니다.
`central.db.serviceTLS.key`	Central DB 서비스에서 사용해야 하는 내부 인증서의 개인 키입니다.
`central.db.password.value`	Central DB 연결에 사용되는 암호입니다.

참고

central.adminPassword.htpasswd 매개변수를 사용하는 경우 bcrypt로 인코딩된 암호 해시를 사용해야 합니다. htpasswd -nB admin 명령을 실행하여 암호 해시를 생성할 수 있습니다. 예를 들면 다음과 같습니다.

htpasswd: |
  admin:<bcrypt-hash>

5.2.1.2.1.4. 스캐너

StackRox 스캐너 및 스캐너 V4에 대해 구성 가능한 매개변수입니다.

새 설치의 경우 다음 매개변수를 건너뛰고 Helm 차트에서 해당 매개변수를 자동으로 생성할 수 있습니다. 또는 새 버전으로 업그레이드하는 경우 다음 매개변수의 값을 지정합니다.

scanner.dbPassword.value
scanner.serviceTLS.cert
scanner.serviceTLS.key
scanner.dbServiceTLS.cert
scanner.dbServiceTLS.key
scannerV4.db.password.value
scannerV4.indexer.serviceTLS.cert
scannerV4.indexer.serviceTLS.key
scannerV4.matcher.serviceTLS.cert
scannerV4.matcher.serviceTLS.key
scannerV4.db.serviceTLS.cert
scannerV4.db.serviceTLS.key

매개변수	설명
`scanner.dbPassword.value`	scanner 데이터베이스에서 인증에 사용할 암호입니다. RHACS는 자동으로 값을 생성하고 내부적으로 사용하므로 이 매개변수를 수정하지 마십시오.
`scanner.serviceTLS.cert`	StackRox 스캐너 서비스에서 StackRox 스캐너를 배포하는 데 사용해야 하는 내부 인증서입니다.
`scanner.serviceTLS.key`	스캐너 서비스에서 사용해야 하는 내부 인증서의 개인 키입니다.
`scanner.dbServiceTLS.cert`	Scanner-db 서비스가 scanner 데이터베이스 배포에 사용해야 하는 내부 인증서입니다.
`scanner.dbServiceTLS.key`	Scanner-db 서비스에서 사용해야 하는 내부 인증서의 개인 키입니다.
`scannerV4.db.password.value`	scanner V4 데이터베이스에서 인증에 사용할 암호입니다. RHACS는 자동으로 값을 생성하고 내부적으로 사용하므로 이 매개변수를 수정하지 마십시오.
`scannerV4.db.serviceTLS.cert`	scanner V4 DB 서비스가 scanner V4 데이터베이스 배포에 사용해야 하는 내부 인증서입니다.
`scannerV4.db.serviceTLS.key`	scanner V4 DB 서비스에서 사용해야 하는 내부 인증서의 개인 키입니다.
`scannerV4.indexer.serviceTLS.cert`	scanner V4 서비스에서 Scanner V4 Indexer를 배포하는 데 사용해야 하는 내부 인증서입니다.
`scannerV4.indexer.serviceTLS.key`	scanner V4 Indexer에서 사용해야 하는 내부 인증서의 개인 키입니다.
`scannerV4.matcher.serviceTLS.cert`	scanner V4 서비스에서 Scanner V4 Matcher를 배포하는 데 사용해야 하는 내부 인증서입니다.
`scannerV4.matcher.serviceTLS.key`	scanner V4 Matcher에서 사용해야 하는 내부 인증서의 개인 키입니다.

5.2.1.2.2. 공용 구성 파일

이 섹션에는 values-public.yaml 파일의 구성 가능한 매개변수가 나열됩니다.

5.2.1.2.2.1. 이미지 풀 시크릿

이미지 풀 시크릿은 레지스트리에서 이미지를 가져오는 데 필요한 인증 정보입니다.

매개변수	설명
`imagePullSecrets.allowNone`	사용자 정의 레지스트리를 사용하는 경우 `true` 를 사용하면 인증 정보가 없는 이미지를 가져올 수 있습니다.
`imagePullSecrets.useExisting`	쉼표로 구분된 시크릿 목록을 값으로 나타냅니다. 예: `secret1, secret2`. 대상 네임스페이스에서 지정된 이름으로 기존 이미지 가져오기 보안을 이미 생성한 경우 이 옵션을 사용합니다.
`imagePullSecrets.useFromDefaultServiceAccount`	대상 네임스페이스의 기본 서비스 계정을 이미 범위가 지정된 이미지 풀 시크릿으로 구성한 경우 `true` 를 사용합니다.

5.2.1.2.2.2. 이미지

이미지는 Helm 차트에서 central.image,scanner.image,scannerV4.image, scannerV4.image , scannerV4.db. image 매개변수의 이미지를 확인하는 데 사용하는 기본 레지스트리를 설정하는 구성을 선언합니다.

매개변수	설명
`image.registry`	이미지 레지스트리의 주소입니다. `registry.redhat.io` 와 같은 호스트 이름 또는 `us.gcr.io/stackrox-mirror` 와 같은 원격 레지스트리 호스트 이름을 사용합니다.

5.2.1.2.2.3. 환경 변수

Red Hat Advanced Cluster Security for Kubernetes는 클러스터 환경을 자동으로 감지하고 env.openshift,env.istio 및 env.platform 에 대한 값을 설정합니다. 자동 클러스터 환경 탐지를 덮어쓰려면 이러한 값만 설정합니다.

매개변수	설명
`env.openshift`	OpenShift Container Platform 클러스터에 설치하고 자동 클러스터 환경 탐지를 재정의하려면 `true` 를 사용합니다.
`env.istio`	Istio가 활성화된 클러스터에 설치하고 자동 클러스터 환경 탐지를 재정의하려면 `true` 를 사용합니다.
`env.platform`	RHACS를 설치하는 플랫폼. 값을 `default` 또는 `gke` 로 설정하여 클러스터 플랫폼을 지정하고 자동 클러스터 환경 탐지를 재정의합니다.
`env.offlineMode`	오프라인 모드에서 RHACS를 사용하려면 `true` 를 사용합니다.

