红帽全球峰会7.6. 从 RHACS 云服务安装安全集群资源
您可以使用 Operator 或 Helm chart 在安全集群中安装 RHACS 云服务。您还可以使用 roxctl CLI 安装它,但不使用此方法,除非您有特定的安装需要使用它。
先决条件
-
在 RHACS 安装过程中,您记下了 Central 实例 地址。您可以从云控制台导航菜单中选择 Advanced Cluster Security
ACS Instances 来查看此信息,然后点您创建的 ACS 实例。 - 如果使用 Operator 安装,则创建了您要保护并安装 Operator 的 Red Hat OpenShift 集群。
-
您使用 ACS 控制台或使用
roxctlCLI 创建并下载 init 捆绑包或集群注册 secret (CRS)。 - 您在您要保护的集群中应用 init 捆绑包或 CRS,除非您使用 Helm Chart 安装。
7.6.1. 使用 Operator 在安全集群中安装 RHACS
7.6.1.1. 安装安全的集群服务
您可以使用 Operator 在集群中安装 Secured Cluster 服务,它会创建 SecuredCluster 自定义资源。您必须在要监控的环境中的每个集群中安装 Secured Cluster 服务。
安装 Red Hat Advanced Cluster Security for Kubernetes 时:
-
如果您是首次安装 RHACS,您必须首先安装
Central自定义资源,因为SecuredCluster自定义资源安装依赖于 Central 生成的证书。 -
不要在名称以
kube、openshift或redhat开头的项目中安装SecuredCluster,或在istio-system项目中安装 SecuredCluster。 -
如果要在同时托管 Central 的集群中安装 RHACS
SecuredCluster自定义资源,请确保将其安装到与 Central 相同的命名空间中安装。 -
如果要在没有主机 Central 的集群中安装 Red Hat Advanced Cluster Security for Kubernetes
SecuredCluster自定义资源,红帽建议您在自己的项目中安装 Red Hat Advanced Cluster Security for KubernetesSecuredCluster自定义资源,而不是在您安装了 Red Hat Advanced Cluster Security for Kubernetes Operator 的项目中。
先决条件
- 如果使用 OpenShift Container Platform,您必须安装 4.12 或更高版本。
- 您已在要保护的集群中安装了 RHACS Operator,称为安全集群。
-
您已生成了 init 捆绑包或集群注册 secret (CRS),并将其应用到推荐的
stackrox命名空间中的集群。
步骤
-
在安全集群的 OpenShift Container Platform Web 控制台中,进入 Operators
Installed Operators 页面。 - 点 RHACS Operator。
如果您在推荐的命名空间中安装了 Operator,OpenShift Container Platform 会将项目列为
rhacs-operator。选择 Project: rhacs-operatorCreate project。 注意-
如果在不同的命名空间中安装了 Operator,OpenShift Container Platform 将列出该命名空间的名称,而不是
rhacs-operator。
-
如果在不同的命名空间中安装了 Operator,OpenShift Container Platform 将列出该命名空间的名称,而不是
- 点 Installed Operators。
-
应用 init 捆绑包或 CRS 时,您应该已创建了
stackrox命名空间。通过验证菜单中的 Project:stackrox 已被选中,确保您位于此命名空间中。 - 在 Provided APIs 中,单击 Secured Cluster。
- 点 Create SecuredCluster。
在 Configure via 字段中选择以下选项之一:
- 表单视图 :如果要使用屏幕字段配置安全集群且不需要更改任何其他字段,则使用这个选项。
- YAML 视图 :使用此视图使用 YAML 文件设置安全集群。YAML 文件显示在窗口中,您可以在其中编辑字段。如果您选择这个选项,请在完成编辑完该文件时,点 Create。
- 如果使用 Form view,请通过接受或编辑默认名称来输入新项目名称。默认值为 stackrox-secured-cluster-services。
- 可选:为集群添加任何标签。
-
输入您的
SecuredCluster自定义资源的唯一名称。 对于 Central 端点,请输入您的 Central 实例的地址。例如,如果 Central 位于
https://central.example.com,则将中央端点指定为central.example.com。-
