6.6. 从 RHACS 云服务安装安全集群资源

PDF

您可以使用 Operator 或 Helm chart 在安全集群中安装 RHACS 云服务。您还可以使用 roxctl CLI 安装它，但不要使用这个方法，除非您有需要使用它的特定安装需要。

先决条件

您已创建了 Red Hat OpenShift 集群，并在其上安装 Operator。
在 RHACS 云服务中的 ACS 控制台中，您已创建并下载 init 捆绑包。
您可以使用 oc create 命令应用 init 捆绑包。
在安装过程中，您记下 了 Central API 端点，包括地址和端口号。您可以从云控制台导航菜单中选择 Advanced Cluster Security ACS Instances 来查看此信息，然后点您创建的 ACS 实例。

6.6.1. 使用 Operator 在安全集群中安装 RHACS

6.6.1.1. 安装安全的集群服务

您可以使用 Operator 在集群中安装 Secured Cluster 服务，这将创建 SecuredCluster 自定义资源。您必须在要监控的环境中的每个集群中安装 Secured Cluster 服务。

先决条件

如果使用 OpenShift Container Platform，您必须安装版本 4.11 或更高版本。
您已在要保护的集群中安装了 RHACS Operator，称为安全集群。
您已生成 init 捆绑包并将其应用到集群。

流程

在安全集群的 OpenShift Container Platform Web 控制台中，进入 Operators Installed Operators 页面。
点 RHACS Operator。
从 Operator 详情页面的中央导航菜单中点 Secured Cluster。
点 Create SecuredCluster。
在 Configure via 字段中选择以下选项之一：
- 表单视图 ：如果要使用屏幕字段配置安全集群且不需要更改任何其他字段，则使用这个选项。
- YAML 视图 ：使用此视图使用 YAML 文件设置安全集群。YAML 文件显示在窗口中，您可以在其中编辑字段。如果您选择这个选项，请在完成编辑完该文件时，点 Create。
如果使用 Form view，请通过接受或编辑默认名称来输入新项目名称。默认值为 stackrox-secured-cluster-services。
可选：为集群添加任何标签。
输入您的 SecuredCluster 自定义资源的唯一名称。
对于 Central 端点，请输入您的 Central 实例的地址和端口号。例如，如果 Central 位于 https://central.example.com，则将中央端点指定为 central.example.com:443。
- 对于 RHACS 云服务，请使用 中央 API 端点，包括地址和端口号。您可以从云控制台导航菜单中选择 Advanced Cluster Security ACS Instances 来查看此信息，然后点您创建的 ACS 实例。
- 只有在安装了 Central 的同一集群中安装安全集群服务时，才使用 central.stackrox.svc:443 的默认值。
- 在配置多个集群时，不要使用默认值。反之，在为每个集群配置 Central Endpoint 值时使用主机名。
对于剩余的字段，接受默认值，或者根据需要配置自定义值。例如，如果您使用自定义证书或不受信任的 CA，您可能需要配置 TLS。如需更多信息，请参阅"使用 Operator 为 RHACS 配置安全集群服务选项"。
点 Create。
在短暂暂停后，Secured Clusters 页面会显示 stackrox-secured-cluster-services 的状态。您可能会看到以下条件：
- conditions: Deployed, Initialized: 已安装安全集群服务，安全集群与 Central 通信。
- conditions: Initialized, Irreconcilable: 安全集群没有与 Central 通信。确保将您在 RHACS web 门户中创建的 init 捆绑包应用到安全集群。

后续步骤

配置额外的安全集群设置（可选）。
验证安装。

6.6.2. 使用 Helm chart 在安全集群中安装 RHACS 云服务

您可以使用没有自定义的 Helm chart、使用默认值或配置参数自定义的 Helm chart 在安全集群中安装 RHACS。

首先，确保添加 Helm Chart 仓库。

6.6.2.1. 添加 Helm Chart 仓库

流程

添加 RHACS chart 存储库。

$ helm repo add rhacs https://mirror.openshift.com/pub/rhacs/charts/

Red Hat Advanced Cluster Security for Kubernetes 的 Helm 仓库包括用于安装不同组件的 Helm chart，包括：

