支持控制台(Console)开发人员开始试用联系人

5.2. 在其他平台上为 RHACS 安装 Central 服务

Central 是包含 RHACS 应用程序管理界面和服务的资源。它处理数据持久性、API 交互和 RHACS 门户访问。您可以使用同一中实例来保护多个 OpenShift Container Platform 或 Kubernetes 集群。

您可以使用以下方法之一安装 Central:

  • 使用 Helm chart 安装
  • 使用 roxctl CLI 安装(除非有需要使用它的特定安装需要)

5.2.1. 使用 Helm chart 安装 Central

您可以使用 Helm chart 安装 Central,而无需自定义任何自定义,使用默认值,或使用带有额外自定义配置参数的 Helm chart。

5.2.1.1. 使用 Helm chart 安装 Central,而无需自定义

您可以在没有自定义的情况下在 Red Hat OpenShift 集群上安装 RHACS。您必须添加 Helm Chart 仓库并安装 central-services Helm Chart,以安装 Central 和 Scanner 的集中组件。

5.2.1.1.1. 添加 Helm Chart 仓库

流程

  • 添加 RHACS chart 存储库。 

    $ helm repo add rhacs https://mirror.openshift.com/pub/rhacs/charts/

Red Hat Advanced Cluster Security for Kubernetes 的 Helm 仓库包括用于安装不同组件的 Helm chart,包括:

  • 用于安装集中组件(Central 和 Scanner)的中央服务Helm Chart(central-services)。

    注意

    您只部署集中式组件一次,并可使用同一安装监控多个独立集群。

  • 安全集群服务 Helm Chart (secured-cluster-services),用于安装 per-cluster 和 per-node 组件(Sensor、Admission Controller、Collector 和 Scanner-slim)。

    注意

    将 per-cluster 组件部署到要监控的每个集群中,并在要监控的所有节点中部署 per-node 组件。

验证

  • 运行以下命令来验证添加的 chart 存储库: 

    $ helm search repo -l rhacs/
5.2.1.1.2. 在不自定义的情况下安装 central-services Helm chart

使用以下说明安装 central-services Helm Chart 以部署集中组件(Central 和 Scanner)。

先决条件

流程

  • 运行以下命令安装 Central 服务并使用一个路由来公开 Central: 

    $ helm install -n stackrox \
  --create-namespace stackrox-central-services rhacs/central-services \
  --set imagePullSecrets.username=<username> \1
  --set imagePullSecrets.password=<password> \2
  --set central.exposure.route.enabled=true
    1
    为 Red Hat Container Registry 身份验证包含 pull secret 的用户名。
    2
    包括用于 Red Hat Container Registry 身份验证的 pull secret 的密码。

  • 或者,运行以下命令安装 Central 服务并使用一个负载均衡器来公开 Central: 

    $ helm install -n stackrox \
  --create-namespace stackrox-central-services rhacs/central-services \
  --set imagePullSecrets.username=<username> \1
  --set imagePullSecrets.password=<password> \2
  --set central.exposure.loadBalancer.enabled=true
    1
    为 Red Hat Container Registry 身份验证包含 pull secret 的用户名。
    2
    包括用于 Red Hat Container Registry 身份验证的 pull secret 的密码。

  • 或者,运行以下命令安装 Central 服务并使用一个端口转发来公开 Central: 

    $ helm install -n stackrox \
  --create-namespace stackrox-central-services rhacs/central-services \
  --set imagePullSecrets.username=<username> \1
  --set imagePullSecrets.password=<password>  2
    1
    为 Red Hat Container Registry 身份验证包含 pull secret 的用户名。
    2
    包括用于 Red Hat Container Registry 身份验证的 pull secret 的密码。
重要

  • 如果要在需要代理连接到外部服务的集群中安装 Red Hat Advanced Cluster Security for Kubernetes,则必须使用 proxyConfig 参数指定代理配置。例如: 

    env:
  proxyConfig: |
    url: http://proxy.name:port
    username: username
    password: password
    excludes:
    - some.domain
  • 如果您已在安装的命名空间中创建了一个或多个镜像 pull secret,而不是使用用户名和密码,您可以使用 --set imagePullSecrets.useExisting="<pull-secret-1;pull-secret-2>"

  • 不要使用镜像 pull secret:

    • 如果您要从 quay.io/stackrox-io 或不需要身份验证的专用网络中的 registry 拉取镜像。使用 --set imagePullSecrets.allowNone=true,而不是指定用户名和密码。
    • 如果您已经在安装的命名空间中的默认服务帐户中配置了镜像 pull secret。使用 --set imagePullSecrets.useFromDefaultServiceAccount=true,而不是指定用户名和密码。

安装命令的输出包括:

  • 自动生成的管理员密码。
  • 关于存储所有配置值的说明。
  • Helm 生成的任何警告。

5.2.1.2. 使用带有自定义的 Helm chart 安装 Central

您可以使用 helm installhelm upgrade 命令的 Helm Chart 配置参数在 Red Hat OpenShift 集群上安装 RHACS。您可以使用 --set 选项或创建 YAML 配置文件来指定这些参数。

创建以下文件来配置 Helm chart 来安装 Red Hat Advanced Cluster Security for Kubernetes:

  • 公共配置文件 values-public.yaml :使用此文件保存所有非敏感配置选项。
  • 专用配置文件 values-private.yaml :使用此文件保存所有敏感配置选项。确保您安全地存储这个文件。
  • 配置文件 declarative-config-values.yaml :如果您使用声明性配置将声明性配置挂载添加到 Central,请创建此文件。
5.2.1.2.1. 专用配置文件

本节列出了 values-private.yaml 文件的可配置参数。这些参数没有默认值。

5.2.1.2.1.1. 镜像 pull secret

从 registry 中拉取镜像所需的凭证取决于以下因素:

