Red Hat Summit5.2. 보안 클러스터 서비스
보안 클러스터 서비스에는 다음 구성 요소가 포함됩니다.
- 센서
- 허용 컨트롤러
- 수집기
- 스캐너 (선택 사항)
- 스캐너 V4 (선택 사항)
웹 프록시 또는 방화벽을 사용하는 경우 보안 클러스터 및 Central이 HTTPS 포트 443에서 통신할 수 있는지 확인해야 합니다.
5.2.1. 센서
센서는 Kubernetes 및 OpenShift Container Platform 클러스터를 모니터링합니다. 이러한 서비스는 현재 Kubernetes API와의 상호 작용을 처리하고 다른 Red Hat Advanced Cluster Security for Kubernetes 구성 요소와 조정하는 단일 배포에 배포됩니다.
CPU 및 메모리 요구 사항
다음 표에는 보안 클러스터에서 센서를 설치하고 실행하는 데 필요한 최소 CPU 및 메모리 값이 나열되어 있습니다.
| 센서 | CPU | 메모리 |
|---|---|---|
| 요청 | 2개의 코어 | 4GiB |
| 제한 | 4개의 코어 | 8GiB |
5.2.2. 허용 컨트롤러
Admission Controller에서는 사용자가 구성하는 정책을 위반하는 워크로드를 생성하지 못하도록 합니다.
CPU 및 메모리 요구 사항
기본적으로 승인 제어 서비스는 3개의 복제본을 실행합니다. 다음 표에는 각 복제본에 대한 요청 및 제한이 나열되어 있습니다.
| 허용 컨트롤러 | CPU | 메모리 |
|---|---|---|
| 요청 | 0.05 코어 | 100MiB |
| 제한 | 0.5 코어 | 500MiB |
5.2.3. 수집기
수집기는 보안 클러스터의 각 노드의 런타임 활동을 DaemonSet으로 모니터링합니다. 이 정보는 센서와 연결되어 이 정보를 보고합니다. 수집기 Pod에는 세 개의 컨테이너가 있습니다. 첫 번째 컨테이너는 노드의 런타임 활동을 모니터링하고 보고하는 수집기입니다. 다른 두 개는 compliance 및 node-inventory입니다.
컬렉션 요구 사항
CORE_BPF 컬렉션 방법을 사용하려면 기본 커널이 BTF를 지원해야 하며, 수집기에서 BTF 파일을 사용할 수 있어야 합니다. 일반적으로 커널 버전은 5.8 이상(RHEL 노드의 경우 4.18) 이상이어야 하며 CONFIG_DEBUG_INF_BTF 구성 옵션을 설정해야 합니다.
수집기는 다음 목록에 표시된 표준 위치에서 BTF 파일을 찾습니다.
예 5.1. BTF 파일 위치
/sys/kernel/btf/vmlinux /boot/vmlinux-<kernel-version> /lib/modules/<kernel-version>/vmlinux-<kernel-version> /lib/modules/<kernel-version>/build/vmlinux /usr/lib/modules/<kernel-version>/kernel/vmlinux /usr/lib/debug/boot/vmlinux-<kernel-version> /usr/lib/debug/boot/vmlinux-<kernel-version>.debug /usr/lib/debug/lib/modules/<kernel-version>/vmlinux
/sys/kernel/btf/vmlinux
/boot/vmlinux-<kernel-version>
/lib/modules/<kernel-version>/vmlinux-<kernel-version>
/lib/modules/<kernel-version>/build/vmlinux
/usr/lib/modules/<kernel-version>/kernel/vmlinux
/usr/lib/debug/boot/vmlinux-<kernel-version>
/usr/lib/debug/boot/vmlinux-<kernel-version>.debug
/usr/lib/debug/lib/modules/<kernel-version>/vmlinux
이러한 파일이 있는 경우 커널에 BTF 지원이 있고 CORE_BPF 를 구성할 수 있습니다.
CPU 및 메모리 요구 사항
기본적으로 수집기 Pod는 3개의 컨테이너를 실행합니다. 다음 표에는 각 컨테이너의 요청 및 제한과 각 수집기 Pod의 합계가 나열되어 있습니다.
수집기 컨테이너
| 유형 | CPU | 메모리 |
|---|---|---|
| 요청 | 0.06 코어 | 320MiB |
| 제한 | 0.9 코어 | 1000MiB |
컴플라이언스 컨테이너
| 유형 | CPU | 메모리 |
|---|---|---|
| 요청 | 0.01 코어 | 10MiB |
| 제한 | 코어 1개 | 2000MiB |
node-inventory 컨테이너
| 유형 | CPU | 메모리 |
|---|---|---|
| 요청 | 0.01 코어 | 10MiB |
| 제한 | 코어 1개 | 500MiB |
총 수집기 Pod 요구 사항
| 유형 | CPU | 메모리 |
|---|---|---|
| 요청 | 0.07 코어 | 340MiB |
| 제한 | 2.75 코어 | 3500MiB |
5.2.4. 스캐너
CPU 및 메모리 요구 사항
이 표의 요구 사항은 기본값 3개의 복제본을 기반으로 합니다.
| StackRox 스캐너 | CPU | 메모리 |
|---|---|---|
| 요청 | 3개의 코어 | 4500MiB |
| 제한 | 6개의 코어 | 12GiB |
StackRox 스캐너에는 데이터를 저장하기 위해 스캐너 DB(PostgreSQL 15)가 필요합니다. 다음 표에는 Scanner DB를 설치하고 실행하는 데 필요한 최소 메모리 및 스토리지 값이 나열되어 있습니다.
| scanner DB | CPU | 메모리 |
|---|---|---|
| 요청 | 0.2 코어 | 512MiB |
| 제한 | 2개의 코어 | 4GiB |
5.2.5. 스캐너 V4
스캐너 V4는 선택 사항입니다. 스캐너 V4가 보안 클러스터에 설치된 경우 다음 요구 사항이 적용됩니다.
CPU, 메모리 및 스토리지 요구사항
scanner V4 Indexer
이 표의 요구 사항은 기본값인 2개의 복제본을 기반으로 합니다.
| scanner V4 Indexer | CPU | 메모리 |
|---|---|---|
| 요청 | 2개의 코어 | 3000MiB |
| 제한 | 4개의 코어 | 6GiB |
스캐너 V4 DB
스캐너 V4에는 데이터를 저장하기 위해 스캐너 V4 DB(PostgreSQL 15)가 필요합니다. 다음 표에는 스캐너 V4 DB를 설치하고 실행하는 데 필요한 최소 CPU, 메모리 및 스토리지 값이 나열되어 있습니다. scanner V4 DB의 경우 PVC가 필요하지 않지만 최적의 성능을 보장하므로 PVC를 사용하는 것이 좋습니다.
| 스캐너 V4 DB | CPU | 메모리 | 스토리지 |
|---|---|---|---|
| 요청 | 0.2 코어 | 2GiB | 10GiB |
| 제한 | 2개의 코어 | 4GiB | 10GiB |
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}