5.5. 可选 - 使用 Operator 为 RHACS 配置安全集群配置选项

centralEndpoint

用于连接的 Central 实例的端点，包括端口号。如果使用一个支持非 gRPC 的负载均衡器，请使用带有 ws:// 的端点地址的 WebSocket 协议。如果您没有为此参数指定值，则 Sensor 会尝试连接到在同一命名空间中运行的 Central 实例。

clusterName

此集群的唯一名称，显示在 RHACS 门户中。使用此参数设置名称后，您将无法再次更改它。要更改名称，您必须删除并重新创建对象。

admissionControl.listenOnCreates

指定 true 以启用创建对象的防止策略强制。默认值为 false。

admissionControl.listenOnEvents

指定 true 来为 Kubernetes 事件启用监控和强制实施，如 port-forward 和 exec 事件。它用于通过 Kubernetes API 控制资源访问。默认值为 true。

admissionControl.listenOnUpdates

指定 true 来为对象更新启用防止策略强制。除非将 Listen On Creates 设为 true， 否则它不会生效。默认值为 false。

admissionControl.nodeSelector

如果您希望此组件只在特定节点上运行，您可以使用此参数配置节点选择器。

admissionControl.tolerations

如果节点选择器选择污点节点，请使用此参数指定污点容限键、值以及 Admission Control 的效果。此参数主要用于基础架构节点。

admissionControl.resources.limits

使用此参数覆盖准入控制器的默认资源限值。

admissionControl.resources.requests

使用此参数覆盖准入控制器的默认资源请求。

admissionControl.bypass

使用以下值之一配置绕过准入控制器强制：

默认值为 BreakGlassAnnotation。

admissionControl.contactImageScanners

使用以下值之一指定准入控制器是否必须连接到镜像扫描程序：

默认值为 DoNotScanInline。

admissionControl.timeoutSeconds

在将 Red Hat Advanced Cluster Security for Kubernetes 标记为失败前，使用这个参数指定 Red Hat Advanced Cluster Security for Kubernetes 的最大秒数。

scanner.analyzer.nodeSelector

将节点选择器标签指定为 label-key: label-value，以强制 Scanner 仅调度到具有指定标签的节点。

scanner.analyzer.resources.requests.memory

Scanner 容器的内存请求。使用此参数覆盖默认值。

scanner.analyzer.resources.requests.cpu

Scanner 容器的 CPU 请求。使用此参数覆盖默认值。

scanner.analyzer.resources.limits.memory

Scanner 容器的内存限值。使用此参数覆盖默认值。

scanner.analyzer.resources.limits.cpu

Scanner 容器的 CPU 限制。使用此参数覆盖默认值。

scanner.scaling.autoscaling

如果将此选项设置为 Disabled，Red Hat Advanced Cluster Security for Kubernetes 会禁用 Scanner 部署的自动扩展。默认值为 Enabled。

scanner.scaling.minReplicas

自动扩展的最小副本数。默认值为 2。

scanner.scaling.maxReplicas

自动扩展的最大副本数。默认值为 5。

scanner.scaling.replicas

默认副本数。默认值为 3。

scanner.Tolerations

如果节点选择器选择污点节点，请使用此参数为 Scanner 指定污点容限键、值和效果。

scanner.db.nodeSelector

将节点选择器标签指定为 label-key: label-value，以强制 Scanner DB 仅调度到具有指定标签的节点。

scanner.db.resources.requests.memory

Scanner DB 容器的内存请求。使用此参数覆盖默认值。

scanner.db.resources.requests.cpu

Scanner DB 容器的 CPU 请求。使用此参数覆盖默认值。

scanner.db.resources.limits.memory

Scanner DB 容器的内存限值。使用此参数覆盖默认值。

scanner.db.resources.limits.cpu

Scanner DB 容器的 CPU 限制。使用此参数覆盖默认值。

scanner.db.tolerations

如果节点选择器选择污点节点，请使用此参数为 Scanner DB 指定污点容限键、值和效果。

scanner.scannerComponent

如果将此选项设置为 Disabled，Red Hat Advanced Cluster Security for Kubernetes 不会部署 Scanner 部署。不要在 OpenShift Container Platform 集群上禁用 Scanner。默认值为 AutoSense。

imagePullSecrets.name

拉取镜像时考虑的其他镜像 pull secret。

perNode.collector.collection

系统级数据收集的方法。默认值为 EBPF。红帽建议将 EBPF 用于数据收集。如果您选择 NoCollection，Collector 不会报告任何有关网络活动的信息，以及进程执行。可用选项包括 NoCollection、EBPF 和 CORE_BPF。CORE_BPF 集合方法只是一个技术预览功能。

perNode.collector.imageFlavor

用于 Collector 的镜像类型。您可以将它指定为 Regular 或 Slim。Regular 镜像大小较大，但包含大多数内核的内核模块。如果使用 Slim 镜像类型，您必须确保您的 Central 实例连接到互联网，或定期接收 Collector 支持软件包更新。默认值为 Slim。

perNode.collector.resources.limits

使用此参数覆盖 Collector 的默认资源限值。

perNode.collector.resources.requests

使用此参数覆盖 Collector 的默认资源请求。

perNode.compliance.resources.requests

使用此参数覆盖 Compliance 的默认资源请求。

perNode.compliance.resources.limits

使用此参数覆盖 Compliance 的默认资源限值。

taintToleration

为确保对集群进行全面监控，Red Hat Advanced Cluster Security for Kubernetes 在每个节点上运行服务，包括污点节点。如果您不希望此行为，将此参数设置为 AvoidTaints。

sensor.nodeSelector

如果您希望 Sensor 仅在特定节点上运行，您可以配置节点选择器。

sensor.tolerations

如果节点选择器选择污点节点，请使用此参数指定污点容限键、值和 Sensor 的效果。此参数主要用于基础架构节点。

sensor.resources.limits

使用这个参数覆盖 Sensor 的默认资源限值。

sensor.resources.requests

使用这个参数覆盖 Sensor 的默认资源请求。

tls.additionalCAs

安全集群的其他可信 CA 证书。这些证书在使用私有证书颁发机构与服务集成时使用。

misc.createSCCs

把它设置为 true，以便为 Central 创建 SCC。它可能会在某些环境中出现问题。

customize.annotations

允许为 Central 部署指定自定义注解。

customize.envVars

用于配置环境变量的高级设置。

egress.connectivityPolicy

配置 Red Hat Advanced Cluster Security for Kubernetes 是否应该以在线或离线模式运行。在离线模式下，禁用对漏洞定义和内核模块的自动更新。