Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

4.2. Operator를 사용하여 RHACS의 중앙 구성 옵션 구성

Operator를 사용하여 Central 인스턴스를 설치할 때 선택적 설정을 구성할 수 있습니다.

4.2.1. Operator를 사용하는 중앙 구성 옵션
링크 복사

Central 인스턴스를 생성할 때 Operator에는 Central 사용자 정의 리소스에 대한 다음 구성 옵션이 나열됩니다.

다음 표에는 외부 PostgreSQL 데이터베이스 설정이 포함되어 있습니다.

4.2.1.1. 중앙 설정
링크 복사

Expand
매개변수설명

central.adminPasswordSecret

암호 데이터 항목에 관리자 암호가 포함된 시크릿을 지정합니다. 생략하면 Operator는 암호를 자동으로 생성하여 central-htpasswd 시크릿의 암호 항목에 저장합니다.

central.defaultTLSSecret

기본적으로 Central은 내부 TLS 인증서만 제공하므로 인그레스 또는 로드 밸런서 수준에서 TLS 종료를 처리해야 합니다. Central에서 TLS를 종료하고 사용자 지정 서버 인증서를 제공하려는 경우 인증서 및 개인 키가 포함된 보안을 지정할 수 있습니다.

central.adminPasswordGenerationDisabled

자동 관리자 암호 생성을 비활성화하려면 이 매개변수를 true 로 설정합니다. 대체 인증 방법의 최초 설정을 수행한 후에만 이 값을 사용합니다. 초기 설치에는 사용하지 마십시오. 그렇지 않으면 다시 로그인하려면 사용자 정의 리소스를 다시 설치해야 합니다.

Central.tolerations

노드 선택기가 테인트된 노드를 선택하는 경우 이 매개변수를 사용하여 Central에 테인트 허용 오차 키, 값 및 효과를 지정합니다. 이 매개변수는 주로 인프라 노드에 사용됩니다.

central.hostAliases

이 매개 변수를 사용하여 호스트 및 IP 주소를 Pod의 hosts 파일에 삽입합니다.

central.exposure.loadBalancer.enabled

로드 밸런서를 통해 Central을 노출하려면 이 값을 true 로 설정합니다.

central.exposure.loadBalancer.port

이 매개변수를 사용하여 로드 밸런서의 사용자 정의 포트를 지정합니다.

central.exposure.loadBalancer.ip

이 매개변수를 사용하여 로드 밸런서용으로 예약된 고정 IP 주소를 지정합니다.

central.exposure.route.enabled

Red Hat OpenShift passthrough 경로를 통해 Central을 노출하려면 이 값을 true 로 설정합니다. false 로 설정된 경우 모든 경로 설정을 비활성화합니다. 기본값은 false입니다.

central.exposure.route.host

이 매개변수를 사용하여 중앙의 패스스루 경로에 사용할 사용자 지정 호스트 이름을 지정합니다. OpenShift Container Platform에서 제공하는 기본값을 허용하려면 설정되지 않은 상태로 두십시오.

central.exposure.route.reencrypt.enabled

Red Hat OpenShift 재암호화 경로를 통해 Central을 노출하려면 이 값을 true 로 설정합니다. 기본값은 false입니다.

central.exposure.route.reencrypt.host

이 매개변수를 사용하여 중앙의 재암호화 경로에 사용할 사용자 지정 호스트 이름을 지정합니다. OpenShift Container Platform에서 제공하는 기본값을 허용하려면 설정되지 않은 상태로 두십시오.

central.exposure.route.reencrypt.tls.caCertificate

이 매개 변수를 사용하여 전체 신뢰 체인을 설정하는 데 사용할 수 있는 PEM 인코딩 인증서 체인을 지정합니다. 기본적으로 OpenShift Container Platform은 인증 기관을 제공합니다.

central.exposure.route.reencrypt.tls.certificate

이 매개변수를 사용하여 경로에 제공된 PEM 인코딩 인증서를 지정합니다. OpenShift Container Platform 인증 기관은 기본 인증서에 서명합니다.