用于安装集中组件（Central 和 Scanner）的中央服务Helm Chart（central-services）。
注意
您只部署集中式组件一次，并可使用同一安装监控多个独立集群。
安全集群服务 Helm Chart (secured-cluster-services)，用于安装 per-cluster 和 per-node 组件(Sensor、Admission Controller、Collector 和 Scanner-slim)。
注意
将 per-cluster 组件部署到要监控的每个集群中，并在要监控的所有节点中部署 per-node 组件。

验证

运行以下命令来验证添加的 chart 存储库：
```
$ helm search repo -l rhacs/
```

6.6.2.2. 使用 Helm chart 在安全集群中安装 RHACS 云服务

6.6.2.2.1. 在不使用自定义配置的情况下安装 secured-cluster-services Helm chart

使用以下说明安装 secure-cluster-services Helm chart，以部署 per-cluster 和 per-node 组件(Sensor、Admission controller、Collector 和 Scanner-slim)。

先决条件

您必须已为集群生成 RHACS init 捆绑包。
您必须有权访问 Red Hat Container Registry 和一个 pull secret 进行身份验证。有关从 registry.redhat.io 下载镜像的详情，请参考 Red Hat Container Registry Authentication。
您必须有用于公开 Central 服务的地址和端口号。

流程

在基于 Kubernetes 的集群上运行以下命令：

$ helm install -n stackrox --create-namespace \
    stackrox-secured-cluster-services rhacs/secured-cluster-services \
    -f <path_to_cluster_init_bundle.yaml> \1
    -f <path_to_pull_secret.yaml> \2
    --set clusterName=<name_of_the_secured_cluster> \
    --set centralEndpoint=<endpoint_of_central_service> 3
    --set imagePullSecrets.username=<your redhat.com username> \4
    --set imagePullSecrets.password=<your redhat.com password>5

1: 使用 -f 选项指定 init 捆绑包的路径。
2: 使用 -f 选项指定 Red Hat Container Registry 身份验证的 pull secret 的路径。
3: 指定 Central 的地址和端口号。例如，acs.domain.com:443。
4: 为 Red Hat Container Registry 身份验证包含 pull secret 的用户名。
5: 包括 Red Hat Container Registry 身份验证的 pull secret 密码。

在 OpenShift Container Platform 集群中运行以下命令：
```
$ helm install -n stackrox --create-namespace \
    stackrox-secured-cluster-services rhacs/secured-cluster-services \
    -f <path_to_cluster_init_bundle.yaml> \1
    -f <path_to_pull_secret.yaml> \2
    --set clusterName=<name_of_the_secured_cluster> \
    --set centralEndpoint=<endpoint_of_central_service> 3
    --set scanner.disable=false 4
```
1
使用 -f 选项指定 init 捆绑包的路径。
2
使用 -f 选项指定 Red Hat Container Registry 身份验证的 pull secret 的路径。
3
指定 Central 的地址和端口号。例如，acs.domain.com:443。
4
将 scanner.disable 参数的值设置为 false，这意味着在安装过程中将启用 Scanner-slim。在 Kubernetes 中，安全集群服务现在包括 Scanner-slim 作为可选组件。

其他资源

6.6.2.3. 使用自定义配置 secured-cluster-services Helm chart

您可以将 Helm Chart 配置参数与 helm install 和 helm upgrade 命令一起使用。使用 --set 选项或创建 YAML 配置文件来指定这些参数。

创建以下文件来配置 Helm chart 来安装 Red Hat Advanced Cluster Security for Kubernetes：

公共配置文件 values-public.yaml ：使用此文件保存所有非敏感配置选项。
专用配置文件 values-private.yaml ：使用此文件保存所有敏感配置选项。确保您安全地存储这个文件。

