5.3. 安装 Central

流程

1. 运行交互式 install 命令：

   $ roxctl central generate interactive

   重要

   使用 roxctl CLI 安装 Red Hat Advanced Cluster Security for Kubernetes 会默认创建 PodSecurityPolicy (PSP)对象，以向后兼容。如果在 Kubernetes 版本 1.25 及更新版本或 OpenShift Container Platform 版本 4.12 及更新版本上安装 RHACS，则必须禁用 PSP 对象创建。要做到这一点，为 roxctl central generate 和 roxctl sensor generate 命令将 --enable-pod-security-policies 选项指定为 false。

2. 按 Enter 接受提示的默认值或根据需要输入自定义值。

   Enter path to the backup bundle from which to restore keys and certificates (optional):
   Enter PEM cert bundle file (optional): 

   1

   
   Enter administrator password (default: autogenerated):
   Enter orchestrator (k8s, openshift): openshift
   Enter the directory to output the deployment bundle to (default: "central-bundle"):
   Enter the OpenShift major version (3 or 4) to deploy on (default: "0"): 4
   Enter Istio version when deploying into an Istio-enabled cluster (leave empty when not running Istio) (optional):
   Enter the method of exposing Central (route, lb, np, none) (default: "none"): route 

   2

   
   Enter main image to use (default: "stackrox.io/main:3.0.61.1"):
   Enter whether to run StackRox in offline mode, which avoids reaching out to the Internet (default: "false"):
   Enter whether to enable telemetry (default: "true"):
   Enter the deployment tool to use (kubectl, helm, helm-values) (default: "kubectl"):
   Enter Scanner DB image to use (default: "stackrox.io/scanner-db:2.15.2"):
   Enter Scanner image to use (default: "stackrox.io/scanner:2.15.2"):
   Enter Central volume type (hostpath, pvc): pvc 

   3

   
   Enter external volume name (default: "stackrox-db"):
   Enter external volume size in Gi (default: "100"):
   Enter storage class name (optional if you have a default StorageClass configured):

   1

   如果要添加自定义 TLS 证书，请提供 PEM 编码证书的文件路径。当您指定自定义证书时，交互式安装程序还会提示您为您要使用的自定义证书提供 PEM 私钥。

   2

   要使用 RHACS 门户，您必须使用路由（负载均衡器或节点端口）公开中。

   3

   如果您计划在带有 hostPath 卷的 OpenShift Container Platform 上安装 Red Hat Advanced Cluster Security for Kubernetes，您必须修改 SELinux 策略。

   警告

   在 OpenShift Container Platform 中，对于 hostPath 卷，您必须修改 SELinux 策略以允许访问主机和容器共享的目录。这是因为 SELinux 默认阻止目录共享。要修改 SELinux 策略，请运行以下命令：

   $ sudo chcon -Rt svirt_sandbox_file_t <full_volume_path>

   但是，红帽不推荐修改 SELinux 策略，在 OpenShift Container Platform 上安装时使用 PVC。

流程

1. 运行 setup.sh 脚本来配置镜像 registry 访问：

   $ ./central-bundle/central/scripts/setup.sh

2. 创建所需资源：

   $ oc create -R -f central-bundle/central

3. 检查部署进度：

   $ oc get pod -n stackrox -w

4. 在 Central 运行后，找到 RHACS 门户 IP 地址并在浏览器中打开。根据您在回答提示时选择的风险，请使用以下方法之一获取 IP 地址。

   Expand

   公开方法	命令	地址	Example
   Route（路由）	oc -n stackrox get route central	在输出中 HOST/PORT 列下的地址	https://central-stackrox.example.route
   节点端口	oc get node -owide && oc -n stackrox get svc central-loadbalancer	任何节点的 IP 或主机名，在服务显示的端口中	https://198.51.100.0:31489
   Load Balancer	oc -n stackrox get svc central-loadbalancer	在端口 443 上为服务显示 EXTERNAL-IP 或主机名	https://192.0.2.0
   无	central-bundle/central/scripts/port-forward.sh 8443	https://localhost:8443	https://localhost:8443

   Show more