对于 RHACS 云服务,请使用 Central API 端点地址。您可以从 Red Hat Hybrid Cloud Console 导航菜单中选择 Advanced Cluster Security
ACS Instances 来查看此信息,然后点您创建的 RHACS 实例。 -
只有在安装了 Central 的同一集群中安装安全集群服务时,才使用
central.stackrox.svc:443的默认值。 - 在配置多个集群时,不要使用默认值。反之,在为每个集群配置 Central Endpoint 值时使用主机名。
-
对于 RHACS 云服务,请使用 Central API 端点地址。您可以从 Red Hat Hybrid Cloud Console 导航菜单中选择 Advanced Cluster Security
- 对于剩余的字段,接受默认值或配置自定义值(如果需要)。例如,如果您使用自定义证书或不可信 CA,您可能需要配置 TLS。如需更多信息,请参阅"使用 Operator 为 RHACS 配置安全集群服务选项"。
- 点 Create。
在短暂暂停后,Secured Clusters 页面会显示
stackrox-secured-cluster-services的状态。您可能会看到以下条件:- Conditions: Deployed, Initialized: 已安装安全集群服务,安全集群与 Central 通信。
- 条件 : Initialized, Irreconcilable :安全集群没有与 Central 通信。确保将在 RHACS Web 门户中创建的 init 捆绑包应用到安全集群。
后续步骤
- 配置额外的安全集群设置(可选)。
- 验证安装。
7.6.2. 使用 Helm chart 在安全集群中安装 RHACS 云服务
您可以使用没有自定义的 Helm chart、使用默认值或配置参数自定义的 Helm chart 在安全集群中安装 RHACS。
首先,确保添加 Helm Chart 仓库。
7.6.2.1. 添加 Helm Chart 仓库
流程
添加 RHACS chart 存储库。
$ helm repo add rhacs https://mirror.openshift.com/pub/rhacs/charts/
Red Hat Advanced Cluster Security for Kubernetes 的 Helm 仓库包括用于安装不同组件的 Helm chart,包括:
用于安装集中组件(Central 和 Scanner)的中央服务Helm Chart(
central-services)。注意您只部署集中式组件一次,并可使用同一安装监控多个独立集群。
安全集群服务 Helm Chart (
secured-cluster-services),用于安装 per-cluster 和 per-node 组件(Sensor、Admission Controller、Collector 和 Scanner-slim)。注意将 per-cluster 组件部署到要监控的每个集群中,并在要监控的所有节点中部署 per-node 组件。
验证
运行以下命令来验证添加的 chart 存储库:
$ helm search repo -l rhacs/
7.6.2.2. 使用 Helm chart 在安全集群中安装 RHACS 云服务
7.6.2.2.1. 在不使用自定义配置的情况下安装 secured-cluster-services Helm chart
使用以下说明安装 secure-cluster-services Helm chart,以部署 per-cluster 和 per-node 组件(Sensor、Admission controller、Collector 和 Scanner-slim)。
先决条件
- 您必须已为集群生成 RHACS init 捆绑包或 CRS。
-
您必须有权访问 Red Hat Container Registry 和 pull secret 进行身份验证。有关从
registry.redhat.io下载镜像的详情,请参考 Red Hat Container Registry Authentication。 -
您必须具有 Central API 端点地址。您可以从 Red Hat Hybrid Cloud Console 导航菜单中选择 Advanced Cluster Security
ACS Instances 来查看此信息,然后点您创建的 ACS 实例。
步骤
在基于 Kubernetes 的集群上运行以下命令之一:
如果使用 init 捆绑包,请运行以下命令:
$ helm install -n stackrox --create-namespace \ stackrox-secured-cluster-services rhacs/secured-cluster-services \ -f <path_to_cluster_init_bundle.yaml> \1 -f <path_to_pull_secret.yaml> \2 --set clusterName=<name_of_the_secured_cluster> \ --set centralEndpoint=<endpoint_of_central_service> \3 --set imagePullSecrets.username=<your redhat.com username> \4 --set imagePullSecrets.password=<your redhat.com password>5- 1