重要

使用 secured-cluster-services Helm Chart 时，请不要更改属于 chart 的 values.yaml 文件。

6.6.2.3.1. 配置参数

参数	Description
`clusterName`	集群的名称。
`centralEndpoint`	Central 端点的地址，包括端口号。如果使用一个支持非 gRPC 的负载均衡器，请使用带有 `ws://` 的端点地址的 WebSocket 协议。在配置多个集群时，使用地址的主机名（如 `central.example.com:443`）。
`sensor.endpoint`	Sensor 端点的地址，包括端口号。
`sensor.imagePullPolicy`	Sensor 容器的镜像拉取策略。
`sensor.serviceTLS.cert`	Sensor 使用的内部服务到服务 TLS 证书。
`sensor.serviceTLS.key`	Sensor 使用的内部服务到服务 TLS 证书密钥。
`sensor.resources.requests.memory`	Sensor 容器的内存请求。使用此参数覆盖默认值。
`sensor.resources.requests.cpu`	Sensor 容器的 CPU 请求。使用此参数覆盖默认值。
`sensor.resources.limits.memory`	Sensor 容器的内存限值。使用此参数覆盖默认值。
`sensor.resources.limits.cpu`	Sensor 容器的 CPU 限制。使用此参数覆盖默认值。
`sensor.nodeSelector`	将节点选择器标签指定为 `label-key: label-value`，以强制 Sensor 仅调度到具有指定标签的节点。
`sensor.tolerations`	如果节点选择器选择污点节点，请使用此参数指定污点容限键、值和 Sensor 的效果。此参数主要用于基础架构节点。
`image.main.name`	`main（主）` 镜像的名称。
`image.collector.name`	Collector 镜像的名称。
`image.main.registry`	用于主镜像的 registry 地址。
`image.collector.registry`	用于 Collector 镜像的 registry 地址。
`image.main.pullPolicy`	`main` 镜像的镜像拉取策略。
`image.collector.pullPolicy`	Collector 镜像的镜像拉取策略。
`image.main.tag`	使用 `main` 镜像标签。
`image.collector.tag`	使用 `collector` 镜像标签。
`collector.collectionMethod`	`CORE_BPF`、`EBPF` （已弃用）或 `NO_COLLECTION`。
`collector.imagePullPolicy`	Collector 容器的镜像拉取策略。
`collector.complianceImagePullPolicy`	Compliance 容器的镜像拉取策略。
`collector.disableTaintTolerations`	如果指定了 `false`，则容限应用到 Collector，并且收集器 pod 可以调度到具有污点的所有节点上。如果将其指定为 `true`，则不会应用任何容限，且收集器 pod 不会调度到具有污点的节点。
`collector.resources.requests.memory`	Collector 容器的内存请求。使用此参数覆盖默认值。
`collector.resources.requests.cpu`	Collector 容器的 CPU 请求。使用此参数覆盖默认值。
`collector.resources.limits.memory`	Collector 容器的内存限值。使用此参数覆盖默认值。
`collector.resources.limits.cpu`	Collector 容器的 CPU 限制。使用此参数覆盖默认值。
`collector.complianceResources.requests.memory`	Compliance 容器的内存请求。使用此参数覆盖默认值。
`collector.complianceResources.requests.cpu`	Compliance 容器的 CPU 请求。使用此参数覆盖默认值。
`collector.complianceResources.limits.memory`	Compliance 容器的内存限值。使用此参数覆盖默认值。
`collector.complianceResources.limits.cpu`	Compliance 容器的 CPU 限制。使用此参数覆盖默认值。
`collector.serviceTLS.cert`	Collector 使用的内部服务到服务的 TLS 证书。
`collector.serviceTLS.key`	Collector 使用的内部服务到服务的 TLS 证书密钥。
`admissionControl.listenOnCreates`	此设置控制 Kubernetes 是否配置为联系 Red Hat Advanced Cluster Security for Kubernetes，使用 `AdmissionReview` 请求进行工作负载创建事件。