5.2.1.2.2.4. 신뢰할 수 있는 추가 인증 기관

RHACS는 신뢰할 시스템 루트 인증서를 자동으로 참조합니다. StackRox 스캐너 또는 스캐너 V4가 조직의 기관이나 세계적으로 신뢰할 수 있는 파트너 조직의 기관에서 발급한 인증서를 사용하는 서비스에 도달해야 하는 경우 다음 매개변수를 사용하여 신뢰할 수 있는 루트 인증 기관을 지정하여 이러한 서비스에 대한 신뢰를 추가할 수 있습니다.

매개변수	설명
`additionalCAs.<certificate_name>`	신뢰할 루트 인증 기관의 PEM 인코딩 인증서를 지정합니다.

5.2.1.2.2.5. 기본 네트워크 정책

네트워크 수준에서 보안을 제공하기 위해 RHACS는 Central이 설치된 네임스페이스에 기본 NetworkPolicy 리소스를 생성합니다. 이러한 네트워크 정책을 통해 특정 포트의 특정 구성 요소에 수신할 수 있습니다. RHACS에서 이러한 정책을 생성하지 않으려면 이 매개변수를 Disabled 로 설정합니다. 기본값은 Enabled 입니다.

주의

기본 네트워크 정책 생성을 비활성화하면 RHACS 구성 요소 간 통신이 중단될 수 있습니다. 기본 정책 생성을 비활성화하는 경우 이 통신을 허용하도록 자체 네트워크 정책을 생성해야 합니다.

매개변수	설명
`network.enableNetworkPolicies`	RHACS가 기본 네트워크 정책을 생성하여 구성 요소 간 통신을 허용하는지 지정합니다. 자체 네트워크 정책을 생성하려면 이 매개변수를 `False` 로 설정합니다. 기본값은 `True` 입니다.

5.2.1.2.2.6. Central

Central에 대해 구성 가능한 매개변수입니다.

영구 스토리지 옵션을 hostPath 또는 persistentVolumeClaim 으로 지정해야 합니다.
외부 액세스를 위해 중앙 배포를 공개하는 경우. 하나의 매개변수, central.exposure.loadBalancer,central.exposure.nodePort 또는 central.exposure.route 를 지정해야 합니다. 이러한 매개변수에 값을 지정하지 않으면 port-forwarding을 사용하여 중앙 집중식으로 수동으로 노출하거나 액세스해야 합니다.

다음 표에는 외부 PostgreSQL 데이터베이스 설정이 포함되어 있습니다.

매개변수	설명
`central.declarativeConfiguration.mounts.configMaps`	선언적 구성에 사용되는 구성 맵을 마운트합니다.
`Central.declarativeConfiguration.mounts.secrets`	선언적 구성에 사용되는 보안을 마운트합니다.
`central.endpointsConfig`	Central의 엔드포인트 구성 옵션입니다.
`central.nodeSelector`	노드 선택기가 테인트된 노드를 선택하는 경우 이 매개변수를 사용하여 Central에 테인트 허용 오차 키, 값 및 효과를 지정합니다. 이 매개변수는 주로 인프라 노드에 사용됩니다.
`central.tolerations`	노드 선택기가 테인트된 노드를 선택하는 경우 이 매개변수를 사용하여 Central에 테인트 허용 오차 키, 값 및 효과를 지정합니다. 이 매개변수는 주로 인프라 노드에 사용됩니다.
`central.exposeMonitoring`	포트 번호 `9090` 에서 Central의 Prometheus 지표 끝점을 노출하려면 `true` 를 지정합니다.
`central.image.registry`	중앙 이미지의 글로벌 `image.registry` 매개변수를 덮어쓰는 사용자 정의 레지스트리입니다.
`central.image.name`	기본 중앙 이미지 이름(`기본`)을 재정의하는 사용자 정의 이미지 이름입니다.
`central.image.tag`	Central 이미지의 기본 태그를 재정의하는 사용자 정의 이미지 태그입니다. 새 설치 중에 자체 이미지 태그를 지정하는 경우 `helm upgrade` 명령을 실행하여 새 버전으로 업그레이드하려면 이 태그를 수동으로 늘려야 합니다. 자체 레지스트리에 있는 중앙 이미지를 미러링하는 경우 원본 이미지 태그를 수정하지 마십시오.
`central.image.fullRef`	중앙 이미지의 레지스트리 주소, 이미지 이름, 이미지 태그를 포함한 전체 참조입니다. 이 매개변수의 값을 설정하면 `central.image.registry`,`central.image.name`, `central.image.tag` 매개변수가 재정의됩니다.
`central.resources.requests.memory`	Central에 대한 메모리 요청입니다.
`central.resources.requests.cpu`	Central에 대한 CPU 요청입니다.
`central.resources.limits.memory`	Central의 메모리 제한입니다.
`central.resources.limits.cpu`	Central의 CPU 제한입니다.
`central.persistence.hostPath`	RHACS가 데이터베이스 볼륨을 생성해야 하는 노드의 경로입니다. Red Hat은 이 옵션을 사용하지 않는 것이 좋습니다.
`central.persistence.persistentVolumeClaim.claimName`	사용 중인 PVC(영구 볼륨 클레임)의 이름입니다.
`central.persistence.persistentVolumeClaim.createClaim`	`true` 를 사용하여 새 PVC를 생성하거나 기존 클레임을 사용하려면 `false` 를 사용합니다.
`central.persistence.persistentVolumeClaim.size`	지정된 클레임에서 관리하는 영구 볼륨의 크기(GiB)입니다.
`central.exposure.loadBalancer.enabled`	로드 밸런서를 사용하여 Central을 노출하려면 `true` 를 사용합니다.
`central.exposure.loadBalancer.port`	중앙을 노출할 포트 번호입니다. 기본 포트 번호는 443입니다.
`central.exposure.nodePort.enabled`	노드 포트 서비스를 사용하여 Central을 노출하려면 `true` 를 사용합니다.
`central.exposure.nodePort.port`	중앙을 노출할 포트 번호입니다. 이 매개변수를 건너뛰면 OpenShift Container Platform에서 포트 번호를 자동으로 할당합니다. 노드 포트를 사용하여 RHACS를 노출하는 경우 포트 번호를 지정하지 않는 것이 좋습니다.
`central.exposure.route.enabled`	경로를 사용하여 Central을 노출하려면 `true` 를 사용합니다. 이 매개변수는 OpenShift Container Platform 클러스터에서만 사용할 수 있습니다.
`central.db.external`	`true` 를 사용하여 Central DB를 배포해서는 안 되고 외부 데이터베이스를 사용하도록 지정합니다.
`central.db.source.connectionString`	Central이 데이터베이스에 연결하는 데 사용할 연결 문자열입니다. 이는 `central.db.external` 이 true로 설정된 경우에만 사용됩니다. 연결 문자열은 "추가 리소스"의 PostgreSQL 문서에 설명된 대로 키워드/값 형식이어야 합니다. PostgreSQL 13만 지원됩니다. PgBouncer를 통한 연결은 지원되지 않습니다. 사용자는 데이터베이스를 만들고 삭제할 수 있는 슈퍼유저여야 합니다.
`central.db.source.minConns`	설정할 데이터베이스에 대한 최소 연결 수입니다.
`central.db.source.maxConns`	설정할 데이터베이스에 대한 최대 연결 수입니다.
`central.db.source.statementTimeoutMs`	데이터베이스에 대해 단일 쿼리 또는 트랜잭션을 활성화할 수 있는 시간(밀리초)입니다.
`central.db.postgresConfig`	"추가 리소스"의 PostgreSQL 문서에 설명된 대로 Central DB에 사용할 postgresql.conf입니다.
`central.db.hbaConfig`	"추가 리소스"의 PostgreSQL 문서에 설명된 대로 중앙 DB에 사용할 pg_hba.conf입니다.
`central.db.nodeSelector`	노드 선택기 레이블을 `label-key: label-value` 로 지정하여 중앙 DB가 지정된 노드에서만 예약하도록 강제 적용합니다.
`central.db.image.registry`	중앙 DB 이미지의 글로벌 `image.registry` 매개변수를 덮어쓰는 사용자 정의 레지스트리입니다.
`central.db.image.name`	기본 중앙 DB 이미지 이름(`central-db`)을 재정의하는 사용자 지정 이미지 이름입니다.
`central.db.image.tag`	중앙 DB 이미지의 기본 태그를 재정의하는 사용자 지정 이미지 태그입니다. 새 설치 중에 자체 이미지 태그를 지정하는 경우 `helm upgrade` 명령을 실행하여 새 버전으로 업그레이드하려면 이 태그를 수동으로 늘려야 합니다. 자체 레지스트리에 있는 중앙 DB 이미지를 미러링하는 경우 원본 이미지 태그를 수정하지 마십시오.
`central.db.image.fullRef`	중앙 DB 이미지에 대한 레지스트리 주소, 이미지 이름, 이미지 태그를 포함한 전체 참조입니다. 이 매개 변수의 값을 설정하면 `central.db.image.registry`,`central.db.image.name` 및 `central.db.image.tag` 매개변수가 재정의됩니다.
`central.db.resources.requests.memory`	Central DB에 대한 메모리 요청입니다.
`central.db.resources.requests.cpu`	Central DB에 대한 CPU 요청입니다.
`central.db.resources.limits.memory`	중앙 DB의 메모리 제한입니다.
`central.db.resources.limits.cpu`	Central DB의 CPU 제한입니다.
`central.db.persistence.hostPath`	RHACS가 데이터베이스 볼륨을 생성해야 하는 노드의 경로입니다. Red Hat은 이 옵션을 사용하지 않는 것이 좋습니다.
`central.db.persistence.persistentVolumeClaim.claimName`	사용 중인 PVC(영구 볼륨 클레임)의 이름입니다.
`central.db.persistence.persistentVolumeClaim.createClaim`	`true` 를 사용하여 새 영구 볼륨 클레임을 생성하거나 기존 클레임을 사용하려면 `false` 를 사용합니다.
`central.db.persistence.persistentVolumeClaim.size`	지정된 클레임에서 관리하는 영구 볼륨의 크기(GiB)입니다.