- 使用
-f选项指定 init 捆绑包的路径。 - 2
- 使用
-f选项指定 Red Hat Container Registry 身份验证的 pull secret 的路径。 - 3
- 输入 Central API 端点地址。您可以从 Red Hat Hybrid Cloud Console 导航菜单中选择 Advanced Cluster Security
ACS Instances 来查看此信息,然后点您创建的 RHACS 实例。 - 4
- 为 Red Hat Container Registry 身份验证包含 pull secret 的用户名。
- 5
- 包括用于 Red Hat Container Registry 身份验证的 pull secret 的密码。
步骤
在 OpenShift Container Platform 集群中运行以下命令之一:
如果使用 init 捆绑包,请运行以下命令:
$ helm install -n stackrox --create-namespace \ stackrox-secured-cluster-services rhacs/secured-cluster-services \ -f <path_to_cluster_init_bundle.yaml> \1 -f <path_to_pull_secret.yaml> \2 --set clusterName=<name_of_the_secured_cluster> \ --set centralEndpoint=<endpoint_of_central_service> \3 --set scanner.disable=false 4- 1
- 使用
-f选项指定 init 捆绑包的路径。 - 2
- 使用
-f选项指定 Red Hat Container Registry 身份验证的 pull secret 的路径。 - 3
- 输入 Central API 端点地址。您可以从 Red Hat Hybrid Cloud Console 导航菜单中选择 Advanced Cluster Security
ACS Instances 来查看此信息,然后点您创建的 RHACS 实例。 - 4
- 将
scanner.disable参数的值设置为false,这意味着在安装过程中将启用 Scanner-slim。在 Kubernetes 中,安全的集群服务现在包含 Scanner-slim。
如果使用 CRS,请运行以下命令:
$ helm install -n stackrox --create-namespace \ stackrox-secured-cluster-services rhacs/secured-cluster-services \ --set-file crs.file=<crs_file_name.yaml> \1 -f <path_to_pull_secret.yaml> \2 --set clusterName=<name_of_the_secured_cluster> \ --set centralEndpoint=<endpoint_of_central_service> \3 --set scanner.disable=false 4- 1
- 使用存储生成的 CRS 的文件的名称。
- 2
- 使用
-f选项指定 Red Hat Container Registry 身份验证的 pull secret 的路径。 - 3
- 输入 Central API 端点地址。您可以从 Red Hat Hybrid Cloud Console 导航菜单中选择 Advanced Cluster Security
ACS Instances 来查看此信息,然后点您创建的 RHACS 实例。 - 4
- 将
scanner.disable参数的值设置为false,这意味着在安装过程中将启用 Scanner-slim。在 Kubernetes 中,安全的集群服务现在包含 Scanner-slim。
7.6.2.3. 使用自定义配置 secured-cluster-services Helm chart
您可以在 helm install 和 helm upgrade 命令中使用 Helm Chart 配置参数。使用 - set 选项 或创建 YAML 配置文件来指定这些参数。
创建以下文件来配置 Helm chart 来安装 Red Hat Advanced Cluster Security for Kubernetes:
-
公共配置文件
values-public.yaml:使用此文件保存所有非敏感配置选项。 -
专用配置文件
values-private.yaml:使用此文件保存所有敏感配置选项。确保您安全地存储这个文件。