  • 如果使用自定义 registry,您必须指定这些参数:

    • imagePullSecrets.username
    • imagePullSecrets.password
    • image.registry

  • 如果不使用用户名和密码登录到自定义 registry,您必须指定以下参数之一:

    • imagePullSecrets.allowNone
    • imagePullSecrets.useExisting
    • imagePullSecrets.useFromDefaultServiceAccount
参数Description

imagePullSecrets.username

用于登录到 registry 的帐户的用户名。

imagePullSecrets.password

用于登录到 registry 的帐户的密码。

imagePullSecrets.allowNone

如果您使用自定义 registry,且允许在没有凭证的情况下拉取镜像,请使用 true

imagePullSecrets.useExisting

以逗号分隔的 secret 列表作为值。例如,secret1, secret2, secretN。如果您已在目标命名空间中创建了预先存在的镜像 pull secret,则使用此选项。

imagePullSecrets.useFromDefaultServiceAccount

如果您已经在目标命名空间中配置了具有足够范围的镜像 pull secret 的默认服务帐户,请使用 true

5.2.1.2.1.2. 代理配置

如果要在需要代理连接到外部服务的集群中安装 Red Hat Advanced Cluster Security for Kubernetes,则必须使用 proxyConfig 参数指定代理配置。例如: 

env:
  proxyConfig: |
    url: http://proxy.name:port
    username: username
    password: password
    excludes:
    - some.domain
参数Description

env.proxyConfig

您的代理配置。

5.2.1.2.1.3. Central

Central 的可配置参数。

对于新安装,您可以跳过以下参数:

  • central.jwtSigner.key
  • central.serviceTLS.cert
  • central.serviceTLS.key
  • central.adminPassword.value
  • central.adminPassword.htpasswd
  • central.db.serviceTLS.cert
  • central.db.serviceTLS.key
  • central.db.password.value
  • 当您没有为这些参数指定值时,Helm Chart 会为它们自动生成值。
  • 如果要修改这些值,您可以使用 helm upgrade 命令并使用 --set 选项指定值。
重要

对于设置管理员密码,您只能使用 central.adminPassword.valuecentral.adminPassword.htpasswd,但不能同时使用两者。

参数Description

central.jwtSigner.key

RHACS 应该用来签名 JSON Web 令牌(JWT)的私钥以进行身份验证。

central.serviceTLS.cert

Central 服务应用于部署中心的内部证书。

central.serviceTLS.key

Central 服务应使用的内部证书的私钥。

central.defaultTLS.cert

Central 应该使用的用户面向用户的证书。RHACS 将此证书用于 RHACS 门户。

  • 对于新安装,您必须提供证书,否则 RHACS 使用自签名证书安装 Central。
  • 如果要升级,RHACS 使用现有的证书及其密钥。

central.defaultTLS.key

Central 应使用面向用户的证书的私钥。

  • 对于新安装,您必须提供私钥,否则 RHACS 使用自签名证书安装 Central。
  • 如果要升级,RHACS 使用现有的证书及其密钥。

central.db.password.value

Central 数据库的连接密码。

central.adminPassword.value

用于登录到 RHACS 的管理员密码。

central.adminPassword.htpasswd

用于登录到 RHACS 的管理员密码。此密码以散列格式存储,使用 bcrypt。

central.db.serviceTLS.cert

Central DB 服务应用于部署 Central DB 的内部证书。

central.db.serviceTLS.key

Central DB 服务应使用的内部证书的私钥。

central.db.password.value

用于连接到 Central DB 的密码。

注意

如果使用 central.adminPassword.htpasswd 参数,则必须使用 bcrypt 编码的密码哈希。您可以运行 htpasswd -nB admin 命令来生成密码哈希。例如, 

htpasswd: |
  admin:<bcrypt-hash>
5.2.1.2.1.4. 扫描程序

StackRox Scanner 和 Scanner V4 的可配置参数。

对于新的安装,您可以跳过以下参数,以及 Helm Chart 自动生成值。否则,如果您升级到新版本,请指定以下参数的值:

  • scanner.dbPassword.value
  • scanner.serviceTLS.cert
  • scanner.serviceTLS.key
  • scanner.dbServiceTLS.cert
  • scanner.dbServiceTLS.key
  • scannerV4.db.password.value
  • scannerV4.indexer.serviceTLS.cert
  • scannerV4.indexer.serviceTLS.key
  • scannerV4.matcher.serviceTLS.cert
  • scannerV4.matcher.serviceTLS.key
  • scannerV4.db.serviceTLS.cert
  • scannerV4.db.serviceTLS.key
参数Description