5.2.1.2.2.7. StackRox Scanner

다음 표에는 StackRox 스캐너에 대해 구성 가능한 매개변수가 나열되어 있습니다. 이는 노드 및 플랫폼 검사에 사용되는 스캐너입니다. scanner V4가 활성화되지 않은 경우 StackRox 스캐너도 이미지 스캔을 수행합니다. 버전 4.4부터 스캐너 V4를 활성화하여 이미지 스캔을 제공할 수 있습니다. Scanner V4 매개변수는 다음 표를 참조하십시오.

매개변수	설명
`scanner.disable`	StackRox 스캐너 없이 RHACS를 설치하려면 `true` 를 사용합니다. `helm upgrade` 명령과 함께 사용하면 Helm이 기존 StackRox 스캐너 배포를 제거합니다.
`scanner.exposeMonitoring`	포트 번호 `9090` 에서 StackRox 스캐너의 Prometheus 지표 끝점을 노출하려면 `true` 를 지정합니다.
`scanner.replicas`	StackRox 스캐너 배포에 생성할 복제본 수입니다. `scanner.autoscaling` 매개변수와 함께 사용하면 이 값이 초기 복제본 수를 설정합니다.
`scanner.logLevel`	StackRox 스캐너의 로그 수준을 구성합니다. 기본 로그 수준 값(정보)을 변경하지 않는 것이 좋습니다.
`scanner.nodeSelector`	노드 선택기 레이블을 `label-key: label-value` 로 지정하여 StackRox 스캐너가 지정된 라벨이 있는 노드에서만 스케줄링하도록 강제 적용합니다.
`scanner.tolerations`	노드 선택기가 테인트된 노드를 선택하는 경우 이 매개변수를 사용하여 StackRox 스캐너에 대한 테인트 허용 오차 키, 값 및 효과를 지정합니다. 이 매개변수는 주로 인프라 노드에 사용됩니다.
`scanner.autoscaling.disable`	StackRox 스캐너 배포의 자동 스케일링을 비활성화하려면 `true` 를 사용합니다. 자동 스케일링을 비활성화하면 `minReplicas` 및 `maxReplicas` 매개변수가 적용되지 않습니다.
`scanner.autoscaling.minReplicas`	자동 스케일링을 위한 최소 복제본 수입니다.
`scanner.autoscaling.maxReplicas`	자동 스케일링을 위한 최대 복제본 수입니다.
`scanner.resources.requests.memory`	StackRox 스캐너에 대한 메모리 요청입니다.
`scanner.resources.requests.cpu`	StackRox 스캐너에 대한 CPU 요청입니다.
`scanner.resources.limits.memory`	StackRox 스캐너의 메모리 제한입니다.
`scanner.resources.limits.cpu`	StackRox 스캐너의 CPU 제한입니다.
`scanner.dbResources.requests.memory`	StackRox 스캐너 데이터베이스 배포에 대한 메모리 요청입니다.
`scanner.dbResources.requests.cpu`	StackRox 스캐너 데이터베이스 배포에 대한 CPU 요청입니다.
`scanner.dbResources.limits.memory`	StackRox 스캐너 데이터베이스 배포의 메모리 제한입니다.
`scanner.dbResources.limits.cpu`	StackRox 스캐너 데이터베이스 배포의 CPU 제한입니다.
`scanner.image.registry`	StackRox 스캐너 이미지의 사용자 지정 레지스트리입니다.
`scanner.image.name`	기본 StackRox 스캐너 이미지 이름(`scanner`)을 재정의하는 사용자 정의 이미지 이름입니다.
`scanner.dbImage.registry`	StackRox Scanner DB 이미지의 사용자 지정 레지스트리입니다.
`scanner.dbImage.name`	기본 StackRox 스캐너 DB 이미지 이름(`scanner-db`)을 재정의하는 사용자 정의 이미지 이름입니다.
`scanner.dbNodeSelector`	노드 선택기 레이블을 `label-key: label-value` 로 지정하여 StackRox 스캐너 DB가 지정된 라벨이 있는 노드에서만 스케줄링하도록 강제 적용합니다.
`scanner.dbTolerations`	노드 선택기가 테인트된 노드를 선택하는 경우 이 매개변수를 사용하여 StackRox Scanner DB에 대한 테인트 허용 오차 키, 값 및 효과를 지정합니다. 이 매개변수는 주로 인프라 노드에 사용됩니다.