使用 secured-cluster-services Helm Chart 时,不要更改属于 chart 的 values.yaml 文件。
7.6.2.3.1. 配置参数
| 参数 | Description |
|---|---|
|
| 集群的名称。 |
|
|
Central 端点的地址。如果使用一个支持非 gRPC 的负载均衡器,请使用带有 |
|
| Sensor 端点的地址,包括端口号。 |
|
| Sensor 容器的镜像拉取策略。 |
|
| Sensor 使用的内部服务到服务 TLS 证书。 |
|
| Sensor 使用的内部服务到服务 TLS 证书密钥。 |
|
| Sensor 容器的内存请求。使用此参数覆盖默认值。 |
|
| Sensor 容器的 CPU 请求。使用此参数覆盖默认值。 |
|
| Sensor 容器的内存限值。使用此参数覆盖默认值。 |
|
| Sensor 容器的 CPU 限制。使用此参数覆盖默认值。 |
|
|
将节点选择器标签指定为 |
|
| 如果节点选择器选择污点节点,请使用此参数指定污点容限键、值和 Sensor 的效果。此参数主要用于基础架构节点。 |
|
|
|
|
| Collector 镜像的名称。 |
|
| 用于主镜像的 registry 地址。 |
|
| 用于 Collector 镜像的 registry 地址。 |
|
| 用于 Scanner 镜像的 registry 地址。 |
|
| 用于 Scanner DB 镜像的 registry 地址。 |
|
| 用于 Scanner V4 镜像的 registry 地址。 |
|
| 用于 Scanner V4 DB 镜像的 registry 地址。 |
|
|
|
|
| Collector 镜像的镜像拉取策略。 |
|
|
使用 |
|
|
使用 |
|
|
|
|
| Collector 容器的镜像拉取策略。 |
|
| Compliance 容器的镜像拉取策略。 |
|
|
如果指定了 |
|
| Collector 容器的内存请求。使用此参数覆盖默认值。 |
|
| Collector 容器的 CPU 请求。使用此参数覆盖默认值。 |
|
| Collector 容器的内存限值。使用此参数覆盖默认值。 |
|
| Collector 容器的 CPU 限制。使用此参数覆盖默认值。 |
|
| Compliance 容器的内存请求。使用此参数覆盖默认值。 |
|
| Compliance 容器的 CPU 请求。使用此参数覆盖默认值。 |
|
| Compliance 容器的内存限值。使用此参数覆盖默认值。 |
|
| Compliance 容器的 CPU 限制。使用此参数覆盖默认值。 |
|
| Collector 使用的内部服务到服务的 TLS 证书。 |
|
| Collector 使用的内部服务到服务的 TLS 证书密钥。 |
|
|
此设置控制 Kubernetes 是否配置为联系 Red Hat Advanced Cluster Security for Kubernetes,并带有 |
|
|
当您将此参数设置为 |
|
|
此设置控制集群是否被配置为联系 Red Hat Advanced Cluster Security for Kubernetes,带有 |
|
| 此设置控制 Red Hat Advanced Cluster Security for Kubernetes 是否评估策略 ; 如果禁用了策略,则会自动接受所有 AdmissionReview 请求。 |
|
|
此设置控制准入控制服务的行为。您必须把 |
|
|
如果将这个选项设置为 |
|
|
将它设置为 |
|
|
在将其标记为失败前,使用此参数指定 RHACS 必须等待准入审核的最大秒数。如果准入 Webhook 在超时时间结束前没有收到请求的信息,它会失败,但处于打开状态时,它仍然允许操作成功。例如,准入控制器允许创建部署,即使扫描超时,RHACS 无法确定部署是否违反了策略。从版本 4.5 开始,红帽将 RHACS 准入控制器 webhook 的默认超时设置从 20 秒减少到 10 秒,从而导致 |
|
| Admission Control 容器的内存请求。使用此参数覆盖默认值。 |
|
| Admission Control 容器的 CPU 请求。使用此参数覆盖默认值。 |
|
| Admission Control 容器的内存限值。使用此参数覆盖默认值。 |
|
| Admission Control 容器的 CPU 限制。使用此参数覆盖默认值。 |
|
|
将节点选择器标签指定为 |
|
| 如果节点选择器选择污点节点,请使用此参数指定污点容限键、值以及 Admission Control 的效果。此参数主要用于基础架构节点。 |
|
|
如果准入控制器 Webhook 需要特定的 |
|
| Admission Control 使用的内部服务到服务的 TLS 证书。 |
|
| Admission Control 使用的内部服务对服务的 TLS 证书密钥。 |
|
|
使用此参数覆盖默认的 |
|
|
如果指定了 |
|
|
指定 |
|
|
指定 |
|