scanner.dbPassword.value

用于通过 Scanner 数据库进行身份验证的密码。不要修改此参数,因为 RHACS 会在内部自动创建和使用其值。

scanner.serviceTLS.cert

StackRox Scanner 服务应用于部署 StackRox Scanner 的内部证书。

scanner.serviceTLS.key

Scanner 服务使用的内部证书的私钥。

scanner.dbServiceTLS.cert

Scanner-db 服务应用于部署 Scanner 数据库的内部证书。

scanner.dbServiceTLS.key

Scanner-db 服务应使用的内部证书的私钥。

scannerV4.db.password.value

用于通过 Scanner V4 数据库进行身份验证的密码。不要修改此参数,因为 RHACS 会在内部自动创建和使用其值。

scannerV4.db.serviceTLS.cert

Scanner V4 DB 服务应用于部署 Scanner V4 数据库的内部证书。

scannerV4.db.serviceTLS.key

Scanner V4 DB 服务应使用的内部证书的私钥。

scannerV4.indexer.serviceTLS.cert

Scanner V4 服务应用于部署 Scanner V4 Indexer 的内部证书。

scannerV4.indexer.serviceTLS.key

Scanner V4 Indexer 应该使用的内部证书的私钥。

scannerV4.matcher.serviceTLS.cert

Scanner V4 服务应用于部署 Scanner V4 Matcher 的内部证书。

scannerV4.matcher.serviceTLS.key

Scanner V4 Matcher 应该使用的内部证书的私钥。

5.2.1.2.2. 公共配置文件

本节列出了 values-public.yaml 文件的可配置参数。

5.2.1.2.2.1. 镜像 pull secret

镜像拉取 secret 是从 registry 中拉取镜像所需的凭证。

参数Description

imagePullSecrets.allowNone

如果您使用自定义 registry,且允许在没有凭证的情况下拉取镜像,请使用 true

imagePullSecrets.useExisting

以逗号分隔的 secret 列表作为值。例如,secret1, secret2.如果您已在目标命名空间中创建了预先存在的镜像 pull secret,则使用此选项。

imagePullSecrets.useFromDefaultServiceAccount

如果您已经在目标命名空间中配置了具有足够范围的镜像 pull secret 的默认服务帐户,请使用 true

5.2.1.2.2.2. Image

镜像声明配置来设置主 registry,Helm Chart 用来为 central.image,scanner.image,scanner.dbImage,scannerV4.image, 和 scannerV4.db.image 参数解析镜像。

参数Description

image.registry

镜像 registry 的地址。使用主机名,如 registry.redhat.io 或远程 registry 主机名,如 us.gcr.io/stackrox-mirror

5.2.1.2.2.3. 环境变量

Red Hat Advanced Cluster Security for Kubernetes 会自动检测集群环境,并为 env.openshiftenv.istioenv.platform 设置值。仅设置这些值来覆盖自动集群环境检测。

参数Description

env.openshift

使用 true 在 OpenShift Container Platform 集群上安装并覆盖自动集群环境检测。

env.istio

使用 true 在启用了 Istio 的集群上安装并覆盖自动集群环境检测。

env.platform

安装 RHACS 的平台。将其值设为 defaultgke 以指定集群平台并覆盖自动集群环境检测。

env.offlineMode

使用 true 在离线模式中使用 RHACS。

5.2.1.2.2.4. 其他可信证书颁发机构

RHACS 自动引用要信任的系统根证书。当 Central、StackRox Scanner 或 Scanner V4 必须联系到使用您机构中授权或全局可信合作伙伴机构发布的证书的服务,您可以使用以下参数来指定对这些服务的信任:

参数Description

additionalCAs.<certificate_name>

指定要信任的根证书颁发机构的 PEM 编码证书。

5.2.1.2.2.5. 默认网络策略

要在网络级别提供安全性,RHACS 在安装了 Central 的命名空间中创建默认 NetworkPolicy 资源。这些网络策略允许在特定端口上到特定组件的入站网络数据。如果您不希望 RHACS 创建这些策略,则将此参数设置为 Disabled。默认值为 Enabled

警告

禁用创建默认网络策略可能会破坏 RHACS 组件之间的通信。如果禁用创建默认策略,则必须创建自己的网络策略来允许此通信。

参数描述

network.enableNetworkPolicies

指定 RHACS 是否已创建默认网络策略来允许组件之间的通信。要创建自己的网络策略,请将此参数设置为 False。默认值为 True

5.2.1.2.2.6. Central

Central 的可配置参数。

  • 您必须将持久性存储选项指定为 hostPathpersistentVolumeClaim
  • 用于公开外部访问的中央部署。您必须指定一个参数,可以是 central.exposure.loadBalancercentral.exposure.nodePortcentral.exposure.route。如果没有为这些参数指定任何值,您必须手动公开 Central,或使用端口转发(port-forwarding)访问它。

下表包含外部 PostgreSQL 数据库的设置。

参数Description

central.declarativeConfiguration.mounts.configMaps

挂载用于声明配置的配置映射。

Central.declarativeConfiguration.mounts.secrets

挂载用于声明配置的 secret。

central.endpointsConfig

Central 的端点配置选项。

central.nodeSelector

如果节点选择器选择污点节点,请使用此参数指定 taint toleration key、value 和 effect。此参数主要用于基础架构节点。

central.tolerations

如果节点选择器选择污点节点,请使用此参数指定 taint toleration key、value 和 effect。此参数主要用于基础架构节点。

central.exposeMonitoring

指定 true,以在端口号 9090 上为 Central 公开 Prometheus 指标端点。

central.image.registry

用于覆盖 Central 镜像的全局 image.registry 参数的自定义 registry。

central.image.name

覆盖默认 Central 镜像名称(main)的自定义镜像名称。

central.image.tag

覆盖 Central 镜像默认标签的自定义镜像标签。如果在新安装过程中指定了自己的镜像标签,则您必须在运行 helm upgrade 命令升级到新版本时手动增加此标签。如果您 mirror 了自己的 registry 中的镜像,请不要修改原始镜像标签。

central.image.fullRef

Central 镜像的完整参考,包括 registry 地址、镜像名称和镜像标签。为此参数设置值会覆盖 central.image.registrycentral.image.namecentral.image.tag 参数。

central.resources.requests.memory

Central 的内存请求。

central.resources.requests.cpu

Central 的 CPU 请求。

central.resources.limits.memory

Central 的内存限值。

central.resources.limits.cpu

Central 的 CPU 限制。

central.persistence.hostPath

RHACS 应该创建数据库卷的节点上的路径。红帽不推荐使用这个选项。

central.persistence.persistentVolumeClaim.claimName

您要使用的持久性卷声明(PVC)的名称。

central.persistence.persistentVolumeClaim.createClaim

使用 true 创建新 PVC 或 false 来使用现有的声明。

central.persistence.persistentVolumeClaim.size

由指定声明管理的持久性卷的大小(以 GiB 为单位)。

central.exposure.loadBalancer.enabled

使用 true 来通过使用负载均衡器公开 Central。

central.exposure.loadBalancer.port

要公开 Central 的端口号。默认端口号为 443。

central.exposure.nodePort.enabled

使用 true 通过节点端口服务公开 Central。

central.exposure.nodePort.port

要公开 Central 的端口号。当您跳过此参数时,OpenShift Container Platform 会自动分配一个端口号。如果您使用节点端口公开 RHACS,红帽建议您不要指定端口号。