5.2.1.2.2.8. Scanner V4

다음 표에는 Scanner V4의 구성 가능한 매개변수가 나열되어 있습니다.

매개변수	설명
`scannerV4.db.persistence.persistentVolumeClaim.claimName`	scanner V4의 영구 데이터를 관리할 PVC의 이름입니다. 지정된 이름의 PVC가 없으면 생성됩니다. 설정되지 않은 경우 기본값은 `scanner-v4-db` 입니다. 데이터 손실을 방지하기 위해 중앙을 삭제할 때 PVC가 자동으로 제거되지 않습니다.
`scannerV4.disable`	스캐너 V4를 활성화하려면 `false` 를 사용합니다. 이 매개변수를 설정할 때 `scanner.disable=false` 를 설정하여 StackRox 스캐너도 활성화해야 합니다. StackRox 스캐너와 스캐너 V4 간의 기능 패리티에 도달할 때까지 스캐너 V4는 StackRox 스캐너와 함께만 사용할 수 있습니다. StackRox 스캐너를 활성화하지 않고 스캐너 V4를 활성화하는 것은 지원되지 않습니다. `helm upgrade` 명령을 사용하여 이 매개변수를 `true` 로 설정하면 Helm이 기존 scanner V4 배포를 제거합니다.
`scannerV4.exposeMonitoring`	포트 번호 `9090` 에서 scanner V4의 Prometheus 지표 끝점을 노출하려면 `true` 를 지정합니다.
`scannerV4.indexer.replicas`	Scanner V4 Indexer 배포에 생성할 복제본 수입니다. `scannerV4.indexer.autoscaling` 매개변수와 함께 사용하면 이 값이 초기 복제본 수를 설정합니다.
`scannerV4.indexer.logLevel`	scanner V4 Indexer의 로그 수준을 구성합니다. 기본 로그 수준 값(정보)을 변경하지 않는 것이 좋습니다.
`scannerV4.indexer.nodeSelector`	노드 선택기 레이블을 `label-key: label-value` 로 지정하여 Scanner V4 Indexer가 지정된 라벨이 있는 노드에서만 스케줄링하도록 강제 적용합니다.
`scannerV4.indexer.tolerations`	노드 선택기가 테인트된 노드를 선택하는 경우 이 매개변수를 사용하여 Scanner V4 Indexer에 테인트 허용 오차 키, 값 및 효과를 지정합니다. 이 매개변수는 주로 인프라 노드에 사용됩니다.
`scannerV4.indexer.autoscaling.disable`	scanner V4 Indexer 배포의 자동 스케일링을 비활성화하려면 `true` 를 사용합니다. 자동 스케일링을 비활성화하면 `minReplicas` 및 `maxReplicas` 매개변수가 적용되지 않습니다.
`scannerV4.indexer.autoscaling.minReplicas`	자동 스케일링을 위한 최소 복제본 수입니다.
`scannerV4.indexer.autoscaling.maxReplicas`	자동 스케일링을 위한 최대 복제본 수입니다.
`scannerV4.indexer.resources.requests.memory`	scanner V4 Indexer의 메모리 요청
`scannerV4.indexer.resources.requests.cpu`	scanner V4 Indexer에 대한 CPU 요청입니다.
`scannerV4.indexer.resources.limits.memory`	Scanner V4 Indexer의 메모리 제한입니다.
`scannerV4.indexer.resources.limits.cpu`	Scanner V4 Indexer의 CPU 제한입니다.
`scannerV4.matcher.replicas`	Scanner V4 Matcher 배포에 대해 생성할 복제본 수입니다. `scannerV4.matcher.autoscaling` 매개변수와 함께 사용하면 이 값이 초기 복제본 수를 설정합니다.
`scannerV4.matcher.logLevel`	기본 로그 수준 값(정보)을 변경하지 않는 것이 좋습니다.
`scannerV4.matcher.nodeSelector`	노드 선택기 레이블을 `label-key: label-value` 로 지정하여 scanner V4 Matcher가 지정된 라벨이 있는 노드에서만 스케줄링하도록 강제 적용합니다.
`scannerV4.matcher.tolerations`	노드 선택기가 테인트된 노드를 선택하는 경우 이 매개변수를 사용하여 스캐너 V4 Matcher에 테인트 허용 키, 값 및 효과를 지정합니다. 이 매개변수는 주로 인프라 노드에 사용됩니다.
`scannerV4.matcher.autoscaling.disable`	`true` 를 사용하여 scanner V4 Matcher 배포의 자동 스케일링을 비활성화합니다. 자동 스케일링을 비활성화하면 `minReplicas` 및 `maxReplicas` 매개변수가 적용되지 않습니다.
`scannerV4.matcher.autoscaling.minReplicas`	자동 스케일링을 위한 최소 복제본 수입니다.
`scannerV4.matcher.autoscaling.maxReplicas`	자동 스케일링을 위한 최대 복제본 수입니다.
`scannerV4.matcher.resources.requests.memory`	스캐너 V4 Matcher에 대한 메모리 요청입니다.
`scannerV4.matcher.resources.requests.cpu`	스캐너 V4 Matcher에 대한 CPU 요청입니다.
`scannerV4.db.resources.requests.memory`	scanner V4 데이터베이스 배포에 대한 메모리 요청입니다.
`scannerV4.db.resources.requests.cpu`	스캐너 V4 데이터베이스 배포에 대한 CPU 요청입니다.
`scannerV4.db.resources.limits.memory`	scanner V4 데이터베이스 배포의 메모리 제한입니다.
`scannerV4.db.resources.limits.cpu`	scanner V4 데이터베이스 배포의 CPU 제한입니다.
`scannerV4.db.nodeSelector`	노드 선택기 레이블을 `label-key: label-value` 로 지정하여 스캐너 V4 DB가 지정된 라벨이 있는 노드에서만 스케줄링하도록 강제 적용합니다.
`scannerV4.db.tolerations`	노드 선택기가 테인트된 노드를 선택하는 경우 이 매개변수를 사용하여 스캐너 V4 DB에 테인트 허용 오차 키, 값 및 효과를 지정합니다. 이 매개변수는 주로 인프라 노드에 사용됩니다.
`scannerV4.db.image.registry`	scanner V4 DB 이미지의 사용자 지정 레지스트리입니다.
`scannerV4.db.image.name`	기본 스캐너 V4 DB 이미지 이름(`scanner-v4-db`)을 재정의하는 사용자 정의 이미지 이름입니다.
`scannerV4.image.registry`	scanner V4 이미지의 사용자 지정 레지스트리입니다.
`scannerV4.image.name`	기본 scanner V4 이미지 이름(`scanner-v4`)을 재정의하는 사용자 정의 이미지 이름입니다.

