红帽全球峰会第 4 章 使用 Kubernetes 安全集群设置 RHACS 云服务
4.1. 其他平台上的 RHACS 云服务的先决条件
在为支持的 Kubernetes 平台安装 Red Hat Advanced Cluster Security Cloud Service (RHACS Cloud Service)前,您必须完成先决条件。
4.1.1. 常规要求
RHACS 有一些系统要求,在安装前必须满足这些系统要求。
您不能在以下环境中安装 Red Hat Advanced Cluster Security for Kubernetes:
- Amazon Elastic File System(Amazon EFS)。使用带有默认 gp2 卷类型的 Amazon Elastic Block Store(Amazon EBS)。
- 没有 SIMD 扩展 (SSE) 4.2 指令集的旧 CPU。例如,比 Sandy Bridge 和 AMD 处理器旧的 Intel 处理器(比 Bulldozer 旧)。(这些处理器在 2011 年发布。)
要安装 Red Hat Advanced Cluster Security for Kubernetes,您必须有:
- OpenShift Container Platform 版本 4.10 或更高版本。有关支持的自我管理和管理的 OpenShift Container Platform 版本的更多信息,请参阅 Red Hat Advanced Cluster Security for Kubernetes 支持政策。
带有支持的操作系统的集群节点:
- Red Hat Enterprise Linux CoreOS (RHCOS)、Red Hat Enterprise Linux (RHEL)。
- 受支持的受管 Kubernetes 平台。如需更多信息,请参阅 Red Hat Advanced Cluster Security for Kubernetes 支持政策。
带有支持的操作系统的集群节点:
- 操作系统 :Amazon Linux、CentOS、Container-Optimized OS from Google、Red Hat Enterprise Linux CoreOS(RHCOS)、Debian、Red Hat Enterprise Linux(RHEL) 或 Ubuntu。
处理器和内存 :2 个 CPU 内核和至少 3GiB RAM。
注意对于部署 Central,请使用带有四个或更多内核的机器类型,并应用调度策略在这样的节点上启动 Central。
架构: AMD64、ppc64le 或 s390x。
注意对于 ppc64le 或 s390x 架构,您只能在 IBM Power、IBM zSystems 和 IBM® LinuxONE 集群上安装 RHACS 安全集群服务。目前不支持 Central。
使用持久性卷声明(PVC)的持久性存储。
重要您不能在 Red Hat Advanced Cluster Security for Kubernetes 中使用 Ceph FS 存储。红帽建议为 Red Hat Advanced Cluster Security for Kubernetes 使用 RBD 块模式 PVC。
- 使用固态驱动器(SSD)以获得最佳性能。但是,如果您没有 SSD,也可以使用另一个存储类型。
使用 Helm chart 安装:
-
如果要使用 Helm chart 安装和配置 Red Hat Advanced Cluster Security for Kubernetes,则需要 Helm 命令行界面 (CLI) v3.2 或更新版本。使用
helm version命令验证已安装的 Helm 版本。 -
Red Hat OpenShift CLI (
oc)。 -
您必须有权访问 Red Hat Container Registry。有关从
registry.redhat.io下载镜像的详情,请参考 Red Hat Container Registry Authentication。
4.1.2. 安装扫描器的先决条件
Red Hat Advanced Cluster Security for Kubernetes 包括一个称为 Scanner 的镜像漏洞策略。此服务扫描未被扫描程序集成到镜像 registry 中的镜像。
内存和存储要求
| 扫描程序 | CPU | 内存 |
|---|---|---|
| Request(请求) | 1.2 个内核 | 2700 MiB |
| 限制 | 5 个内核 | 8000 MiB |
4.1.3. 安装 Sensor 的先决条件
Sensor 监控 Kubernetes 和 OpenShift Container Platform 集群。这些服务目前部署到单个部署中,该服务处理与 Kubernetes API 的交互,并与 Collector 协调。
内存和存储要求
| Sensor | CPU | 内存 |
|---|---|---|
| Request(请求) | 2 个内核 | 4 GiB |
| 限制 | 4 个核 | 8 GiB |
4.1.4. 安装 Admission 控制器的先决条件
Admission 控制器可防止用户创建违反您配置策略的工作负载。
内存和存储要求
默认情况下,准入控制服务运行 3 个副本。下表列出了每个副本的请求和限制。
| 准入控制器 | CPU | 内存 |
|---|---|---|
| Request(请求) | .05 个内核 | 100 MiB |
| 限制 | .5 个内核 | 500 MiB |
4.1.5. 安装 Collector 的先决条件
收集器监控安全集群中每个节点的运行时活动。它连接到 Sensor 来报告此信息。
要在具有统一可扩展固件接口(UEFI)以及启用了安全引导机制的系统中安装 Collector,您必须使用 eBPF 探测,因为内核模块没有被签名,且 UEFI 固件无法加载未签名的软件包。收集器在启动时用来识别安全引导状态,并切换到 eBPF 探测(如果需要)。
内存和存储要求
| Collector | CPU | 内存 |
|---|---|---|
| Request(请求) | .05 个内核 | 320 MiB |
| 限制 | .75 个内核 | 1 GiB |
收集器使用 mutable 镜像标签( <version>-latest),因此您可以更轻松地获得对较新的 Linux 内核版本的支持。对于镜像更新,代码、预先存在的内核模块或 eBPF 程序没有改变。更新只添加对初始发布后发布的新内核版本的支持的单个镜像层。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}