central.exposure.route.reencrypt.tls.destinationCACertificate

이 매개변수를 사용하여 최종 대상의 CA 인증서( Central)를 지정합니다. OpenShift Container Platform 라우터에서는 이 인증서를 사용하여 보안 연결에서 상태 점검을 수행합니다. 기본적으로 Central은 인증 기관을 제공합니다.

central.exposure.route.reencrypt.tls.key

이 매개변수를 사용하여 경로에 제공된 인증서의 PEM 인코딩 개인 키를 지정합니다. OpenShift Container Platform 인증 기관은 기본 인증서에 서명합니다.

central.exposure.nodeport.enabled

노드 포트를 통해 Central을 노출하려면 이 값을 true 로 설정합니다. 기본값은 false입니다.

central.exposure.nodeport.port

이를 사용하여 명시적 노드 포트를 지정합니다.

central.monitoring.exposeEndpoint

Central에 대한 모니터링을 활성화하려면 Enabled 를 사용합니다. 모니터링을 활성화하면 RHACS는 포트 번호 9090 에 새 모니터링 서비스를 생성합니다. 기본값은 Disabled 입니다.

central.nodeSelector

이 구성 요소를 특정 노드에서만 실행하려면 이 매개변수를 사용하여 노드 선택기를 구성할 수 있습니다.

central.resources.limits

이 매개변수를 사용하여 Central의 기본 리소스 제한을 덮어씁니다.

central.resources.requests

이 매개변수를 사용하여 Central의 기본 리소스 요청을 덮어씁니다.

central.imagePullSecrets

이 매개변수를 사용하여 중앙 이미지의 이미지 가져오기 보안을 지정합니다.

central.db.passwordSecret.name

암호 데이터 항목에 데이터베이스 암호가 있는 시크릿을 지정합니다. 연결 문자열을 수동으로 지정하려면 이 매개변수만 사용하십시오. 생략하면 Operator는 암호를 자동으로 생성하여 central-db- password 시크릿의 암호 항목에 저장합니다.

central.db.connectionString

이 매개변수를 설정하면 중앙 DB가 배포되지 않으며 Central은 지정된 연결 문자열을 사용하여 연결됩니다. 이 매개변수의 값을 지정하는 경우 central.db.passwordSecret.name 의 값도 지정해야 합니다. 이 매개변수에는 다음과 같은 제약 조건이 있습니다.

  • 연결 문자열은 PostgreSQL 설명서에 설명된 대로 키워드/값 형식이어야 합니다. 자세한 내용은 추가 리소스 섹션의 링크를 참조하십시오.
  • Postgres 15는 권장 및 지원되는 버전입니다. Red Hat은 Postgres 13에 대한 지원을 중단하고 최신 버전의 RHACS에서 제거합니다.
  • PGBouncer를 통한 연결은 지원되지 않습니다.

  • 데이터베이스에 대한 다음 권한이 있어야 합니다.

    • 데이터베이스에 대한 연결 권한입니다.
    • 스키마에 대한 권한을 사용하고 생성합니다.
    • 모든 테이블에 대한 권한을 선택, 삽입, 업데이트 및 삭제합니다.
    • 스키마의 모든 시퀀스에 대한 사용 권한입니다.

central.db.tolerations

노드 선택기가 테인트된 노드를 선택하는 경우 이 매개변수를 사용하여 Central DB에 테인트 허용 오차 키, 값 및 효과를 지정합니다. 이 매개변수는 주로 인프라 노드에 사용됩니다.

central.db.hostAliases

이 매개 변수를 사용하여 호스트 및 IP 주소를 Pod의 hosts 파일에 삽입합니다.

central.db.persistence.hostPath.path

영구 데이터를 호스트의 디렉터리에 저장할 호스트 경로를 지정합니다. Red Hat은 이를 사용하지 않는 것이 좋습니다. 호스트 경로를 사용해야 하는 경우 노드 선택기와 함께 사용해야 합니다.

central.db.persistence.persistentVolumeClaim.claimName

영구 데이터를 관리할 PVC의 이름입니다. 지정된 이름의 PVC가 없으면 생성됩니다. 설정되지 않은 경우 기본값은 central-db 입니다. 데이터 손실을 방지하기 위해 중앙을 삭제할 때 PVC가 자동으로 제거되지 않습니다.