central.exposure.route.enabled

使用 true 通过路由公开 Central。此参数仅适用于 OpenShift Container Platform 集群。

central.db.external

使用 true 指定不应部署 Central DB,并使用外部数据库。

central.db.source.connectionString

用于连接到数据库的 Central 的连接字符串。这仅在将 central.db.external 设置为 true 时使用。连接字符串必须采用 keyword/value 格式,如 PostgreSQL 文档中的 "Additional resources" 所述。

  • 仅支持 PostgreSQL 13。
  • 不支持通过 PgBouncer 连接。
  • 用户必须是超级用户,能够创建和删除数据库。

central.db.source.minConns

与要建立的数据库的最小连接数。

central.db.source.maxConns

与要建立的数据库的连接数上限。

central.db.source.statementTimeoutMs

单个查询或事务的毫秒可以针对数据库处于活跃状态。

central.db.postgresConfig

用于中央 DB 的 postgresql.conf,如 PostgreSQL 文档中的"添加资源"中所述。

central.db.hbaConfig

用于 Central DB 的 pg_hba.conf,如 PostgreSQL 文档中的 "Additional resources" 所述。

central.db.nodeSelector

将节点选择器标签指定为 label-key: label-value,以强制 Central DB 仅调度到具有指定标签的节点。

central.db.image.registry

一个自定义 registry,用于覆盖 Central DB 镜像的全局 image.registry 参数。

central.db.image.name

覆盖默认中央 DB 镜像名称(central-db)的自定义镜像名称。

central.db.image.tag

覆盖 Central DB 镜像默认标签的自定义镜像标签。如果在新安装过程中指定了自己的镜像标签,则您必须在运行 helm upgrade 命令升级到新版本时手动增加此标签。如果您在自己的 registry 中镜像 Central DB 镜像,请不要修改原始镜像标签。

central.db.image.fullRef

Central DB 镜像的完整参考,包括 registry 地址、镜像名称和镜像标签。为此参数设置值会覆盖 central.db.image.registrycentral.db.image.namecentral.db.image.tag 参数。

central.db.resources.requests.memory

Central DB 的内存请求。

central.db.resources.requests.cpu

Central DB 的 CPU 请求。

central.db.resources.limits.memory

Central DB 的内存限值。

central.db.resources.limits.cpu

Central 数据库的 CPU 限制。

central.db.persistence.hostPath

RHACS 应该创建数据库卷的节点上的路径。红帽不推荐使用这个选项。

central.db.persistence.persistentVolumeClaim.claimName

您要使用的持久性卷声明(PVC)的名称。

central.db.persistence.persistentVolumeClaim.createClaim

使用 true 创建一个新的持久性卷声明,或 false 来使用现有的声明。

central.db.persistence.persistentVolumeClaim.size

由指定声明管理的持久性卷的大小(以 GiB 为单位)。

5.2.1.2.2.7. stackrox Scanner

下表列出了 StackRox Scanner 的可配置参数。这是用于节点和平台扫描的扫描程序。如果没有启用 Scanner V4,StackRox 扫描程序也会执行镜像扫描。从版本 4.4 开始,可以启用 Scanner V4 来提供镜像扫描。有关 Scanner V4 参数,请参见下一表。

参数Description

scanner.disable

使用 true 在没有 StackRox Scanner 的情况下安装 RHACS。当您与 helm upgrade 命令一起使用时,Helm 会删除现有的 StackRox Scanner 部署。