|
已弃用。如果要使用 slim Collector 镜像部署 Collector,请指定 |
|
| Sensor 的资源规格。 |
|
| Admission 控制器的资源规格。 |
|
| Collector 的资源规格。 |
|
| Collector 的 Compliance 容器的资源规格。 |
|
|
如果将此选项设置为 |
|
|
如果将此选项设置为 |
|
|
如果将此选项设置为 |
|
| 如果节点选择器选择污点节点,请使用此参数为 Scanner DB 指定污点容限键、值和效果。 |
|
| Collector 的 Compliance 容器的资源规格。 |
|
| 通过设置此参数,您可以修改扫描程序日志级别。使用这个选项仅用于故障排除目的。 |
|
|
如果将此选项设置为 |
|
| 自动扩展的最小副本数。默认值为 2。 |
|
| 自动扩展的最大副本数。默认值为 5。 |
|
|
将节点选择器标签指定为 |
|
| 如果节点选择器选择污点节点,请使用此参数为 Scanner 指定污点容限键、值和效果。 |
|
|
将节点选择器标签指定为 |
|
| 如果节点选择器选择污点节点,请使用此参数为 Scanner DB 指定污点容限键、值和效果。 |
|
| Scanner 容器的内存请求。使用此参数覆盖默认值。 |
|
| Scanner 容器的 CPU 请求。使用此参数覆盖默认值。 |
|
| Scanner 容器的内存限值。使用此参数覆盖默认值。 |
|
| Scanner 容器的 CPU 限制。使用此参数覆盖默认值。 |
|
| Scanner DB 容器的内存请求。使用此参数覆盖默认值。 |
|
| Scanner DB 容器的 CPU 请求。使用此参数覆盖默认值。 |
|
| Scanner DB 容器的内存限值。使用此参数覆盖默认值。 |
|
| Scanner DB 容器的 CPU 限制。使用此参数覆盖默认值。 |
|
|
如果将此选项设置为 |
|
|
为了在网络级别提供安全性,RHACS 在安装了安全集群资源的命名空间中创建默认 警告 禁用创建默认网络策略可能会破坏 RHACS 组件之间的通信。如果禁用创建默认策略,则必须创建自己的网络策略来允许此通信。 |
7.6.2.3.1.1. 环境变量
您可以采用以下格式指定 Sensor 和 Admission Controller 的环境变量:
customize:
envVars:
ENV_VAR1: "value1"
ENV_VAR2: "value2"
通过 customize 设置,您可以为此 Helm Chart 创建的所有对象指定自定义 Kubernetes 元数据(标签和注解)以及工作负载的其他 pod 标签、Pod 注解和容器环境变量。
配置是分层的,在更通用范围(例如,所有对象)中定义的元数据被覆盖为更通用范围的元数据(例如,仅适用于 Sensor 部署)。
7.6.2.3.2. 使用自定义安装 secured-cluster-services Helm chart
配置 values-public.yaml 和 values-private.yaml 文件后,安装 secure-cluster-services Helm chart 以部署针对每个集群和每个节点组件:
- Sensor
- 准入控制器
- Collector
- scanner:当安装了 StackRox Scanner 时,对于安全集群是可选的
- scanner DB:当安装了 StackRox Scanner 时,对于安全集群是可选的
- 扫描程序 V4 Indexer 和 Scanner V4 DB:在安装 Scanner V4 时对于安全集群是可选的
先决条件
- 您必须已为集群生成 RHACS init 捆绑包。
-
您必须有权访问 Red Hat Container Registry 和 pull secret 进行身份验证。有关从
registry.redhat.io下载镜像的详情,请参考 Red Hat Container Registry Authentication。 -
您必须具有 Central API 端点地址。您可以从 Red Hat Hybrid Cloud Console 导航菜单中选择 Advanced Cluster Security
ACS Instances 来查看此信息,然后点您创建的 RHACS 实例。
流程
运行以下命令:
$ helm install -n stackrox \ --create-namespace stackrox-secured-cluster-services rhacs/secured-cluster-services \ -f <name_of_cluster_init_bundle.yaml> \ -f <path_to_values_public.yaml> \1 -f <path_to_values_private.yaml> \2 --set imagePullSecrets.username=<username> \3 --set imagePullSecrets.password=<password> 4