central.db.persistence.persistentVolumeClaim.size

클레임을 통해 생성할 때 영구 볼륨의 크기입니다. 이는 기본적으로 자동으로 생성됩니다.

central.db.persistence.persistentVolumeClaim.storageClassName

PVC에 사용할 스토리지 클래스의 이름입니다. 클러스터가 기본 스토리지 클래스로 구성되지 않은 경우 이 매개변수의 값을 제공해야 합니다.

central.db.connectionPoolSize.minConnections

이 매개변수를 사용하여 Central DB와 Central DB 간의 기본 최소 연결 풀 크기를 덮어씁니다. 기본값은 10입니다.

central.db.connectionPoolSize.maxConnections

이 매개변수를 사용하여 Central DB와 Central DB 간의 기본 최대 연결 풀 크기를 덮어씁니다. 기본값은 90입니다. 이 값이 Central DB에서 지원하는 최대 연결 수를 초과하지 않는지 확인합니다.

  • Operator에서 관리하는 중앙 DB는 기본적으로 최대 100개의 연결을 지원합니다.
  • 외부 PostgreSQL 데이터베이스의 경우 데이터베이스 설정을 확인하거나 클라우드 공급자가 관리되는 데이터베이스를 참조하십시오.

central.db.resources.limits

이 매개변수를 사용하여 Central DB의 기본 리소스 제한을 덮어씁니다.

central.db.resources.requests

이 매개변수를 사용하여 Central DB의 기본 리소스 요청을 덮어씁니다.

central.db.nodeSelector

이 구성 요소를 특정 노드에서만 실행하려면 이 매개변수를 사용하여 노드 선택기를 구성할 수 있습니다.

4.2.1.2. Operator의 StackRox 스캐너 설정
링크 복사

Expand
매개변수설명

scanner.analyzer.nodeSelector

이 스캐너를 특정 노드에서만 실행하려면 이 매개변수를 사용하여 노드 선택기를 구성할 수 있습니다.

scanner.analyzer.tolerations

노드 선택기가 테인트된 노드를 선택하는 경우 이 매개변수를 사용하여 StackRox 스캐너에 대한 테인트 허용 오차 키, 값 및 효과를 지정합니다. 이 매개변수는 주로 인프라 노드에 사용됩니다.

scanner.analyzer.hostAliases

이 매개 변수를 사용하여 호스트 및 IP 주소를 Pod의 hosts 파일에 삽입합니다.

scanner.analyzer.resources.limits

StackRox 스캐너의 기본 리소스 제한을 덮어쓰려면 이 매개변수를 사용합니다.

scanner.analyzer.resources.requests

StackRox 스캐너의 기본 리소스 요청을 덮어쓰려면 이 매개변수를 사용합니다.

scanner.analyzer.scaling.autoScaling

활성화하면 분석기 복제본 수는 지정된 제한 내에서 부하를 기반으로 동적으로 관리됩니다.

scanner.analyzer.scaling.maxReplicas

Analyzer 자동 스케일링 구성에 사용할 최대 복제본을 지정합니다.

scanner.analyzer.scaling.minReplicas

Analyzer 자동 스케일링 구성에 사용할 최소 복제본을 지정합니다.

scanner.analyzer.scaling.replicas

자동 스케일링이 비활성화되면 항상 복제본 수가 이 값과 일치하도록 구성됩니다.

scanner.db.nodeSelector

이 구성 요소를 특정 노드에서만 실행하려면 이 매개변수를 사용하여 노드 선택기를 구성할 수 있습니다.

scanner.db.tolerations

노드 선택기가 테인트된 노드를 선택하는 경우 이 매개변수를 사용하여 StackRox Scanner DB에 대한 테인트 허용 오차 키, 값 및 효과를 지정합니다. 이 매개변수는 주로 인프라 노드에 사용됩니다.

scanner.db.hostAliases

이 매개 변수를 사용하여 호스트 및 IP 주소를 Pod의 hosts 파일에 삽입합니다.

