8.12. roxctl sensor


在安全集群中部署 Red Hat Advanced Cluster Security for Kubernetes (RHACS)服务。

使用方法

$ roxctl sensor [command] [flags]

表 8.73. 可用命令
命令描述

generate

生成文件以在安全集群中部署 RHACS 服务。

generate-certs

下载带有 Sensor、Collector 和 Admission 控制器更新证书的 YAML 文件。

get-bundle

使用文件下载捆绑包,以在集群中部署 RHACS 服务。

表 8.74. 选项
选项描述

--retry-timeout 持续时间

设置重试 API 请求的超时。值为零表示整个请求持续时间在不重试的情况下等待。默认值为 20s

-t,--timeout 持续时间

为代表请求最长持续时间的 API 请求设置超时。默认值为 1m0s

8.12.1. roxctl sensor 命令选项从父命令继承

roxctl sensor 命令支持从父 roxctl 命令继承的以下选项:

选项描述

--ca string

为安全连接指定自定义 CA 证书文件路径。或者,您可以使用 ROX_CA_CERT_FILE 环境变量指定文件路径。

--direct-grpc

set --direct-grpc 以提高连接性能。或者,通过将 ROX_DIRECT_GRPC_CLIENT 环境变量设置为 true,您可以启用直接 gRPC。默认值为 false

-e,--endpoint 字符串

设置要联系的服务的端点。另外,您可以使用 ROX_ENDPOINT 环境变量设置端点。默认值为 localhost:8443

--force-http1

强制对所有连接使用 HTTP/1。或者,通过将 ROX_CLIENT_FORCE_HTTP1 环境变量设置为 true,您可以强制使用 HTTP/1。默认值为 false

--insecure

启用不安全的连接选项。或者,通过将 ROX_INSECURE_CLIENT 环境变量设置为 true,您可以启用不安全的连接选项。默认值为 false

--insecure-skip-tls-verify

跳过 TLS 证书验证。或者,通过将 ROX_INSECURE_CLIENT_SKIP_TLS_VERIFY 环境变量设置为 true,您可以跳过 TLS 证书验证。默认值为 false

--no-color

禁用颜色输出。或者,通过将 ROX_NO_COLOR 环境变量设置为 true,您可以禁用颜色输出。默认值为 false

-p,--password 字符串

指定基本身份验证的密码。另外,您可以使用 ROX_ADMIN_PASSWORD 环境变量设置密码。

--plaintext

使用未加密的连接。或者,通过将 ROX_PLAINTEXT 环境变量设置为 true,您可以启用未加密的连接。默认值为 false

-S,--server-name 字符串

设置用于 SNI 的 TLS 服务器名称。或者,您可以使用 ROX_SERVER_NAME 环境变量设置服务器名称。

--token-file string

使用指定文件中提供的 API 令牌进行身份验证。另外,您可以使用 ROX_API_TOKEN 环境变量设置令牌。

注意

这些选项适用于 roxctl sensor 命令的所有子命令。

8.12.2. roxctl sensor generate

生成文件以在安全集群中部署 RHACS 服务。

使用方法

$ roxctl sensor generate [flags]

表 8.75. 选项
选项描述

--admission-controller-disable-bypass

为准入控制器禁用绕过注解。默认值为 false

--admission-controller-enforce-on-creates

在准入控制器中创建对象时动态启用。默认值为 false

--admission-controller-enforce-on-updates

在准入控制器中启用对象更新的动态强制。默认值为 false

--admission-controller-listen-on-creates

配置准入控制器 Webhook 以侦听部署创建。默认值为 false

--admission-controller-listen-on-updates

配置准入控制器 Webhook 以侦听部署更新。默认值为 false

--admission-controller-scan-inline

在使用准入控制器时获取内联扫描。默认值为 false

--admission-controller-timeout int32

为准入控制器设置超时(以秒为单位)。默认值为 3

--central string

设置要连接 Sensor 的端点。默认值为 central.stackrox:443

--collection-method collection 方法

指定用于运行时支持的集合方法。集合方法包括 none默认ebpfcore_bpf。默认值为 default

--collector-image-repository string

设置用于部署 Collector 的镜像存储库。如果没有指定,则会派生与 effective --main-image 存储库 值对应的默认值。

--continue-if-exists

继续下载传感器捆绑包,即使集群已存在。默认值为 false

--create-upgrader-sa

决定是否使用 cluster-admin 权限创建 upgrader 服务帐户,以促进自动传感器升级。默认值为 true

--disable-tolerations

禁用污点节点的容限。默认值为 false

--enable-pod-security-policies

创建 PodSecurityPolicy 资源。默认值为 true

--Istio-support 字符串

生成支持指定 Istio 版本的部署文件。有效版本包括 1.0,1.1,1.2,1.3,1.4,1.5,1.6,1.7.

--main-image-repository 字符串

指定您要用来部署 Sensor 的镜像仓库。如果没有指定,则使用默认值。

--name string

设置集群名称来标识集群。

--output-dir string

设置捆绑包内容的输出目录。默认值是当前目录中自动生成的目录名称。

--slim-collector string[="true"]

在部署捆绑包中使用 Collector-slim。有效值包括 autotruefalse。默认值为 auto

-t,--timeout 持续时间

为代表请求最长持续时间的 API 请求设置超时。默认值为 5m0s

8.12.2.1. roxctl sensor 生成 k8s

生成在 Kubernetes 集群中部署 RHACS 服务所需的文件。

使用方法

$ roxctl sensor generate k8s [flags]

表 8.76. 选项
选项描述

--admission-controller-listen-on-events

启用准入控制器 Webhook 以侦听 Kubernetes 事件。默认值为 true

8.12.2.2. roxctl sensor 生成 openshift

生成在 Red Hat OpenShift 集群中部署 RHACS 服务所需的文件。

使用方法

$ roxctl sensor generate openshift [flags]

表 8.77. 选项
选项描述

`--admission-controller-listen-on-events false

true

auto[=true]`

启用或禁用准入控制器 Webhook 以侦听 Kubernetes 事件。默认值为 auto

'--disable-audit-logs false

true

auto[=true]`

启用或禁用用于运行时检测的审计日志集合。默认值为 auto

--openshift-version int

指定您要为其生成部署文件的 Red Hat OpenShift 主版本。

8.12.3. roxctl sensor get-bundle

使用文件下载捆绑包,以将 RHACS 服务部署到集群中。

使用方法

$ roxctl sensor get-bundle <cluster_details> [flags] 1

1
对于 <cluster_details >,请指定集群名称或 ID。
表 8.78. 选项
选项描述

--create-upgrader-sa

指定是否为自动 Sensor 升级创建带有 cluster-admin 权限的 upgrader 服务帐户。默认值为 true

--Istio-support 字符串

生成支持指定 Istio 版本的部署文件。有效版本包括 1.01.1、 1.21.31.41.51.61.7

--output-dir string

指定捆绑包内容的输出目录。默认值是当前目录中自动生成的目录名称。

--slim-collector string[="true"]

在部署捆绑包中使用 Collector-slim。有效值包括 autotruefalse。默认值为 auto

-t,--timeout 持续时间

为代表请求最长持续时间的 API 请求设置超时。默认值为 5m0s

8.12.4. roxctl sensor generate-certs

下载带有 Sensor、Collector 和 Admission 控制器更新证书的 YAML 文件。

使用方法

$ roxctl sensor generate-certs <cluster_details> [flags] 1

1
对于 <cluster_details >,请指定集群名称或 ID。
表 8.79. 选项
选项描述

--output-dir string

指定 YAML 文件的输出目录。默认值为

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.