scanner.exposeMonitoring

指定 true,以在端口号 9090 上公开 StackRox Scanner 的 Prometheus 指标端点。

scanner.replicas

为 StackRox Scanner 部署创建的副本数。当您将其与 scanner.autoscaling 参数搭配使用时,这个值会设置初始副本数。

scanner.logLevel

为 StackRox Scanner 配置日志级别。红帽建议您不要更改默认的日志级别值(INFO)。

scanner.nodeSelector

将节点选择器标签指定为 label-key: label-value,以强制 StackRox Scanner 仅调度到具有指定标签的节点。

scanner.tolerations

如果节点选择器选择污点节点,请使用此参数为 StackRox Scanner 指定污点容限键、值和效果。此参数主要用于基础架构节点。

scanner.autoscaling.disable

使用 true 为 StackRox Scanner 部署禁用自动扩展。禁用自动扩展时,minReplicasmaxReplicas 参数没有任何效果。

scanner.autoscaling.minReplicas

自动扩展的最小副本数。

scanner.autoscaling.maxReplicas

自动扩展的最大副本数。

scanner.resources.requests.memory

StackRox Scanner 的内存请求。

scanner.resources.requests.cpu

StackRox Scanner 的 CPU 请求。

scanner.resources.limits.memory

StackRox Scanner 的内存限值。

scanner.resources.limits.cpu

StackRox Scanner 的 CPU 限制。

scanner.dbResources.requests.memory

StackRox Scanner 数据库部署的内存请求。

scanner.dbResources.requests.cpu

StackRox Scanner 数据库部署的 CPU 请求。

scanner.dbResources.limits.memory

StackRox Scanner 数据库部署的内存限值。

scanner.dbResources.limits.cpu

StackRox Scanner 数据库部署的 CPU 限制。

scanner.image.registry

StackRox Scanner 镜像的自定义 registry。

scanner.image.name

覆盖默认 StackRox Scanner 镜像名称(扫描程序)的自定义镜像名称。

scanner.dbImage.registry

StackRox Scanner DB 镜像的自定义 registry。

scanner.dbImage.name

覆盖默认 StackRox Scanner DB 镜像名称(scanner-db)的自定义镜像名称。

scanner.dbNodeSelector

将节点选择器标签指定为 label-key: label-value,以强制 StackRox Scanner DB 仅调度到具有指定标签的节点。

scanner.dbTolerations

如果节点选择器选择污点节点,请使用此参数为 StackRox Scanner DB 指定污点容限键、值和效果。此参数主要用于基础架构节点。

5.2.1.2.2.8. scanner V4

下表列出了 Scanner V4 的可配置参数。

参数描述

scannerV4.db.persistence.persistentVolumeClaim.claimName

为 Scanner V4 管理持久性数据的 PVC 名称。如果没有具有指定名称的 PVC,则会创建它。如果没有设置,则默认值为 scanner-v4-db。要防止数据丢失,当删除 Central 时,PVC 不会被自动删除。

scannerV4.disable

使用 false 启用 Scanner V4。设置此参数时,还必须通过设置 scanner.disable=false 来启用 StackRox Scanner。在达到 StackRox Scanner 和 Scanner V4 之间的功能奇偶校验前,Scanner V4 只能与 StackRox Scanner 结合使用。不支持在没有启用 StackRox Scanner 的情况下启用 Scanner V4。当使用 helm upgrade 命令将此参数设置为 true 时,Helm 会删除现有的 Scanner V4 部署。

scannerV4.exposeMonitoring

指定 true,以在端口号 9090 上为 Scanner V4 公开 Prometheus 指标端点。

scannerV4.indexer.replicas

为 Scanner V4 Indexer 部署创建的副本数。当您将它与 scannerV4.indexer.autoscaling 参数一起使用时,这个值会设置初始副本数。

scannerV4.indexer.logLevel

为 Scanner V4 Indexer 配置日志级别。红帽建议您不要更改默认的日志级别值(INFO)。

scannerV4.indexer.nodeSelector

将节点选择器标签指定为 label-key: label-value,以强制 Scanner V4 Indexer 仅调度到具有指定标签的节点。

scannerV4.indexer.tolerations

如果节点选择器选择污点节点,请使用此参数为 Scanner V4 Indexer 指定污点容限键、值和效果。此参数主要用于基础架构节点。

scannerV4.indexer.autoscaling.disable

使用 true 为 Scanner V4 Indexer 部署禁用自动扩展。禁用自动扩展时,minReplicasmaxReplicas 参数没有任何效果。

scannerV4.indexer.autoscaling.minReplicas

自动扩展的最小副本数。

scannerV4.indexer.autoscaling.maxReplicas

自动扩展的最大副本数。

scannerV4.indexer.resources.requests.memory

Scanner V4 Indexer 的内存请求。

scannerV4.indexer.resources.requests.cpu

Scanner V4 Indexer 的 CPU 请求。

scannerV4.indexer.resources.limits.memory

Scanner V4 Indexer 的内存限值。

scannerV4.indexer.resources.limits.cpu

Scanner V4 Indexer 的 CPU 限制。

scannerV4.matcher.replicas

为 Scanner V4 Matcher 部署创建的副本数。当您将其与 scannerV4.matcher.autoscaling 参数一起使用时,这个值会设置初始副本数。