要使用持续集成(CI)系统部署 secure-cluster-services Helm Chart,请将 init 捆绑包 YAML 文件作为环境变量传递给 helm install 命令:
$ helm install ... -f <(echo "$INIT_BUNDLE_YAML_SECRET") 1- 1
- 如果您使用 base64 编码变量,请使用
helm install … -f <(echo "$INIT_BUNDLE_YAML_SECRET" | base64 --decode)命令。
7.6.2.4. 在部署 secure-cluster-services Helm chart 后更改配置选项
在部署 secure-cluster-services Helm Chart 后,您可以对任何配置选项进行更改。
当使用 helm upgrade 命令进行更改时,会应用以下准则和要求:
-
您还可以使用
--set或--set-file参数指定配置值。但是,这些选项不会被保存,每当您进行更改时,您必须手动指定所有选项。 有些更改(如启用 Scanner V4 )需要为组件发布新证书。因此,在进行这些更改时,您必须提供 CA。
-
如果 CA 在初始安装过程中由 Helm Chart 生成,则必须从集群中检索这些值,并将其提供给
helm upgrade命令。central-servicesHelm Chart 的安装后备注包括用于检索自动生成的值的命令。 -
如果 CA 在 Helm Chart 之外生成,并在安装
central-servicesChart 的过程中提供,那么您必须在使用helm upgrade命令时再次执行该操作,例如,使用带有helm upgrade命令的--reuse-values标志。
-
如果 CA 在初始安装过程中由 Helm Chart 生成,则必须从集群中检索这些值,并将其提供给
步骤
-
使用新值更新
values-public.yaml和values-private.yaml配置文件。 运行
helm upgrade命令并使用-f选项指定配置文件:$ helm upgrade -n stackrox \ stackrox-secured-cluster-services rhacs/secured-cluster-services \ --reuse-values \1 -f <path_to_values_public.yaml> \ -f <path_to_values_private.yaml>- 1
- 如果您修改了没有包括在
values_public.yaml和values_private.yaml文件中的值,请包含--reuse-values参数。
7.6.3. 使用 roxctl CLI 在安全集群中安装 RHACS
要使用 CLI 在安全集群中安装 RHACS,请执行以下步骤:
-
安装
roxctlCLI。 - 安装 Sensor。
7.6.3.1. 安装 roxctl CLI
您必须首先下载二进制文件。您可以在 Linux、Windows 或 macOS 上安装 roxctl。
7.6.3.1.1. 在 Linux 中安装 roxctl CLI
您可以按照以下流程在 Linux 上安装 roxctl CLI 二进制文件。
用于 Linux 的 roxctl CLI 可用于 amd 64、rm64、 ppc64le 和 s390x 架构。
步骤
确定目标操作系统的
roxctl架构:$ arch="$(uname -m | sed "s/x86_64//")"; arch="${arch:+-$arch}"下载
roxctlCLI:$ curl -L -f -o roxctl "https://mirror.openshift.com/pub/rhacs/assets/4.7.2/bin/Linux/roxctl${arch}"使
roxctl二进制文件可执行:$ chmod +x roxctl
将
roxctl二进制文件放到PATH中的目录中:要查看您的
PATH,请执行以下命令:$ echo $PATH
验证
验证您已安装的
roxctl版本:$ roxctl version
7.6.3.1.2. 在 macOS 上安装 roxctl CLI
您可以按照以下流程在 macOS 中安装 roxctl CLI 二进制文件。
macOS 的 roxctl CLI 可用于 amd64 和 arm64 架构。
步骤
确定目标操作系统的
roxctl架构:$ arch="$(uname -m | sed "s/x86_64//")"; arch="${arch:+-$arch}"下载
roxctlCLI:$ curl -L -f -o roxctl "https://mirror.openshift.com/pub/rhacs/assets/4.7.2/bin/Darwin/roxctl${arch}"从二进制文件中删除所有扩展属性:
$ xattr -c roxctl
使
roxctl二进制文件可执行:$ chmod +x roxctl
将
roxctl二进制文件放到PATH中的目录中:要查看您的
PATH,请执行以下命令:$ echo $PATH
验证
验证您已安装的
roxctl版本:$ roxctl version