5.2.1.2.2.9. 사용자 정의

이러한 매개변수를 사용하여 RHACS에서 생성하는 모든 오브젝트에 대한 추가 속성을 지정합니다.

매개변수	설명
`customize.labels`	모든 오브젝트에 연결할 사용자 정의 레이블입니다.
`customize.annotations`	모든 오브젝트에 연결할 사용자 정의 주석입니다.
`customize.podLabels`	모든 배포에 연결할 사용자 정의 레이블입니다.
`customize.podAnnotations`	모든 배포에 연결할 사용자 정의 주석입니다.
`customize.envVars`	모든 오브젝트의 모든 컨테이너에 대한 사용자 지정 환경 변수입니다.
`customize.central.labels`	Central에서 생성하는 모든 오브젝트에 연결할 사용자 지정 레이블입니다.
`customize.central.annotations`	Central에서 생성하는 모든 오브젝트에 연결할 사용자 정의 주석입니다.
`customize.central.podLabels`	모든 중앙 배포에 연결할 사용자 정의 레이블입니다.
`customize.central.podAnnotations`	모든 중앙 배포에 연결할 사용자 정의 주석입니다.
`customize.central.envVars`	모든 중앙 컨테이너의 사용자 지정 환경 변수.
`customize.scanner.labels`	스캐너에서 생성하는 모든 오브젝트에 연결할 사용자 정의 레이블입니다.
`customize.scanner.annotations`	스캐너에서 생성하는 모든 오브젝트에 연결할 사용자 정의 주석입니다.
`customize.scanner.podLabels`	모든 스캐너 배포에 연결할 사용자 정의 레이블입니다.
`customize.scanner.podAnnotations`	모든 스캐너 배포에 연결할 사용자 정의 주석입니다.
`customize.scanner.envVars`	모든 스캐너 컨테이너의 사용자 지정 환경 변수.
`customize.scanner-db.labels`	scanner DB에서 생성하는 모든 오브젝트에 연결할 사용자 정의 레이블입니다.
`customize.scanner-db.annotations`	scanner DB에서 생성하는 모든 오브젝트에 연결할 사용자 정의 주석입니다.
`customize.scanner-db.podLabels`	모든 Scanner DB 배포에 연결할 사용자 정의 레이블입니다.
`customize.scanner-db.podAnnotations`	모든 Scanner DB 배포에 연결할 사용자 정의 주석입니다.
`customize.scanner-db.envVars`	모든 scanner DB 컨테이너의 사용자 지정 환경 변수.
`customize.scanner-v4-indexer.labels`	scanner V4 Indexer가 생성한 모든 오브젝트와 해당 오브젝트에 속하는 Pod에 연결할 사용자 지정 레이블입니다.
`customize.scanner-v4-indexer.annotations`	scanner V4 Indexer가 생성한 모든 오브젝트와 해당 오브젝트에 속하는 Pod에 연결하는 사용자 정의 주석입니다.
`customize.scanner-v4-indexer.podLabels`	scanner V4 Indexer가 생성한 모든 오브젝트와 해당 오브젝트에 속하는 Pod에 연결할 사용자 지정 레이블입니다.
`customize.scanner-v4-indexer.podAnnotations`	scanner V4 Indexer가 생성한 모든 오브젝트와 해당 오브젝트에 속하는 Pod에 연결하는 사용자 정의 주석입니다.
`customize.scanner-4v-indexer.envVars`	모든 scanner V4 Indexer 컨테이너 및 해당 컨테이너에 속하는 Pod의 사용자 지정 환경 변수입니다.
`customize.scanner-v4-matcher.labels`	scanner V4 Matcher가 생성한 모든 오브젝트와 해당 오브젝트에 속하는 Pod에 연결할 사용자 지정 레이블입니다.
`customize.scanner-v4-matcher.annotations`	scanner V4 Matcher가 생성한 모든 오브젝트와 해당 오브젝트에 속하는 Pod에 연결하는 사용자 정의 주석입니다.
`customize.scanner-v4-matcher.podLabels`	scanner V4 Matcher가 생성한 모든 오브젝트와 해당 오브젝트에 속하는 Pod에 연결할 사용자 지정 레이블입니다.
`customize.scanner-v4-matcher.podAnnotations`	scanner V4 Matcher가 생성한 모든 오브젝트와 해당 오브젝트에 속하는 Pod에 연결하는 사용자 정의 주석입니다.
`customize.scanner-4v-matcher.envVars`	모든 scanner V4 Matcher 컨테이너 및 해당 컨테이너에 속한 Pod에 대한 사용자 지정 환경 변수입니다.
`customize.scanner-v4-db.labels`	scanner V4 DB가 생성한 모든 오브젝트와 해당 오브젝트에 속하는 Pod에 연결할 사용자 정의 레이블입니다.
`customize.scanner-v4-db.annotations`	scanner V4 DB가 생성한 모든 오브젝트와 해당 오브젝트에 속하는 Pod에 연결하는 사용자 정의 주석입니다.
`customize.scanner-v4-db.podLabels`	scanner V4 DB가 생성한 모든 오브젝트와 해당 오브젝트에 속하는 Pod에 연결할 사용자 정의 레이블입니다.
`customize.scanner-v4-db.podAnnotations`	scanner V4 DB가 생성한 모든 오브젝트와 해당 오브젝트에 속하는 Pod에 연결하는 사용자 정의 주석입니다.
`customize.scanner-4v-db.envVars`	모든 scanner V4 DB 컨테이너 및 해당 컨테이너에 속한 Pod에 대한 사용자 지정 환경 변수입니다.