scanner.db.resources.limits

StackRox 스캐너 DB의 기본 리소스 제한을 덮어쓰려면 이 매개변수를 사용합니다.

scanner.db.resources.requests

StackRox Scanner DB의 기본 리소스 요청을 덮어쓰려면 이 매개변수를 사용합니다.

scanner.monitoring.exposeEndpoint

Enabled 를 사용하여 StackRox 스캐너에 대한 모니터링을 활성화합니다. 모니터링을 활성화하면 RHACS는 포트 번호 9090 에 새 모니터링 서비스를 생성합니다. 기본값은 Disabled 입니다.

scanner.scannerComponent

StackRox 스캐너를 배포하지 않으려면 이 매개변수를 사용하여 비활성화할 수 있습니다. StackRox 스캐너를 비활성화하면 이 섹션의 다른 모든 설정이 적용되지 않습니다.

4.2.1.3. Operator의 스캐너 V4 설정
링크 복사

Expand
매개변수설명

scannerV4.db.nodeSelector

이 구성 요소를 특정 노드에서만 실행하려면 이 매개변수를 사용하여 노드 선택기를 구성할 수 있습니다.

scannerV4.db.tolerations

노드 선택기가 테인트된 노드를 선택하는 경우 이 매개변수를 사용하여 Scanner V4 DB에 테인트 허용 오차 키, 값 및 효과를 지정합니다. 이 매개변수는 주로 인프라 노드에 사용됩니다.

scannerV4.db.hostAliases

이 매개 변수를 사용하여 호스트 및 IP 주소를 Pod의 hosts 파일에 삽입합니다.

scannerV4.db.resources.limits

scanner V4 DB의 기본 리소스 제한을 덮어쓰려면 이 매개변수를 사용합니다.

scannerV4.db.resources.requests

이 매개변수를 사용하여 scanner V4 DB의 기본 리소스 요청을 덮어씁니다.

scannerV4.db.persistence.persistentVolumeClaim.claimName

scanner V4의 영구 데이터를 관리할 PVC의 이름입니다. 기본값은 scanner-v4-db 입니다.

scannerV4.db.persistence.persistentVolumeClaim.size

scanner V4의 영구 데이터를 관리하는 PVC의 크기입니다.

scannerV4.db.persistence.persistentVolumeClaim.storageClassName

PVC에 사용할 스토리지 클래스의 이름입니다. 클러스터가 기본 스토리지 클래스로 구성되지 않은 경우 이 매개변수의 값을 제공해야 합니다.

scannerV4.indexer.nodeSelector

이 구성 요소를 특정 노드에서만 실행하려면 이 매개변수를 사용하여 노드 선택기를 구성할 수 있습니다.

scannerV4.indexer.tolerations

노드 선택기가 테인트된 노드를 선택하는 경우 이 매개변수를 사용하여 Scanner V4 Indexer에 테인트 허용 오차 키, 값 및 효과를 지정합니다. 이 매개변수는 주로 인프라 노드에 사용됩니다.

scannerV4.indexer.hostAliases

이 매개 변수를 사용하여 호스트 및 IP 주소를 Pod의 hosts 파일에 삽입합니다.

scannerV4.indexer.resources.limits

scanner V4 Indexer의 기본 리소스 제한을 덮어쓰려면 이 매개변수를 사용합니다.

scannerV4.indexer.resources.requests

scanner V4 Indexer의 기본 리소스 요청을 덮어쓰려면 이 매개변수를 사용합니다.

scannerV4.indexer.scaling.autoScaling

활성화하면 스캐너 V4 Indexer 복제본 수가 지정된 제한 내에서 부하에 따라 동적으로 관리됩니다.

scannerV4.indexer.scaling.maxReplicas

Scanner V4 Indexer 자동 스케일링 구성에서 사용할 최대 복제본을 지정합니다.

scannerV4.indexer.scaling.minReplicas

Scanner V4 Indexer 자동 스케일링 구성에서 사용할 최소 복제본을 지정합니다.

scannerV4.indexer.scaling.replicas

scanner V4 Indexer에 대해 자동 스케일링을 비활성화하면 복제본 수는 항상 이 값과 일치하도록 구성됩니다.