`admissionControl.listenOnUpdates`	当将此参数设置为 `false` 时，Red Hat Advanced Cluster Security for Kubernetes 会以 Kubernetes API 服务器不发送对象更新事件的方式创建 `ValidatingWebhookConfiguration`。由于对象更新的卷通常高于对象创建的，所以保留此项为 `false` 会限制准入控制服务的负载，并减少准入控制服务的几率。
`admissionControl.listenOnEvents`	此设置控制集群是否被配置为联系 Red Hat Advanced Cluster Security for Kubernetes，使用 `AdmissionReview` 请求用于 Kubernetes `exec` 和 `portforward` 事件。RHACS 不支持 OpenShift Container Platform 3.11 的此功能。
`admissionControl.dynamic.enforceOnCreates`	此设置控制 Red Hat Advanced Cluster Security for Kubernetes 是否评估策略 ; 如果被禁用，则会自动接受所有 AdmissionReview 请求。
`admissionControl.dynamic.enforceOnUpdates`	此设置控制准入控制服务的行为。您必须把 `listenOnUpdates` 指定为 `true` 才能正常工作。
`admissionControl.dynamic.scanInline`	如果将这个选项设置为 `true`，则准入控制服务会在做出准入决策前请求镜像扫描。由于镜像扫描需要几秒钟，因此只有在您确保部署前扫描集群中使用的所有镜像（例如，在镜像构建期间通过 CI 集成），才启用此选项。这个选项与 RHACS 门户中的 Contact image scanners 选项对应。
`admissionControl.dynamic.disableBypass`	将它设置为 `true` 以禁用绕过 Admission 控制器。
`admissionControl.dynamic.timeout`	在评估准入审核请求时，Red Hat Advanced Cluster Security for Kubernetes 应该等待的时间（以秒为单位）。使用它来设置启用镜像扫描时的请求超时。如果镜像扫描运行的时间比指定的时间长，Red Hat Advanced Cluster Security for Kubernetes 接受请求。
`admissionControl.resources.requests.memory`	Admission Control 容器的内存请求。使用此参数覆盖默认值。
`admissionControl.resources.requests.cpu`	Admission Control 容器的 CPU 请求。使用此参数覆盖默认值。
`admissionControl.resources.limits.memory`	Admission Control 容器的内存限值。使用此参数覆盖默认值。
`admissionControl.resources.limits.cpu`	Admission Control 容器的 CPU 限制。使用此参数覆盖默认值。
`admissionControl.nodeSelector`	将节点选择器标签指定为 `label-key: label-value`，以强制 Admission Control 仅调度到具有指定标签的节点。
`admissionControl.tolerations`	如果节点选择器选择污点节点，请使用此参数指定污点容限键、值以及 Admission Control 的效果。此参数主要用于基础架构节点。
`admissionControl.serviceTLS.cert`	Admission Control 使用的内部服务到服务的 TLS 证书。
`admissionControl.serviceTLS.key`	Admission Control 使用的内部服务对服务的 TLS 证书密钥。
`registryOverride`	使用此参数覆盖默认的 `docker.io` registry。如果使用其他 registry，请指定 registry 的名称。
`collector.disableTaintTolerations`	如果指定了 `false`，则容限应用到 Collector，Collector pod 可以调度到具有污点的所有节点上。如果您将其指定为 `true`，则不会应用任何容限，Collector pod 不会调度到具有污点的节点。
`createUpgraderServiceAccount`	指定 `true` 以创建 `sensor-upgrader` 帐户。默认情况下，Red Hat Advanced Cluster Security for Kubernetes 在每个安全集群中创建一个名为 `sensor-upgrader` 的服务帐户。此帐户具有高特权，但仅在升级过程中使用。如果您没有创建这个帐户，当 Sensor 没有足够权限时，则必须手动完成将来的升级。
`createSecrets`	指定 `false` 以跳过 Sensor、Collector 和 Admission 控制器的编配 secret 创建。
