红帽全球峰会5.4. 以离线模式更新内核支持软件包
支持软件包已弃用,不会影响运行版本 4.5 或更高版本的安全集群。支持软件包上传仅影响版本 4.4 及更早版本上的安全集群。
收集器监控安全集群中每个节点的运行时活动。要监控活动,Collector 需要以 eBPF 程序形式的探测。
使用 CORE_BPF 集合方法时,探测不特定于任何内核版本,在更新底层内核后仍可使用。这个集合方法不要求您提供或更新支持软件包。
反之,当您使用集合方法 EBPF 时,探测特定于主机上安装的 Linux 内核版本。Collector 镜像包含一组内置探测,用于发行版本支持的内核。但是,后续的内核将需要较新的探测。
当 Red Hat Advanced Cluster Security for Kubernetes 以正常模式(连接到互联网)运行时,如果没有构建所需的探测,Collector 会自动下载新的探测。
在离线模式下,您可以手动下载包含所有最新且受支持的 Linux 内核版本探测的软件包,并将它们上传到 Central。然后,收集器从 Central 下载这些探测。
收集器按照以下顺序检查新探测:它会检查:
- 现有的 Collector 镜像。
- 内核支持软件包(如果您已向 Central 上传了一个)。
- 互联网上可用的红帽操作服务器。收集器使用 Central 的网络连接来检查和下载探测。
如果 Collector 在检查后没有获得新的探测,它会报告 CrashLoopBackoff 事件。
如果您的网络配置限制出站流量,您可以手动下载包含所有最新和支持的 Linux 内核版本探测的软件包,并将其上传到 Central。然后,收集器从 Central 下载这些探测,从而避免任何出站互联网访问。
5.4.1. 下载内核支持软件包
支持软件包已弃用,不会影响运行版本 4.5 或更高版本的安全集群。支持软件包上传仅影响版本 4.4 及更早版本上的安全集群。
如果您以离线模式运行 Red Hat Advanced Cluster Security for Kubernetes,您可以下载包含所有最新和支持的 Linux 内核版本探测的软件包,然后将其上传到 Central。
流程
- 从 https://install.stackrox.io/collector/support-packages/index.html 查看并下载可用支持软件包。内核支持列表根据 Red Hat Advanced Cluster Security for Kubernetes 版本对软件包进行分类。
5.4.2. 将内核支持软件包上传到 Central
您可以将内核支持软件包上传包含所有最新且受支持的 Linux 内核版本的探测到 Central。
前提条件
- 您必须具有带有管理员角色的 API 令牌。
-
您必须已安装了
roxctl命令行界面(CLI)。
流程
设置
ROX_API_TOKEN和ROX_CENTRAL_ADDRESS环境变量:export ROX_API_TOKEN=<api_token>
$ export ROX_API_TOKEN=<api_token>Copy to Clipboard Copied! Toggle word wrap Toggle overflow export ROX_CENTRAL_ADDRESS=<address>:<port_number>
$ export ROX_CENTRAL_ADDRESS=<address>:<port_number>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 运行以下命令来上传内核支持软件包:
roxctl collector support-packages upload <package_file> \ -e "$ROX_CENTRAL_ADDRESS"
$ roxctl collector support-packages upload <package_file> \ -e "$ROX_CENTRAL_ADDRESS"Copy to Clipboard Copied! Toggle word wrap Toggle overflow
- 当您上传包含上传到 Central 的内容的新支持软件包时,只会上传新文件。
当您上传一个新的支持软件包,其中包含名称相同的文件,但与 Central 上存在的内容不同,
roxctl会显示警告消息,且不会覆盖文件。-
您可以将
--overwrite选项与 upload 命令一起使用来覆盖文件。
-
您可以将
- 当您上传包含所需探测的支持软件包时,Central 不会发出任何出站请求(到互联网)以下载这个探测。Central 使用 support 软件包中的探测。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}