scannerV4.matcher.nodeSelector

이 구성 요소를 특정 노드에서만 실행하려면 이 매개변수를 사용하여 노드 선택기를 구성할 수 있습니다.

scannerV4.matcher.tolerations

노드 선택기가 테인트된 노드를 선택하는 경우 이 매개변수를 사용하여 스캐너 V4 Matcher에 테인트 허용 키, 값 및 효과를 지정합니다. 이 매개변수는 주로 인프라 노드에 사용됩니다.

scannerV4.matcher.hostAliases

이 매개 변수를 사용하여 호스트 및 IP 주소를 Pod의 hosts 파일에 삽입합니다.

scannerV4.matcher.resources.limits

스캐너 V4 Matcher의 기본 리소스 제한을 덮어쓰려면 이 매개변수를 사용합니다.

scannerV4.matcher.resources.requests

이 매개변수를 사용하여 scanner V4 Matcher의 기본 리소스 요청을 덮어씁니다.

scannerV4.matcher.scaling.autoScaling

활성화하면 스캐너 V4 일치 복제본 수는 지정된 제한 내에서 부하에 따라 동적으로 관리됩니다.

scannerV4.matcher.scaling.maxReplicas

scanner V4 Matcher 자동 스케일링 구성에서 사용할 최대 복제본을 지정합니다.

scannerV4.matcher.scaling.minReplicas

scanner V4 Matcher 자동 스케일링 구성에서 사용할 최소 복제본을 지정합니다.

scannerV4.matcher.scaling.replicas

scanner V4 Matcher에 대해 자동 스케일링을 비활성화하면 복제본 수는 항상 이 값과 일치하도록 구성됩니다.

scannerV4.monitoring.exposeEndpoint

scanner V4에 대한 모니터링 끝점을 구성합니다. 모니터링 끝점을 사용하면 다른 서비스에서 Prometheus 호환 형식으로 제공되는 scanner V4에서 지표를 수집할 수 있습니다. Enabled 를 사용하여 모니터링 끝점을 노출합니다. 모니터링을 활성화하면 RHACS는 포트 9090을 사용하여 새 서비스, 모니터링 및 포트에 대한 인바운드 연결을 허용하는 네트워크 정책을 생성합니다. 기본적으로 활성화되어 있지 않습니다.

scannerV4.scannerComponent

이 설정을 지정하지 않으면 기본적으로 새 설치에 scanner V4가 활성화됩니다. 이전 릴리스의 업데이트의 경우 이전에 활성화하지 않은 경우 기본적으로 Scanner V4는 업그레이드에서 활성화되지 않습니다. 스캐너 V4를 비활성화하려면 Disabled 로 설정합니다. 스캐너 V4를 비활성화하면 RHACS가 철저하고 정확한 검사 결과를 제공하는 기능에 부정적인 영향을 미칩니다.

4.2.1.4. 일반 및 기타 설정
링크 복사

Expand
매개변수설명

customize.annotations

중앙 배포의 사용자 지정 주석을 지정할 수 있습니다.

customize.envVars

환경 변수를 구성하는 고급 설정입니다.

egress.connectivityPolicy

RHACS를 온라인 또는 오프라인 모드에서 실행해야 하는지 여부를 구성합니다. 오프라인 모드에서는 취약점 정의 및 커널 모듈의 자동 업데이트가 비활성화됩니다.

misc.createSCCs

Central에 대한 SCC( SecurityContextConstraints )를 생성하려면 true 를 지정합니다. true 로 설정하면 일부 환경에서 문제가 발생할 수 있습니다.

monitoring.openshift.enabled

이 옵션을 false 로 설정하면 Kubernetes용 Red Hat Advanced Cluster Security가 Red Hat OpenShift 모니터링을 설정하지 않습니다. Red Hat OpenShift 4에서 기본값은 true 입니다.

network.policies

네트워크 수준에서 보안을 제공하기 위해 RHACS는 Central이 설치된 네임스페이스에 기본 NetworkPolicy 리소스를 생성합니다. 이러한 네트워크 정책을 통해 특정 포트의 특정 구성 요소에 수신할 수 있습니다. RHACS에서 이러한 정책을 생성하지 않으려면 이 매개변수를 Disabled 로 설정합니다. 기본값은 Enabled 입니다.