`collector.slimMode`	如果要使用 slim Collector 镜像部署 Collector，请指定 `true`。使用带有 EBPF 集合方法的 slim Collector 镜像需要 Central 提供匹配的 eBPF 探测。如果您以离线模式运行 Red Hat Advanced Cluster Security for Kubernetes，您必须从 stackrox.io 下载内核支持软件包，并将其上传到 Central slim Collectors 才能正常工作。否则，您必须确保 Central 可以访问托管在 https://collector-modules.stackrox.io/ 的在线探测存储库。
`sensor.resources`	Sensor 的资源规格。
`admissionControl.resources`	Admission 控制器的资源规格。
`collector.resources`	Collector 的资源规格。
`collector.complianceResources`	Collector 的 Compliance 容器的资源规格。
`exposeMonitoring`	如果将此选项设置为 `true`，Red Hat Advanced Cluster Security for Kubernetes 会在 Sensor、Collector 和 Admission 控制器的端口号 9090 上公开 Prometheus 指标端点。
`auditLogs.disableCollection`	如果将此选项设置为 `true`，Red Hat Advanced Cluster Security for Kubernetes 会禁用用于检测对配置映射和 secret 的访问和修改的审计日志检测功能。
`scanner.disable`	如果将此选项设置为 `false`，Red Hat Advanced Cluster Security for Kubernetes 会在安全集群中部署一个 Scanner-slim 和 Scanner DB，以允许扫描 OpenShift Container Registry 上的镜像。OpenShift Container Platform 和 Kubernetes 安全集群中支持启用 Scanner-slim。默认值为 `true`。
`scanner.dbTolerations`	如果节点选择器选择污点节点，请使用此参数为 Scanner DB 指定污点容限键、值和效果。
`scanner.replicas`	Collector 的 Compliance 容器的资源规格。
`scanner.logLevel`	通过设置此参数，您可以修改扫描程序日志级别。使用这个选项仅用于故障排除目的。
`scanner.autoscaling.disable`	如果将此选项设置为 `true`，Red Hat Advanced Cluster Security for Kubernetes 会禁用 Scanner 部署中的自动扩展。
`scanner.autoscaling.minReplicas`	自动扩展的最小副本数。默认值为 2。
`scanner.autoscaling.maxReplicas`	自动扩展的最大副本数。默认值为 5。
`scanner.nodeSelector`	将节点选择器标签指定为 `label-key: label-value`，以强制 Scanner 仅调度到具有指定标签的节点。
`scanner.tolerations`	如果节点选择器选择污点节点，请使用此参数为 Scanner 指定污点容限键、值和效果。
`scanner.dbNodeSelector`	将节点选择器标签指定为 `label-key: label-value`，以强制 Scanner DB 仅调度到具有指定标签的节点。
`scanner.dbTolerations`	如果节点选择器选择污点节点，请使用此参数为 Scanner DB 指定污点容限键、值和效果。
`scanner.resources.requests.memory`	Scanner 容器的内存请求。使用此参数覆盖默认值。
`scanner.resources.requests.cpu`	Scanner 容器的 CPU 请求。使用此参数覆盖默认值。
`scanner.resources.limits.memory`	Scanner 容器的内存限值。使用此参数覆盖默认值。
`scanner.resources.limits.cpu`	Scanner 容器的 CPU 限制。使用此参数覆盖默认值。
`scanner.dbResources.requests.memory`	Scanner DB 容器的内存请求。使用此参数覆盖默认值。
`scanner.dbResources.requests.cpu`	Scanner DB 容器的 CPU 请求。使用此参数覆盖默认值。
`scanner.dbResources.limits.memory`	Scanner DB 容器的内存限值。使用此参数覆盖默认值。
`scanner.dbResources.limits.cpu`	Scanner DB 容器的 CPU 限制。使用此参数覆盖默认值。
`monitoring.openshift.enabled`	如果将此选项设置为 `false`，Red Hat Advanced Cluster Security for Kubernetes 将不会设置 Red Hat OpenShift 监控。在 Red Hat OpenShift 4 上默认为 `true`。