scannerV4.matcher.logLevel

红帽建议您不要更改默认的日志级别值(INFO)。

scannerV4.matcher.nodeSelector

将节点选择器标签指定为 label-key: label-value,以强制 Scanner V4 Matcher 仅调度到具有指定标签的节点。

scannerV4.matcher.tolerations

如果节点选择器选择污点节点,请使用此参数为 Scanner V4 Matcher 指定污点容限键、值和效果。此参数主要用于基础架构节点。

scannerV4.matcher.autoscaling.disable

使用 true 为 Scanner V4 Matcher 部署禁用自动扩展。禁用自动扩展时,minReplicasmaxReplicas 参数没有任何效果。

scannerV4.matcher.autoscaling.minReplicas

自动扩展的最小副本数。

scannerV4.matcher.autoscaling.maxReplicas

自动扩展的最大副本数。

scannerV4.matcher.resources.requests.memory

Scanner V4 Matcher 的内存请求。

scannerV4.matcher.resources.requests.cpu

Scanner V4 Matcher 的 CPU 请求。

scannerV4.db.resources.requests.memory

Scanner V4 数据库部署的内存请求。

scannerV4.db.resources.requests.cpu

Scanner V4 数据库部署的 CPU 请求。

scannerV4.db.resources.limits.memory

Scanner V4 数据库部署的内存限值。

scannerV4.db.resources.limits.cpu

Scanner V4 数据库部署的 CPU 限制。

scannerV4.db.nodeSelector

将节点选择器标签指定为 label-key: label-value,以强制 Scanner V4 DB 仅调度到具有指定标签的节点。

scannerV4.db.tolerations

如果节点选择器选择污点节点,请使用此参数为 Scanner V4 DB 指定污点容限键、值和效果。此参数主要用于基础架构节点。

scannerV4.db.image.registry

Scanner V4 DB 镜像的自定义 registry。

scannerV4.db.image.name

覆盖默认 Scanner V4 DB 镜像名称(scanner-v4-db)的自定义镜像名称。

scannerV4.image.registry

Scanner V4 镜像的自定义 registry。

scannerV4.image.name

覆盖默认 Scanner V4 镜像名称(scanner-v4)的自定义镜像名称

5.2.1.2.2.9. 自定义

使用这些参数为 RHACS 创建的所有对象指定附加属性。

参数Description

customize.labels

附加到所有对象的自定义标签。

customize.annotations

附加到所有对象的自定义注解。

customize.podLabels

附加到所有部署的自定义标签。

customize.podAnnotations

附加到所有部署的自定义注解。

customize.envVars

所有对象中所有容器的自定义环境变量。

customize.central.labels

附加到 Central 创建的所有对象的自定义标签。

customize.central.annotations

附加到中央创建的所有对象的自定义注解。

customize.central.podLabels

附加到所有中央部署的自定义标签。

customize.central.podAnnotations

附加到所有中央部署的自定义注解。

customize.central.envVars

所有中央容器的自定义环境变量。

customize.scanner.labels

附加到 Scanner 创建的所有对象的自定义标签。

customize.scanner.annotations

附加到 Scanner 创建的所有对象的自定义注解。

customize.scanner.podLabels

附加到所有 Scanner 部署的自定义标签。

customize.scanner.podAnnotations

附加到所有 Scanner 部署的自定义注解。

customize.scanner.envVars

所有 Scanner 容器的自定义环境变量。

customize.scanner-db.labels

附加到 Scanner DB 创建的所有对象的自定义标签。

customize.scanner-db.annotations

附加到 Scanner DB 创建的所有对象的自定义注解。

customize.scanner-db.podLabels

附加到所有 Scanner DB 部署的自定义标签。

customize.scanner-db.podAnnotations

附加到所有 Scanner DB 部署的自定义注解。

customize.scanner-db.envVars

所有 Scanner DB 容器的自定义环境变量。

customize.scanner-v4-indexer.labels

附加到 Scanner V4 Indexer 创建并放入属于它们的 pod 的所有对象的自定义标签。

customize.scanner-v4-indexer.annotations

附加到 Scanner V4 Indexer 创建并属于它们的 pod 的所有对象的自定义注解。

customize.scanner-v4-indexer.podLabels

附加到 Scanner V4 Indexer 创建并放入属于它们的 pod 的所有对象的自定义标签。

customize.scanner-v4-indexer.podAnnotations

附加到 Scanner V4 Indexer 创建并属于它们的 pod 的所有对象的自定义注解。

customize.scanner-4v-indexer.envVars

所有 Scanner V4 Indexer 容器以及属于它们的 pod 的自定义环境变量。

customize.scanner-v4-matcher.labels

附加到 Scanner V4 Matcher 创建并属于它们的 pod 的所有对象的自定义标签。

customize.scanner-v4-matcher.annotations

附加到 Scanner V4 Matcher 创建并属于它们的 pod 的所有对象的自定义注解。

customize.scanner-v4-matcher.podLabels

附加到 Scanner V4 Matcher 创建并属于它们的 pod 的所有对象的自定义标签。

customize.scanner-v4-matcher.podAnnotations

附加到 Scanner V4 Matcher 创建并属于它们的 pod 的所有对象的自定义注解。

customize.scanner-4v-matcher.envVars

所有 Scanner V4 Matcher 容器以及属于它们的 pod 的自定义环境变量。

customize.scanner-v4-db.labels

附加到 Scanner V4 DB 创建并属于它们的 pod 的所有对象的自定义标签。

customize.scanner-v4-db.annotations

附加到 Scanner V4 DB 创建并属于它们的 pod 的所有对象的自定义注解。

customize.scanner-v4-db.podLabels

附加到 Scanner V4 DB 创建并属于它们的 pod 的所有对象的自定义标签。

customize.scanner-v4-db.podAnnotations

附加到 Scanner V4 DB 创建并属于它们的 pod 的所有对象的自定义注解。

customize.scanner-4v-db.envVars

所有 Scanner V4 DB 容器以及属于它们的 pod 的自定义环境变量。

您还可以使用:

  • customize.other.service/*.labelscustomize.other.service/*.annotations 参数,为所有对象指定标签和注解。
  • 或者,提供特定的服务名称,例如 customize.other.service/central-loadbalancer.labelscustomize.other.service/central-loadbalancer.annotations 作为参数,并设置它们的值。
5.2.1.2.2.10. 高级自定义
重要

本节中指定的参数仅用于信息。红帽不支持带有修改的命名空间和发行版本名称的 RHACS 实例。

参数Description

allowNonstandardNamespace

使用 true 将 RHACS 部署到默认命名空间 stackrox 以外的命名空间中。

allowNonstandardReleaseName

使用 true 使用默认 stackrox-central-services 以外的发行版本名称部署 RHACS。

5.2.1.2.3. 声明性配置值

要使用声明性配置,您必须创建一个 YAML 文件(在这个示例中,名为 "declarative-config-values.yaml")),以将声明性配置挂载添加到 Central。此文件用于 Helm 安装。

流程

  1. 使用以下示例创建 YAML 文件(本例中为 declarative-config-values.yaml): 

    central:
  declarativeConfiguration:
    mounts:
      configMaps:
        - declarative-configs
      secrets:
        - sensitive-declarative-configs
  2. 安装 Central 服务 Helm chart,如"安装 central-services Helm Chart"中所述,引用 declarative-config-values.yaml 文件。

其他资源

5.2.1.2.4. 安装 central-services Helm chart

配置 values-public.yamlvalues-private.yaml 文件后,安装 central-services Helm Chart 来部署集中式组件(Central 和 Scanner)。

流程

  • 运行以下命令: 

    $ helm install -n stackrox --create-namespace \
  stackrox-central-services rhacs/central-services \
  -f <path_to_values_public.yaml> -f <path_to_values_private.yaml> 1
    1
    使用 -f 选项指定 YAML 配置文件的路径。
注意

可选:如果使用声明性配置,请将 -f <path_to_declarative-config-values.yaml 添加到此命令,以便在 Central 中挂载声明性配置文件。