주의

기본 네트워크 정책 생성을 비활성화하면 RHACS 구성 요소 간 통신이 중단될 수 있습니다. 기본 정책 생성을 비활성화하는 경우 이 통신을 허용하도록 자체 네트워크 정책을 생성해야 합니다.

오버레이

"작업자가 오버레이가 있는 Operator를 사용하여 설치 사용자 지정"을 참조하십시오.

tls.additionalCAs

신뢰할 수 있는 보안 클러스터를 위한 추가 신뢰할 수 있는 CA 인증서입니다. 이러한 인증서는 일반적으로 개인 인증 기관을 사용하여 서비스와 통합할 때 사용됩니다.

4.2.2. 오버레이와 함께 Operator를 사용하여 설치 사용자 정의
링크 복사

오버레이와 함께 Operator 방법을 사용하여 RHACS 설치를 조정하는 방법을 알아봅니다.

4.2.2.1. 오버레이
링크 복사

Central 또는 SecuredCluster 사용자 정의 리소스가 특정 하위 수준 구성 옵션을 매개변수로 노출하지 않는 경우 조정에 .spec.overlays 필드를 사용할 수 있습니다. 이러한 사용자 정의 리소스에서 생성한 Kubernetes 리소스를 수정하려면 이 필드를 사용합니다.

.spec.overlays 필드는 나열된 순서로 적용된 일련의 패치로 구성됩니다. 이러한 패치는 클러스터에 배포하기 전에 Kubernetes 리소스에서 Operator에서 처리합니다.

주의

CentralSecuredCluster.spec.overlays 필드를 사용하면 임의의 방식으로 하위 수준 Kubernetes 리소스를 수정할 수 있습니다. 이 기능은 SecuredCluster 또는 Central 사용자 지정 리소스를 통해 원하는 사용자 지정을 사용할 수 없는 경우에만 사용합니다.

.spec.overlays 기능에 대한 지원은 주로 구현마다 크게 다를 수 있는 Kubernetes 리소스에 대한 복잡하고 구체적인 수정을 수행할 수 있는 기능을 부여하기 때문에 제한됩니다. 이러한 수준의 사용자 지정으로 인해 표준 사용 시나리오를 벗어나는 복잡성이 있어 광범위한 지원을 제공하기가 어렵습니다. 각 수정은 고유할 수 있으며 제품의 다양한 버전 및 구성에서 예기치 않은 방식으로 Kubernetes 시스템과 상호 작용할 수 있습니다. 이러한 변동성은 이러한 사용자 정의의 안정성을 해결하고 보장하려면 각 개인의 설정에 특정한 수준의 전문 지식 및 이해가 필요하다는 것을 의미합니다. 따라서 이 기능을 사용하면 정확한 요구 사항을 충족하도록 Kubernetes 리소스를 조정할 수 있지만 특히 기본 제품을 업그레이드하거나 변경하는 동안 구성의 호환성과 안정성을 보장하는 것으로 간주해야 합니다.

다음 예제에서는 오버레이 구조를 보여줍니다. 

overlays:
- apiVersion: v1
1 

  kind: ExampleKind
2 

  name: my-resource
3 

  patches:
    - path: .some.field
4 

      value: |
5 

        key1: data2
        key2: data2
Copy to Clipboard Toggle word wrap
1
대상 Kubernetes 리소스 ApiVersion (예: apps/v1,v1,networking.k8s.io/v1)
2
리소스 유형(예: 배포, ConfigMap, NetworkPolicy)
3
리소스 이름(예: my-resource)
4
필드에 대한 JSONPath 표현식 (예: spec.template.spec.containers[name:central].env[-1])
5
새 필드 값에 대한 YAML 문자열입니다. YAML 구문 분석을 사용하지 않으려면 다음 ConfigMap 예와 같이 동사 ati m 키를 사용할 수 있습니다.
4.2.2.1.1. 오버레이 추가
링크 복사

사용자 정의의 경우 중앙 또는 SecuredCluster 사용자 정의 리소스에 오버레이를 추가할 수 있습니다. 수정을 위해 OpenShift CLI(oc) 또는 OpenShift Container Platform 웹 콘솔을 사용합니다.