또는 다음을 수행할 수도 있습니다.

모든 오브젝트에 대한 레이블 및 주석을 지정하기 위해 customize.other.service/*.labels 및 customize.other.service/*.annotations 매개변수입니다.
또는 특정 서비스 이름(예: customize.other.service/central-loadbalancer.labels )을 제공하고 매개 변수로 사용자 지정.other.service/central-loadbalancer.annotations 를 매개 변수로 설정합니다.

5.2.1.2.2.10. 고급 사용자 정의

중요

이 섹션에 지정된 매개변수는 정보 전용입니다. Red Hat은 수정된 네임스페이스 및 릴리스 이름이 있는 RHACS 인스턴스를 지원하지 않습니다.

매개변수	설명
`allowNonstandardNamespace`	기본 네임스페이스 `stackrox` 이외의 네임스페이스에 RHACS를 배포하려면 `true` 를 사용합니다.
`allowNonstandardReleaseName`	기본 `stackrox-central-services` 이외의 릴리스 이름으로 RHACS를 배포하려면 `true` 를 사용합니다.

5.2.1.2.3. 선언적 구성 값

선언적 구성을 사용하려면 선언적 구성 마운트를 Central에 추가하는 YAML 파일(이 예제에서는 "dec declarationative-config-values.yaml")을 생성해야 합니다. 이 파일은 Helm 설치에 사용됩니다.

프로세스

다음 예제를 지침으로 사용하여 YAML 파일(이 예제에서는 declarative-config-values.yaml)을 만듭니다.

central:
  declarativeConfiguration:
    mounts:
      configMaps:
        - declarative-configs
      secrets:
        - sensitive-declarative-configs

"중앙 서비스 Helm 차트 설치"에 설명된 대로 중앙 서비스 Helm 차트를 설치하여 declarative-config-values.yaml 파일을 참조합니다.

추가 리소스

5.2.1.2.4. 중앙 서비스 Helm 차트 설치

values-public.yaml 및 values-private.yaml 파일을 구성한 후 중앙 서비스 Helm 차트를 설치하여 중앙 구성 요소(Central 및 Scanner)를 배포합니다.

프로세스

다음 명령을 실행합니다.

$ helm install -n stackrox --create-namespace \
  stackrox-central-services rhacs/central-services \
  -f <path_to_values_public.yaml> -f <path_to_values_private.yaml> 1

1: -f 옵션을 사용하여 YAML 구성 파일의 경로를 지정합니다.

참고

선택 사항: 선언적 구성을 사용하는 경우 -f <path_to_dec declarationative-config-values.yaml 을 이 명령에 추가하여 선언적 구성 파일을 Central에 마운트합니다.

5.2.1.3. 중앙 서비스 Helm 차트를 배포한 후 구성 옵션 변경

중앙 서비스 Helm 차트를 배포한 후 구성 옵션을 변경할 수 있습니다.

helm upgrade 명령을 사용하여 변경하는 경우 다음 지침 및 요구 사항이 적용됩니다.

--set 또는 --set-file 매개변수를 사용하여 구성 값을 지정할 수도 있습니다. 그러나 이러한 옵션은 저장되지 않으며 모든 옵션을 변경할 때마다 수동으로 다시 지정해야 합니다.
Scanner V4와 같은 새 구성 요소 활성화와 같은 일부 변경 사항은 구성 요소에 대해 새 인증서를 발급해야 합니다. 따라서 이러한 변경을 수행할 때 CA를 제공해야 합니다.
- 초기 설치 중에 Helm 차트에서 CA를 생성한 경우 클러스터에서 자동으로 생성된 값을 검색하여 helm upgrade 명령에 제공해야 합니다. 중앙 서비스 Helm 차트의 설치 후 노트에는 자동으로 생성된 값을 검색하는 명령이 포함되어 있습니다.
- CA가 Helm 차트 외부에서 생성되어 central-services 차트 설치 중에 제공된 경우 helm upgrade 명령을 사용할 때 (예: helm upgrade 명령에 --reuse-values 플래그를 사용하여 해당 작업을 다시 수행해야 합니다.

프로세스

values-public.yaml 및 values-private.yaml 구성 파일을 새 값으로 업데이트합니다.
helm upgrade 명령을 실행하고 -f 옵션을 사용하여 구성 파일을 지정합니다.
```
$ helm upgrade -n stackrox \
  stackrox-central-services rhacs/central-services \
  --reuse-values \1
  -f <path_to_init_bundle_file \
  -f <path_to_values_public.yaml> \
  -f <path_to_values_private.yaml>
```
1
values_public.yaml 및 values_private.yaml 파일에 포함되지 않은 수정된 값이 있는 경우 --reuse-values 매개변수를 포함합니다.

