5.3. 在其他平台上为 RHACS 生成并应用 init 捆绑包
在集群中安装 SecuredCluster
资源前,您必须创建一个 init 捆绑包。安装并配置 SecuredCluster
的集群,然后使用此捆绑包与 Central 进行身份验证。您可以使用 RHACS 门户或 roxctl
CLI 创建 init 捆绑包。然后,您可以使用它应用 init 捆绑包来创建资源。
您必须具有 Admin
用户角色才能创建 init 捆绑包。
5.3.1. 生成 init 捆绑包
5.3.1.1. 使用 RHACS 门户生成 init 捆绑包
您可以使用 RHACS 门户创建包含 secret 的 init 捆绑包。
您必须具有 Admin
用户角色才能创建 init 捆绑包。
流程
- 如"使用 Operator 方法验证中央安装"中所述,查找 RHACS 门户的地址。
- 登录到 RHACS 门户。
-
如果您没有安全集群,则会出现 Platform Configuration
Clusters 页面。 - 点 Create init bundle。
- 为集群 init 捆绑包输入一个名称。
- 选择您的平台。
- 选择您要用于安全集群的安装方法: Operator 或 Helm Chart。
点 Download 生成并下载以 YAML 文件形式创建的 init 捆绑包。如果您使用相同的安装方法,您可以对所有安全集群使用一个 init 捆绑包及其对应的 YAML 文件。
重要安全地存储此捆绑包,因为它包含 secret。
- 通过使用它来在安全集群中创建资源来应用 init 捆绑包。
- 在每个集群中安装安全的集群服务。
5.3.1.2. 使用 roxctl CLI 生成 init 捆绑包
您可以使用 roxctl
CLI 创建带有 secret 的 init 捆绑包。
您必须具有 Admin
用户角色才能创建 init 捆绑包。
先决条件
您已配置了
ROX_API_TOKEN
和ROX_CENTRAL_ADDRESS
环境变量:运行以下命令设置
ROX_API_TOKEN
:$ export ROX_API_TOKEN=<api_token>
运行以下命令设置
ROX_CENTRAL_ADDRESS
环境变量:$ export ROX_CENTRAL_ADDRESS=<address>:<port_number>
流程
要生成包含 Helm 安装 secret 的集群 init 捆绑包,请运行以下命令:
$ roxctl -e "$ROX_CENTRAL_ADDRESS" \ central init-bundles generate <cluster_init_bundle_name> \ --output cluster_init_bundle.yaml
要生成包含 Operator 安装 secret 的集群 init 捆绑包,请运行以下命令:
$ roxctl -e "$ROX_CENTRAL_ADDRESS" \ central init-bundles generate <cluster_init_bundle_name> \ --output-secrets cluster_init_bundle.yaml
重要确保您安全地存储此捆绑包,因为它包含 secret。您可以使用同一捆绑包来设置多个安全集群。
5.3.1.3. 在安全集群中应用 init 捆绑包
在配置安全集群前,您必须使用它来应用 init 捆绑包来在集群中创建所需资源。应用 init 捆绑包可让安全集群中的服务与 Central 通信。
如果使用 Helm chart 安装,请不要执行此步骤。使用 Helm 完成安装 ; 请参阅"使用 Helm chart 在安全集群中安装 RHACS"。
先决条件
- 您必须生成了一个包含 secret 的 init 捆绑包。
-
您必须在安装安全集群服务的集群中创建了
stackrox
项目或命名空间。不需要将stackrox
用于项目,而是确保在扫描集群时不会报告 RHACS 进程的漏洞。
流程
要创建资源,请执行以下步骤之一:
-
使用 OpenShift Container Platform Web 控制台创建资源: 在 OpenShift Container Platform Web 控制台中,确保您位于
stackrox
命名空间中。在顶部菜单中,点 + 打开 Import YAML 页面。您可以拖动 init 捆绑包文件或将其内容复制并粘贴到编辑器中,然后点 Create。命令完成后,显示显示collector-tls
、sensor-tls
和 admission-control-tls 的资源已创建。 使用 Red Hat OpenShift CLI 创建资源: 使用 Red Hat OpenShift CLI 运行以下命令来创建资源:
$ oc create -f <init_bundle>.yaml \1 -n <stackrox> 2
使用
kubectl
CLI,运行以下命令来创建资源:$ kubectl create namespace stackrox 1 $ kubectl create -f <init_bundle>.yaml \2 -n <stackrox> 3
5.3.2. 后续步骤
- 在您要监控的所有集群中安装 RHACS 安全集群服务。