오버레이가 예상대로 적용되지 않는 경우 RHACS Operator 로그에서 구문 오류 또는 기록된 문제를 확인합니다.

4.2.2.2. 오버레이 예
링크 복사

4.2.2.2.1. 중앙 서비스 계정의 EKS Pod 역할 ARN 지정
링크 복사

다음 예와 같이 EKS(Amazon Elastic Kubernetes Service) Pod 역할 ARMN(Amazon Resource Name) 주석을 중앙 ServiceAccount에 추가합니다. 

apiVersion: platform.stackrox.io
kind: Central
metadata:
  name: central
spec:
  # ...
  overlays:
  - apiVersion: v1
    kind: ServiceAccount
    name: central
    patches:
      - path: metadata.annotations.eks\.amazonaws\.com/role-arn
        value: "\"arn:aws:iam:1234:role\""
Copy to Clipboard Toggle word wrap
4.2.2.2.2. 중앙 배포에 환경 변수 삽입
링크 복사

다음 예와 같이 환경 변수를 중앙 배포에 삽입합니다. 

apiVersion: platform.stackrox.io
kind: Central
metadata:
  name: central
spec:
  # ...
  overlays:
  - apiVersion: apps/v1
    kind: Deployment
    name: central
    patches:
    - path: spec.template.spec.containers[name:central].env[-1]
      value: |
        name: MY_ENV_VAR
        value: value
Copy to Clipboard Toggle word wrap
4.2.2.2.3. 수신 규칙을 사용하여 네트워크 정책 확장
링크 복사

다음 예와 같이 포트 999 트래픽에 대한 allow-ext-to-central 네트워크 정책에 Ingress 규칙을 추가합니다. 

apiVersion: platform.stackrox.io
kind: Central
metadata:
  name: central
spec:
    # ...
    overlays:
    - apiVersion: networking.k8s.io/v1
      kind: NetworkPolicy
      name: allow-ext-to-central
      patches:
        - path: spec.ingress[-1]
          value: |
            ports:
            - port: 999
              protocol: TCP
Copy to Clipboard Toggle word wrap
4.2.2.2.4. ConfigMap 데이터 수정
링크 복사

다음 예와 같이 central-endpoints ConfigMap 데이터를 수정합니다. 

apiVersion: platform.stackrox.io
kind: Central
metadata:
  name: central
spec:
    # ...
    overlays:
    - apiVersion: v1
      kind: ConfigMap
      name: central-endpoints
      patches:
      - path: data.endpoints\.yaml
        verbatim: |
          disableDefault: false
          # another line
Copy to Clipboard Toggle word wrap

이 예에서는 데이터 아래의 단일 항목(파일)만 재정의하는 방법을 보여줍니다.

다음 단계를 수행하여 다음 예제를 따르십시오.

  • 값이 아닌 동사트 키를 사용합니다. 이렇게 하면 영향을 받지 않도록 줄 바꿈 또는 따옴표와 같은 문자를 통과하는 데 도움이 됩니다.
  • 표시된 경로 키의 파일 이름의 점을 이스케이프하거나 data["endpoints.yaml"] 로 경로를 작성할 수 있습니다.
4.2.2.2.5. 중앙 배포에 컨테이너 추가
링크 복사

다음 예와 같이 중앙 배포에 새 컨테이너를 추가합니다. 

apiVersion: platform.stackrox.io
kind: Central
metadata:
  name: central
spec:
    # ...
    overlays:
    - apiVersion: apps/v1
      kind: Deployment
      name: central
      patches:
        - path: spec.template.spec.containers[-1]
      value: |
        name: nginx
        image: nginx
        ports:
          - containerPort: 8000
            name: http
            protocol: TCP
Copy to Clipboard Toggle word wrap
맨 위로 이동
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2025 Red Hat