5.2.1.3. 在部署 central-services Helm Chart 后更改配置选项

在部署 central-services Helm Chart 后,您可以对任何配置选项进行更改。

当使用 helm upgrade 命令进行更改时,会应用以下准则和要求:

  • 您还可以使用 --set--set-file 参数指定配置值。但是,这些选项不会被保存,每当您进行更改时,您必须手动指定所有选项。

  • 有些更改(如启用 Scanner V4 )需要为组件发布新证书。因此,在进行这些更改时,您必须提供 CA。

    • 如果 CA 在初始安装过程中由 Helm Chart 生成,则必须从集群中检索这些值,并将其提供给 helm upgrade 命令。central-services Helm Chart 的安装后备注包括用于检索自动生成的值的命令。
    • 如果 CA 在 Helm Chart 之外生成,并在安装 central-services Chart 的过程中提供,那么您必须在使用 helm upgrade 命令时再次执行该操作,例如,使用带有 helm upgrade 命令的 --reuse-values 标志。

流程

  1. 使用新值更新 values-public.yamlvalues-private.yaml 配置文件。

  2. 运行 helm upgrade 命令并使用 -f 选项指定配置文件: 

    $ helm upgrade -n stackrox \
  stackrox-central-services rhacs/central-services \
  --reuse-values \1
  -f <path_to_init_bundle_file \
  -f <path_to_values_public.yaml> \
  -f <path_to_values_private.yaml>
    1
    如果您修改了没有包括在 values_public.yamlvalues_private.yaml 文件中的值,请包含 --reuse-values 参数。

5.2.2. 使用 roxctl CLI 安装 Central

警告

对于生产环境,红帽建议使用 Operator 或 Helm chart 安装 RHACS。除非有需要使用此方法的特定安装需要,否则不要使用 roxctl 安装方法。

5.2.2.1. 安装 roxctl CLI

要安装 Red Hat Advanced Cluster Security for Kubernetes,您必须下载二进制文件来安装 roxctl CLI。您可以在 Linux、Windows 或 macOS 上安装 roxctl

5.2.2.1.1. 在 Linux 中安装 roxctl CLI

您可以按照以下流程在 Linux 上安装 roxctl CLI 二进制文件。

注意

用于 Linux 的 roxctl CLI 可用于 amd 64、rm64、 ppc64les390x 架构。

流程

  1. 确定目标操作系统的 roxctl 架构: 

    $ arch="$(uname -m | sed "s/x86_64//")"; arch="${arch:+-$arch}"

  2. 下载 roxctl CLI: 

    $ curl -L -f -o roxctl "https://mirror.openshift.com/pub/rhacs/assets/4.6.0/bin/Linux/roxctl${arch}"

  3. 使 roxctl 二进制文件可执行: 

    $ chmod +x roxctl

  4. roxctl 二进制文件放到 PATH 中的目录中:

    要查看您的 PATH,请执行以下命令: 

    $ echo $PATH

验证

  • 验证您已安装的 roxctl 版本: 

    $ roxctl version
5.2.2.1.2. 在 macOS 上安装 roxctl CLI

您可以按照以下流程在 macOS 中安装 roxctl CLI 二进制文件。

注意

macOS 的 roxctl CLI 可用于 amd64arm64 架构。

流程

  1. 确定目标操作系统的 roxctl 架构: 

    $ arch="$(uname -m | sed "s/x86_64//")"; arch="${arch:+-$arch}"

  2. 下载 roxctl CLI: 

    $ curl -L -f -o roxctl "https://mirror.openshift.com/pub/rhacs/assets/4.6.0/bin/Darwin/roxctl${arch}"

  3. 从二进制文件中删除所有扩展属性: 

    $ xattr -c roxctl

  4. 使 roxctl 二进制文件可执行: 

    $ chmod +x roxctl

  5. roxctl 二进制文件放到 PATH 中的目录中:

    要查看您的 PATH,请执行以下命令: 

    $ echo $PATH

验证

  • 验证您已安装的 roxctl 版本: 

    $ roxctl version
5.2.2.1.3. 在 Windows 上安装 roxctl CLI

您可以按照以下流程在 Windows 上安装 roxctl CLI 二进制文件。

注意

用于 Windows 的 roxctl CLI 可用于 amd64 架构。

流程

  • 下载 roxctl CLI: 

    $ curl -f -O https://mirror.openshift.com/pub/rhacs/assets/4.6.0/bin/Windows/roxctl.exe

验证

  • 验证您已安装的 roxctl 版本: 

    $ roxctl version

5.2.2.2. 使用交互式安装程序

使用交互式安装程序为您的环境生成所需的 secret、部署配置和部署脚本。

流程

  1. 运行交互式 install 命令: 

    $ roxctl central generate interactive
    重要

    使用 roxctl CLI 安装 RHACS 会创建 PodSecurityPolicy (PSP)对象,以便向后兼容。如果要在 Kubernetes 版本 1.25 及更新版本上,或在 OpenShift Container Platform version 4.12 和更新版本上安装 RHACS,则必须禁用 PSP 对象的创建。要做到这一点,对于 roxctl central generateroxctl sensor generate 命令,将 --enable-pod-security-policies 选项设置为 false

