红帽全球峰会3.2. Red Hat OpenShift 上 RHACS 的先决条件
在为 OpenShift Container Platform 安装 RHACS 或另一个与 OCP 兼容的 Kubernetes 平台前,请确保您满足先决条件。
3.2.1. 常规要求
RHACS 有一些系统要求,在安装前必须满足这些系统要求。
您不能在以下环境中安装 Red Hat Advanced Cluster Security for Kubernetes:
- Amazon Elastic File System(Amazon EFS)。使用带有默认 gp2 卷类型的 Amazon Elastic Block Store(Amazon EBS)。
- 没有 SIMD 扩展 (SSE) 4.2 指令集的旧 CPU。例如,比 Sandy Bridge 和 AMD 处理器旧的 Intel 处理器(比 Bulldozer 旧)。(这些处理器在 2011 年发布。)
要安装 Red Hat Advanced Cluster Security for Kubernetes,您必须有:
具有受支持的操作系统的集群节点。如需更多信息,请参阅 Red Hat Advanced Cluster Security for Kubernetes 支持政策。
- 操作系统 :Amazon Linux、CentOS、Container-Optimized OS from Google、Red Hat Enterprise Linux CoreOS(RHCOS)、Debian、Red Hat Enterprise Linux(RHEL) 或 Ubuntu。
处理器和内存 :2 个 CPU 内核和至少 3GiB RAM。
注意对于部署 Central,请使用带有四个或更多内核的机器类型,并应用调度策略在这样的节点上启动 Central。
架构: AMD64 或 ppc64le。
注意您只能在 {ibm-power}、{ibm-zsystems} 和 {ibm-linuxone} 集群上安装 RHACS 安全集群服务。目前不支持 Central。
使用持久性卷声明(PVC)的持久性存储。
重要您不能在 Red Hat Advanced Cluster Security for Kubernetes 中使用 Ceph FS 存储。红帽建议为 Red Hat Advanced Cluster Security for Kubernetes 使用 RBD 块模式 PVC。
- 使用固态驱动器(SSD)以获得最佳性能。但是,如果您没有 SSD,也可以使用另一个存储类型。
使用 Helm chart 安装:
-
如果您要使用 Helm chart 安装和配置 Red Hat Advanced Cluster Security for Kubernetes,则必须具有 Helm 命令行界面(CLI) v3.2 或更新版本。使用
helm version命令验证已安装的 Helm 版本。 -
您必须有权访问 Red Hat Container Registry。有关从
registry.redhat.io下载镜像的详情,请参考 Red Hat Container Registry Authentication。
3.2.2. 安装 Central 的先决条件
一个名为 Central 的单一容器化服务处理数据持久性、API 交互和用户界面(Portal)访问。
中心需要持久性存储:
您可以使用持久性卷声明(PVC)提供存储。
注意只有在所有主机(或一组主机)挂载共享文件系统(如 NFS 共享或存储设备)时,您可以使用 hostPath 卷进行存储。否则,您的数据只保存在一个节点中。红帽不推荐使用 hostPath 卷。
- 使用固态磁盘(SSD)以获得最佳性能。但是,如果您没有 SSD,也可以使用另一个存储类型。
如果使用 web 代理或防火墙,您必须配置绕过规则,以允许
definitions.stackrox.io和collector-modules.stackrox.io域的流量并启用 Red Hat Advanced Cluster Security for Kubernetes 来信任您的 web 代理或防火墙。否则,对漏洞定义和内核支持软件包更新将失败。Red Hat Advanced Cluster Security for Kubernetes 需要访问:
-
definitions.stackrox.io,用于下载更新的漏洞定义。漏洞定义更新允许 Red Hat Advanced Cluster Security for Kubernetes 在发现新漏洞或其他数据源时维护最新的漏洞数据。 -
collector-modules.stackrox.io,用于下载更新的内核支持软件包。更新了内核支持软件包,确保 Red Hat Advanced Cluster Security for Kubernetes 可以监控最新的操作系统,并收集与容器内运行的网络流量和进程相关的数据。如果没有这些更新,当在集群中添加新节点,或者更新节点的操作系统后,Red Hat Advanced Cluster Security for Kubernetes 可能无法监控容器。
-
为安全起见,您应该在具有有限的管理访问权限的集群中部署 Central。
内存和存储要求
下表列出了安装和运行 Central 所需的最小内存和存储值。
| Central | CPU | 内存 | 存储 |
|---|---|---|---|
| Request(请求) | 1.5 个内核 | 4 GiB | 100 GiB |
| 限制 | 4 个核 | 8 GiB | 100 GiB |
大小指南
根据集群中的节点数量,使用以下计算资源和存储值。
| 节点 | 部署 | CPU | 内存 | 存储 |
|---|---|---|---|---|
| 最多 100 | 最多 1000 | 2 个内核 | 4 GiB | 100 GiB |
| 最多 500 | 最多 2000 | 4 个核 | 8 GiB | 100 GiB |
| 最多 500 | 最多 2000 | 8 个内核 | 12 - 16 GiB | 100 - 200 GiB |
3.2.3. 安装扫描器的先决条件
Red Hat Advanced Cluster Security for Kubernetes 包括一个称为 Scanner 的镜像漏洞策略。此服务扫描未被扫描程序集成到镜像 registry 中的镜像。
内存和存储要求
| 扫描程序 | CPU | 内存 |
|---|---|---|
| Request(请求) | 1.2 个内核 | 2700 MiB |
| 限制 | 5 个内核 | 8000 MiB |
3.2.4. 安装 Sensor 的先决条件
Sensor 监控 Kubernetes 和 OpenShift Container Platform 集群。这些服务目前部署到单个部署中,该服务处理与 Kubernetes API 的交互,并与 Collector 协调。
内存和存储要求
| Sensor | CPU | 内存 |
|---|---|---|
| Request(请求) | 1 个内核 | 1 GiB |
| 限制 | 2 个内核 | 4 GiB |
3.2.5. 安装 Admission 控制器的先决条件
Admission 控制器可防止用户创建违反您配置策略的工作负载。
内存和存储要求
默认情况下,准入控制服务运行 3 个副本。下表列出了每个副本的请求和限制。
| 准入控制器 | CPU | 内存 |
|---|---|---|
| Request(请求) | .05 个内核 | 100 MiB |
| 限制 | .5 个内核 | 500 MiB |
3.2.6. 安装 Collector 的先决条件
收集器监控安全集群中每个节点的运行时活动。它连接到 Sensor 来报告此信息。
要在具有统一可扩展固件接口(UEFI)以及启用了安全引导机制的系统中安装 Collector,您必须使用 eBPF 探测,因为内核模块没有被签名,且 UEFI 固件无法加载未签名的软件包。收集器在启动时用来识别安全引导状态,并切换到 eBPF 探测(如果需要)。
内存和存储要求
| Collector | CPU | 内存 |
|---|---|---|
| Request(请求) | .05 个内核 | 320 MiB |
| 限制 | .75 个内核 | 1 GiB |
收集器使用 mutable 镜像标签( <version>-latest),因此您可以更轻松地获得对较新的 Linux 内核版本的支持。对于镜像更新,代码、预先存在的内核模块或 eBPF 程序没有改变。更新只添加对初始发布后发布的新内核版本的支持的单个镜像层。