5.2.2. roxctl CLI를 사용하여 Central 설치

주의

프로덕션 환경의 경우 Red Hat은 Operator 또는 Helm 차트를 사용하여 RHACS를 설치하는 것이 좋습니다. 이 방법을 사용해야 하는 특정 설치 요구 사항이 없으면 roxctl install 방법을 사용하지 마십시오.

5.2.2.1. roxctl CLI 설치

Red Hat Advanced Cluster Security for Kubernetes를 설치하려면 바이너리를 다운로드하여 roxctl CLI를 설치해야 합니다. Linux, Windows 또는 macOS에 roxctl 을 설치할 수 있습니다.

5.2.2.1.1. Linux에 roxctl CLI 설치

다음 절차에 따라 Linux에 roxctl CLI 바이너리를 설치할 수 있습니다.

참고

Linux용 roxctl CLI는 amd 64,arm64,ppc64 le 및 s390x 아키텍처에서 사용할 수 있습니다.

프로세스

대상 운영 체제의 roxctl 아키텍처를 확인합니다.

$ arch="$(uname -m | sed "s/x86_64//")"; arch="${arch:+-$arch}"

roxctl CLI를 다운로드합니다.

$ curl -L -f -o roxctl "https://mirror.openshift.com/pub/rhacs/assets/4.5.4/bin/Linux/roxctl${arch}"

roxctl 바이너리를 실행 가능하게 만듭니다.
```
$ chmod +x roxctl
```
roxctl 바이너리를 PATH 에 있는 디렉터리에 배치합니다.
PATH를 확인하려면 다음 명령을 실행합니다.
```
$ echo $PATH
```

검증

설치한 roxctl 버전을 확인합니다.
```
$ roxctl version
```

5.2.2.1.2. macOS에 roxctl CLI 설치

다음 절차를 사용하여 macOS에 roxctl CLI 바이너리를 설치할 수 있습니다.

참고

macOS용 roxctl CLI는 amd64 및 arm64 아키텍처에서 사용할 수 있습니다.

프로세스

대상 운영 체제의 roxctl 아키텍처를 확인합니다.

$ arch="$(uname -m | sed "s/x86_64//")"; arch="${arch:+-$arch}"

roxctl CLI를 다운로드합니다.

$ curl -L -f -o roxctl "https://mirror.openshift.com/pub/rhacs/assets/4.5.4/bin/Darwin/roxctl${arch}"

바이너리에서 모든 확장 속성을 제거합니다.
```
$ xattr -c roxctl
```
roxctl 바이너리를 실행 가능하게 만듭니다.
```
$ chmod +x roxctl
```
roxctl 바이너리를 PATH 에 있는 디렉터리에 배치합니다.
PATH를 확인하려면 다음 명령을 실행합니다.
```
$ echo $PATH
```

검증

설치한 roxctl 버전을 확인합니다.
```
$ roxctl version
```

5.2.2.1.3. Windows에 roxctl CLI 설치

다음 절차를 사용하여 Windows에 roxctl CLI 바이너리를 설치할 수 있습니다.

참고

Windows용 roxctl CLI는 amd64 아키텍처에서 사용할 수 있습니다.

프로세스

roxctl CLI를 다운로드합니다.

$ curl -f -O https://mirror.openshift.com/pub/rhacs/assets/4.5.4/bin/Windows/roxctl.exe

검증

설치한 roxctl 버전을 확인합니다.
```
$ roxctl version
```

5.2.2.2. 대화형 설치 프로그램 사용

대화형 설치 프로그램을 사용하여 환경에 필요한 시크릿, 배포 구성 및 배포 스크립트를 생성합니다.

프로세스

대화형 설치 명령을 실행합니다.
```
$ roxctl central generate interactive
```
중요
roxctl CLI를 사용하여 RHACS를 설치하면 기본적으로 이전 버전과의 호환성을 위해 PSP(PodSecurityPolicy) 오브젝트가 생성됩니다. Kubernetes 버전 1.25 이상 또는 OpenShift Container Platform 버전 4.12 이상에 RHACS를 설치하는 경우 PSP 오브젝트 생성을 비활성화해야 합니다. 이렇게 하려면 roxctl central generate 및 roxctl sensor generate 명령에 대해 --enable-pod-security-policies 옵션을 false 로 지정합니다.

Enter 를 눌러 프롬프트의 기본값을 수락하거나 필요에 따라 사용자 지정 값을 입력합니다. 다음 예제에서는 대화형 설치 프로그램 프롬프트를 보여줍니다.

Enter path to the backup bundle from which to restore keys and certificates (optional):
Enter read templates from local filesystem (default: "false"):
Enter path to helm templates on your local filesystem (default: "/path"):
Enter PEM cert bundle file (optional): 1
Enter Create PodSecurityPolicy resources (for pre-v1.25 Kubernetes) (default: "true"): 2
Enter administrator password (default: autogenerated):
Enter orchestrator (k8s, openshift):
Enter default container images settings (development_build, stackrox.io, rhacs, opensource); it controls repositories from where to download the images, image names and tags format (default: "development_build"):
Enter the directory to output the deployment bundle to (default: "central-bundle"):
Enter the OpenShift major version (3 or 4) to deploy on (default: "0"):
Enter whether to enable telemetry (default: "false"):
Enter central-db image to use (if unset, a default will be used according to --image-defaults):
Enter Istio version when deploying into an Istio-enabled cluster (leave empty when not running Istio) (optional):
Enter the method of exposing Central (route, lb, np, none) (default: "none"): 3
Enter main image to use (if unset, a default will be used according to --image-defaults):
Enter whether to run StackRox in offline mode, which avoids reaching out to the Internet (default: "false"):
Enter list of secrets to add as declarative configuration mounts in central (default: "[]"): 4
Enter list of config maps to add as declarative configuration mounts in central (default: "[]"): 5
Enter the deployment tool to use (kubectl, helm, helm-values) (default: "kubectl"):
Enter scanner-db image to use (if unset, a default will be used according to --image-defaults):
Enter scanner image to use (if unset, a default will be used according to --image-defaults):
Enter Central volume type (hostpath, pvc): 6
Enter external volume name for Central (default: "stackrox-db"):
Enter external volume size in Gi for Central (default: "100"):
Enter storage class name for Central (optional if you have a default StorageClass configured):
Enter external volume name for Central DB (default: "central-db"):
Enter external volume size in Gi for Central DB (default: "100"):
Enter storage class name for Central DB (optional if you have a default StorageClass configured):