  2. Enter 接受提示的默认值或根据需要输入自定义值。以下示例显示了交互式安装程序提示: 

    Enter path to the backup bundle from which to restore keys and certificates (optional):
Enter read templates from local filesystem (default: "false"):
Enter path to helm templates on your local filesystem (default: "/path"):
Enter PEM cert bundle file (optional): 1
Enter Create PodSecurityPolicy resources (for pre-v1.25 Kubernetes) (default: "true"): 2
Enter administrator password (default: autogenerated):
Enter orchestrator (k8s, openshift):
Enter default container images settings (development_build, stackrox.io, rhacs, opensource); it controls repositories from where to download the images, image names and tags format (default: "development_build"):
Enter the directory to output the deployment bundle to (default: "central-bundle"):
Enter the OpenShift major version (3 or 4) to deploy on (default: "0"):
Enter whether to enable telemetry (default: "false"):
Enter central-db image to use (if unset, a default will be used according to --image-defaults):
Enter Istio version when deploying into an Istio-enabled cluster (leave empty when not running Istio) (optional):
Enter the method of exposing Central (route, lb, np, none) (default: "none"): 3
Enter main image to use (if unset, a default will be used according to --image-defaults):
Enter whether to run StackRox in offline mode, which avoids reaching out to the Internet (default: "false"):
Enter list of secrets to add as declarative configuration mounts in central (default: "[]"): 4
Enter list of config maps to add as declarative configuration mounts in central (default: "[]"): 5
Enter the deployment tool to use (kubectl, helm, helm-values) (default: "kubectl"):
Enter scanner-db image to use (if unset, a default will be used according to --image-defaults):
Enter scanner image to use (if unset, a default will be used according to --image-defaults):
Enter Central volume type (hostpath, pvc): 6
Enter external volume name for Central (default: "stackrox-db"):
Enter external volume size in Gi for Central (default: "100"):
Enter storage class name for Central (optional if you have a default StorageClass configured):
Enter external volume name for Central DB (default: "central-db"):
Enter external volume size in Gi for Central DB (default: "100"):
Enter storage class name for Central DB (optional if you have a default StorageClass configured):
    1
    如果要添加自定义 TLS 证书,请提供 PEM 编码证书的文件路径。当您指定自定义证书时,交互式安装程序还会提示您为您要使用的自定义证书提供 PEM 私钥。
    2
    如果您正在运行 Kubernetes 版本 1.25 或更高版本,请将此值设置为 false
    3
    要使用 RHACS 门户,您必须使用路由(负载均衡器或节点端口)公开中。
    4
    有关对身份验证和授权使用声明配置的更多信息,请参阅 Red Hat Advanced Cluster Security for Kubernetes 中的"管理 RBAC"中的"Declarative configuration for authentication and authorization resources"。
    5
    有关对身份验证和授权使用声明配置的更多信息,请参阅 Red Hat Advanced Cluster Security for Kubernetes 中的"管理 RBAC"中的"Declarative configuration for authentication and authorization resources"。
    6
    如果您计划在带有 hostPath 卷的 OpenShift Container Platform 上安装 Red Hat Advanced Cluster Security for Kubernetes,您必须修改 SELinux 策略。
    警告

    在 OpenShift Container Platform 中,对于 hostPath 卷,您必须修改 SELinux 策略以允许访问主机和容器共享的目录。这是因为 SELinux 默认阻止目录共享。要修改 SELinux 策略,请运行以下命令: 

    $ sudo chcon -Rt svirt_sandbox_file_t <full_volume_path>

    但是,红帽不推荐修改 SELinux 策略,而是在 OpenShift Container Platform 上安装时使用 PVC。

在完成时,安装程序会创建一个名为 central-bundle 的文件夹,其中包含用于部署 Central 所需的 YAML 清单和脚本。另外,它显示了您需要运行的脚本的屏幕说明,以部署其他可信证书颁发机构、中部和扫描器,以及登录 RHACS 门户的身份验证说明(如果您回答提示时未提供密码)。

5.2.2.3. 运行中央安装脚本

运行交互式安装程序后,您可以运行 setup.sh 脚本来安装 Central。

流程

  1. 运行 setup.sh 脚本来配置镜像 registry 访问: 

    $ ./central-bundle/central/scripts/setup.sh

  2. 要将策略启用为代码功能(技术预览),请手动应用位于 helm/chart/crds/ config.stackrox.io _securitypolicies.yaml 的 .zip 文件中的 config.stackrox.io CRD。

    重要

    作为代码的策略只是一个技术预览功能。技术预览功能不受红帽产品服务等级协议(SLA)支持,且功能可能并不完整。红帽不推荐在生产环境中使用它们。这些技术预览功能可以使用户提早试用新的功能,并有机会在开发阶段提供反馈意见。

    有关红帽技术预览功能支持范围的更多信息,请参阅技术预览功能支持范围

    要应用 CRD,请运行以下命令: 

    $ oc create -f helm/chart/crds/config.stackrox.io_securitypolicies.yaml
    $ kubectl create -f helm/chart/crds/config.stackrox.io_securitypolicies.yaml

  3. 创建所需资源: 

    $ oc create -R -f central-bundle/central
$ kubectl create -R -f central-bundle/central

  1. 检查部署进度: 

    $ oc get pod -n stackrox -w
$ kubectl get pod -n stackrox -w

  1. 在 Central 运行后,找到 RHACS 门户 IP 地址并在浏览器中打开。根据您在回答提示时选择的风险,请使用以下方法之一获取 IP 地址。

    公开方法命令地址Example

    Route(路由)

    oc -n stackrox get route central

    在输出中 HOST/PORT 列下的地址

    https://central-stackrox.example.route

    节点端口

    oc get node -owide && oc -n stackrox get svc central-loadbalancer

    任何节点的 IP 或主机名,在服务显示的端口中

    https://198.51.100.0:31489

    Load Balancer

    oc -n stackrox get svc central-loadbalancer

    在端口 443 上为服务显示 EXTERNAL-IP 或主机名

    https://192.0.2.0

    central-bundle/central/scripts/port-forward.sh 8443

    https://localhost:8443

    https://localhost:8443

注意

如果您在互动安装过程中选择了自动生成的密码,您可以运行以下命令将其记录到 Central: 

$ cat central-bundle/password
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.