红帽全球峰会6.2. 其他平台上的 RHACS 云服务的先决条件
在安装 Red Hat Advanced Cluster Security Cloud Service for 支持的 Kubernetes 平台前,您必须完成先决条件。
6.2.1. 常规要求
RHACS 有一些系统要求,在安装前必须满足这些系统要求。
您不能在以下环境中安装 Red Hat Advanced Cluster Security for Kubernetes:
- Amazon Elastic File System(Amazon EFS)。使用带有默认 gp2 卷类型的 Amazon Elastic Block Store(Amazon EBS)。
- 没有 SIMD 扩展 (SSE) 4.2 指令集的旧 CPU。例如,比 Sandy Bridge 和 AMD 处理器旧的 Intel 处理器(比 Bulldozer 旧)。(这些处理器在 2011 年发布。)
要安装 Red Hat Advanced Cluster Security for Kubernetes,您必须有:
- OpenShift Container Platform 版本 4.5 或更高版本
具有受支持的操作系统的集群节点。如需更多信息,请参阅 Red Hat Advanced Cluster Security for Kubernetes 支持政策。
- 操作系统 :Amazon Linux、CentOS、Container-Optimized OS from Google、Red Hat Enterprise Linux CoreOS(RHCOS)、Debian、Red Hat Enterprise Linux(RHEL) 或 Ubuntu。
处理器和内存 :2 个 CPU 内核和至少 3GiB RAM。
注意对于部署 Central,请使用带有四个或更多内核的机器类型,并应用调度策略在这样的节点上启动 Central。
架构: AMD64 或 ppc64le。
注意您只能在 {ibm-power}、{ibm-zsystems} 和 {ibm-linuxone} 集群上安装 RHACS 安全集群服务。目前不支持 Central。
使用持久性卷声明(PVC)的持久性存储。
重要您不能在 Red Hat Advanced Cluster Security for Kubernetes 中使用 Ceph FS 存储。红帽建议为 Red Hat Advanced Cluster Security for Kubernetes 使用 RBD 块模式 PVC。
- 使用固态驱动器(SSD)以获得最佳性能。但是,如果您没有 SSD,也可以使用另一个存储类型。
使用 Helm chart 安装:
-
如果您要使用 Helm chart 安装和配置 Red Hat Advanced Cluster Security for Kubernetes,则必须具有 Helm 命令行界面(CLI) v3.2 或更新版本。使用
helm version命令验证已安装的 Helm 版本。 -
Red Hat OpenShift CLI (
oc)。 -
您必须有权访问 Red Hat Container Registry。有关从
registry.redhat.io下载镜像的详情,请参考 Red Hat Container Registry Authentication。
6.2.2. 安装扫描器的先决条件
Red Hat Advanced Cluster Security for Kubernetes 包括一个称为 Scanner 的镜像漏洞策略。此服务扫描未被扫描程序集成到镜像 registry 中的镜像。
内存和存储要求
| 扫描程序 | CPU | 内存 |
|---|---|---|
| Request(请求) | 1.2 个内核 | 2700 MiB |
| 限制 | 5 个内核 | 8000 MiB |
6.2.3. 安装 Sensor 的先决条件
Sensor 监控 Kubernetes 和 OpenShift Container Platform 集群。这些服务目前部署到单个部署中,该服务处理与 Kubernetes API 的交互,并与 Collector 协调。
内存和存储要求
| Sensor | CPU | 内存 |
|---|---|---|
| Request(请求) | 1 个内核 | 1 GiB |
| 限制 | 2 个内核 | 4 GiB |
6.2.4. 安装 Admission 控制器的先决条件
Admission 控制器可防止用户创建违反您配置策略的工作负载。
内存和存储要求
默认情况下,准入控制服务运行 3 个副本。下表列出了每个副本的请求和限制。
| 准入控制器 | CPU | 内存 |
|---|---|---|
| Request(请求) | .05 个内核 | 100 MiB |
| 限制 | .5 个内核 | 500 MiB |
6.2.5. 安装 Collector 的先决条件
收集器监控安全集群中每个节点的运行时活动。它连接到 Sensor 来报告此信息。
要在具有统一可扩展固件接口(UEFI)以及启用了安全引导机制的系统中安装 Collector,您必须使用 eBPF 探测,因为内核模块没有被签名,且 UEFI 固件无法加载未签名的软件包。收集器在启动时用来识别安全引导状态,并切换到 eBPF 探测(如果需要)。
内存和存储要求
| Collector | CPU | 内存 |
|---|---|---|
| Request(请求) | .05 个内核 | 320 MiB |
| 限制 | .75 个内核 | 1 GiB |
收集器使用 mutable 镜像标签( <version>-latest),因此您可以更轻松地获得对较新的 Linux 内核版本的支持。对于镜像更新,代码、预先存在的内核模块或 eBPF 程序没有改变。更新只添加对初始发布后发布的新内核版本的支持的单个镜像层。