1: 사용자 지정 TLS 인증서를 추가하려면 PEM 인코딩 인증서의 파일 경로를 제공합니다. 사용자 지정 인증서를 지정하면 대화형 설치 프로그램에서 사용 중인 사용자 정의 인증서에 PEM 개인 키도 입력하라는 메시지를 표시합니다.
2: Kubernetes 버전 1.25 이상을 실행 중인 경우 이 값을 false 로 설정합니다.
3: RHACS 포털을 사용하려면 경로, 로드 밸런서 또는 노드 포트를 사용하여 Central을 노출해야 합니다.
4: 인증 및 권한 부여에 선언적 구성을 사용하는 방법에 대한 자세한 내용은 "Red Hat Advanced Cluster Security for Kubernetes에서 RBAC 관리"의 "인증 및 권한 부여 리소스에 대한 선언 구성"을 참조하십시오.
5: 인증 및 권한 부여에 선언적 구성을 사용하는 방법에 대한 자세한 내용은 "Red Hat Advanced Cluster Security for Kubernetes에서 RBAC 관리"의 "인증 및 권한 부여 리소스에 대한 선언 구성"을 참조하십시오.
6: hostPath 볼륨을 사용하여 OpenShift Container Platform에 Red Hat Advanced Cluster Security for Kubernetes를 설치하려면 SELinux 정책을 수정해야 합니다.

주의

OpenShift Container Platform에서 hostPath 볼륨을 사용하려면 호스트와 컨테이너 공유 디렉터리에 대한 액세스를 허용하도록 SELinux 정책을 수정해야 합니다. SELinux는 기본적으로 디렉터리 공유를 차단하기 때문입니다. SELinux 정책을 수정하려면 다음 명령을 실행합니다.

$ sudo chcon -Rt svirt_sandbox_file_t <full_volume_path>

그러나 Red Hat은 SELinux 정책을 수정하는 것을 권장하지 않습니다. 대신 OpenShift Container Platform에 설치할 때 PVC를 사용합니다.

완료 시 설치 프로그램은 Central을 배포하는 데 필요한 YAML 매니페스트 및 스크립트가 포함된 central-bundle이라는 폴더를 생성합니다. 또한 신뢰할 수 있는 인증 기관, 중앙 및 스캐너를 추가로 배포하기 위해 실행해야 하는 스크립트에 대한 화면상의 지침과 프롬프트에 응답할 때 자동 생성된 암호를 제공하지 않은 경우 자동 생성된 암호와 함께 RHACS 포털에 로그인하기 위한 인증 지침이 표시됩니다.

5.2.2.3. 중앙 설치 스크립트 실행

대화형 설치 프로그램을 실행한 후 setup.sh 스크립트를 실행하여 Central을 설치할 수 있습니다.

프로세스

setup.sh 스크립트를 실행하여 이미지 레지스트리 액세스를 구성합니다.
```
$ ./central-bundle/central/scripts/setup.sh
```

필요한 리소스를 생성합니다.

$ oc create -R -f central-bundle/central

배포 진행 상황을 확인합니다.
```
$ oc get pod -n stackrox -w
```

Central이 실행되면 RHACS 포털 IP 주소를 찾아 브라우저에서 엽니다. 프롬프트에 응답할 때 선택한 노출 방법에 따라 다음 방법 중 하나를 사용하여 IP 주소를 가져옵니다.

노출 방법	명령	address	예
경로	`oc -n stackrox get route central`	출력의 `HOST/PORT` 열에 있는 주소	`https://central-stackrox.example.route`
노드 포트	`oc get node -owide && oc -n stackrox get svc central-loadbalancer`	서비스에 표시된 포트에서 모든 노드의 IP 또는 호스트 이름	`https://198.51.100.0:31489`
로드 밸런서	`oc -n stackrox get svc central-loadbalancer`	서비스에 표시된 EXTERNAL-IP 또는 호스트 이름이 포트 443에서	`https://192.0.2.0`
없음	`central-bundle/central/scripts/port-forward.sh 8443`	`https://localhost:8443`	`https://localhost:8443`

참고

대화형 설치 중에 자동 생성 암호를 선택한 경우 다음 명령을 실행하여 Central에 로그인할 때 이를 확인할 수 있습니다.

$ cat central-bundle/password

5.2. 다른 플랫폼에서 RHACS용 중앙 서비스 설치

5.2.1. Helm 차트를 사용하여 중앙 설치

5.2.1.1. 사용자 정의없이 Helm 차트를 사용하여 중앙 설치

5.2.1.1.1. Helm 차트 리포지터리 추가

5.2.1.1.2. 사용자 정의없이 중앙 서비스 Helm 차트 설치

5.2.1.2. 사용자 지정이 포함된 Helm 차트를 사용하여 중앙 설치

5.2.1.2.1. 개인 구성 파일

5.2.1.2.1.1. 이미지 풀 시크릿

5.2.1.2.1.2. 프록시 설정

5.2.1.2.1.3. Central

5.2.1.2.1.4. 스캐너

5.2.1.2.2. 공용 구성 파일

5.2.1.2.2.1. 이미지 풀 시크릿

5.2.1.2.2.2. 이미지

5.2.1.2.2.3. 환경 변수

5.2.1.2.2.4. 신뢰할 수 있는 추가 인증 기관

5.2.1.2.2.5. 기본 네트워크 정책

5.2.1.2.2.6. Central

5.2.1.2.2.7. StackRox Scanner

5.2.1.2.2.8. Scanner V4

5.2.1.2.2.9. 사용자 정의

5.2.1.2.2.10. 고급 사용자 정의

5.2.1.2.3. 선언적 구성 값

5.2.1.2.4. 중앙 서비스 Helm 차트 설치

5.2.1.3. 중앙 서비스 Helm 차트를 배포한 후 구성 옵션 변경

5.2.2. roxctl CLI를 사용하여 Central 설치

5.2.2.1. roxctl CLI 설치

5.2.2.1.1. Linux에 roxctl CLI 설치

5.2.2.1.2. macOS에 roxctl CLI 설치

5.2.2.1.3. Windows에 roxctl CLI 설치

5.2.2.2. 대화형 설치 프로그램 사용

5.2.2.3. 중앙 설치 스크립트 실행

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Red Hat legal and privacy links

Red Hat legal and privacy links