7.6.3.1.3. 在 Windows 上安装 roxctl CLI
您可以按照以下流程在 Windows 上安装 roxctl CLI 二进制文件。
用于 Windows 的 roxctl CLI 可用于 amd64 架构。
步骤
下载
roxctlCLI:$ curl -f -O https://mirror.openshift.com/pub/rhacs/assets/4.7.2/bin/Windows/roxctl.exe
验证
验证您已安装的
roxctl版本:$ roxctl version
7.6.3.2. 安装传感器(Sensor)
要监控集群,您必须部署 Sensor。您必须将 Sensor 部署到要监控的每个集群中。此安装方法也称为清单安装方法。
要使用清单安装方法执行安装,请只按照以下步骤之一 操作:
- 使用 RHACS Web 门户下载集群捆绑包,然后提取并运行传感器脚本。
-
使用
roxctlCLI 为 OpenShift Container Platform 集群生成所需的 sensor 配置,并将其与 Central 实例关联。
先决条件
- 您必须已安装了 Central 服务,或者您可以通过选择 Red Hat Advanced Cluster Security Cloud Service (RHACS Cloud Service)上的 ACS 实例 来访问 Central 服务。
7.6.3.2.1. 使用 Web 门户的清单安装方法
步骤
-
在 RHACS 门户中的安全集群中,进入 Platform Configuration
Clusters。 -
选择 Secure a cluster
Legacy installation method。 - 为集群指定一个名称。
根据您要部署 Sensor 的位置,为字段提供适当的值。
-
输入 Central API 端点地址。您可以从 Red Hat Hybrid Cloud Console 导航菜单中选择 Advanced Cluster Security
ACS Instances 来查看此信息,然后点您创建的 RHACS 实例。
-
输入 Central API 端点地址。您可以从 Red Hat Hybrid Cloud Console 导航菜单中选择 Advanced Cluster Security
- 点 Next 以继续 Sensor 设置。
点 Download YAML File and Keys 下载集群捆绑包(zip 归档)。
重要集群捆绑包 zip 存档包括每个集群的唯一配置和密钥。不要在另一个集群中重复使用相同的文件。
从可访问被监控的集群的系统中,从集群捆绑包中提取并运行
sensor脚本:$ unzip -d sensor sensor-<cluster_name>.zip
$ ./sensor/sensor.sh
如果您收到部署 Sensor 所需的权限的警告,请按照屏幕说明操作,或联系集群管理员寻求帮助。
部署 Sensor 后,它会联系中心并提供集群信息。
7.6.3.2.2. 使用 roxctl CLI 安装清单
步骤
运行以下命令,为 OpenShift Container Platform 集群生成所需的传感器配置,并将其与您的 Central 实例关联:
$ roxctl sensor generate openshift --openshift-version <ocp_version> --name <cluster_name> --central "$ROX_ENDPOINT" 1
- 1
- 对于
--openshift-version选项,请指定集群的主 OpenShift Container Platform 版本号。例如,为 OpenShift Container Platform 版本3.x指定3,为 OpenShift Container Platform 版本4.x指定4。
从可访问被监控的集群的系统中,从集群捆绑包中提取并运行
sensor脚本:$ unzip -d sensor sensor-<cluster_name>.zip
$ ./sensor/sensor.sh
如果您收到部署 Sensor 所需的权限的警告,请按照屏幕说明操作,或联系集群管理员寻求帮助。
部署 Sensor 后,它会联系中心并提供集群信息。
验证
返回 RHACS 门户并检查部署是否成功。如果成功,当在 Platform Configuration
Clusters 中查看集群列表时,集群状态会显示一个绿色勾号和 Healthy 状态。如果您没有看到绿色勾选标记,请使用以下命令检查问题: 在 OpenShift Container Platform 中输入以下命令:
$ oc get pod -n stackrox -w
在 Kubernetes 上,输入以下命令:
$ kubectl get pod -n stackrox -w
- 点 Finish 关闭窗口。
安装后,Sensor 开始向 RHACS 报告安全信息,RHACS 门户仪表板开始显示部署、镜像和策略违反情况。
7.6.4. 后续步骤
- 通过确保安全集群可以与 ACS 实例通信来验证安装。???