6.6.2.3.1.1. 环境变量

您可以采用以下格式指定 Sensor 和 Admission Controller 的环境变量：

customize:
  envVars:
    ENV_VAR1: "value1"
    ENV_VAR2: "value2"

通过 customize 设置，您可以为此 Helm Chart 创建的所有对象指定自定义 Kubernetes 元数据（标签和注解）以及工作负载的其他 pod 标签、Pod 注解和容器环境变量。

配置是分层的，在更通用范围（例如，所有对象）中定义的元数据被覆盖为更通用范围的元数据（例如，仅适用于 Sensor 部署）。

6.6.2.3.2. 使用自定义安装 secured-cluster-services Helm chart

配置 values-public.yaml 和 values-private.yaml 文件后，安装 secure-cluster-services Helm chart 以部署以下 per-cluster 和 per-node 组件：

Sensor
准入控制器
Collector
scanner：安装 StackRox Scanner 时为安全集群可选
扫描程序 DB：安装 StackRox Scanner 时为安全集群可选
安装 Scanner V4 Indexer 和 Scanner V4 DB 时，扫描程序 V4 Indexer 和 Scanner V4 DB: 可选

重要

扫描程序 V4 只是一个技术预览功能。技术预览功能不受红帽产品服务等级协议（SLA）支持，且功能可能并不完整。红帽不推荐在生产环境中使用它们。这些技术预览功能可以使用户提早试用新的功能，并有机会在开发阶段提供反馈意见。

有关红帽技术预览功能支持范围的更多信息，请参阅技术预览功能支持范围。

先决条件

您必须已为集群生成 RHACS init 捆绑包。
您必须有权访问 Red Hat Container Registry 和一个 pull secret 进行身份验证。有关从 registry.redhat.io 下载镜像的详情，请参考 Red Hat Container Registry Authentication。
您必须有用于公开 Central 服务的地址和端口号。

流程

运行以下命令：

$ helm install -n stackrox \
  --create-namespace stackrox-secured-cluster-services rhacs/secured-cluster-services \
  -f <name_of_cluster_init_bundle.yaml> \
  -f <path_to_values_public.yaml> -f <path_to_values_private.yaml> \1
  --set imagePullSecrets.username=<username> \2
  --set imagePullSecrets.password=<password> 3

1: 使用 -f 选项指定 YAML 配置文件的路径。
2: 为 Red Hat Container Registry 身份验证包含 pull secret 的用户名。
3: 包括 Red Hat Container Registry 身份验证的 pull secret 密码。

注意

要使用持续集成(CI)系统部署 secure-cluster-services Helm Chart，请将 init 捆绑包 YAML 文件作为环境变量传递给 helm install 命令：

$ helm install ... -f <(echo "$INIT_BUNDLE_YAML_SECRET") 1

1: 如果您使用 base64 编码变量，请使用 helm install … -f <(echo "$INIT_BUNDLE_YAML_SECRET" | base64 --decode) 命令。

其他资源

6.6.2.4. 在部署 secure-cluster-services Helm chart 后更改配置选项

在部署 secure-cluster-services Helm Chart 后，您可以对任何配置选项进行更改。

当使用 helm upgrade 命令进行修改时，会应用以下准则和要求：

您还可以使用 --set 或 --set-file 参数指定配置值。但是，这些选项不会被保存，每当您进行更改时，您必须手动指定所有选项。
有些更改（如启用 Scanner V4）需要为组件发布新证书。因此，您必须在进行这些更改时提供 CA。
重要
扫描程序 V4 只是一个技术预览功能。技术预览功能不受红帽产品服务等级协议（SLA）支持，且功能可能并不完整。红帽不推荐在生产环境中使用它们。这些技术预览功能可以使用户提早试用新的功能，并有机会在开发阶段提供反馈意见。
有关红帽技术预览功能支持范围的更多信息，请参阅技术预览功能支持范围。
- 如果 CA 在初始安装过程中由 Helm chart 生成，则必须从集群中检索这些值，并将其提供给 helm upgrade 命令。central-services Helm Chart 的安装后备注包括用于检索自动生成的值的命令。
- 如果 CA 在 Helm Chart 之外生成，并在安装 central-services chart 时提供，那么您必须在使用 helm upgrade 命令时再次执行该操作，例如在 helm upgrade 命令中使用 --reuse-values 标志。

流程

使用新值更新 values-public.yaml 和 values-private.yaml 配置文件。

运行 helm upgrade 命令并使用 -f 选项指定配置文件：

$ helm upgrade -n stackrox \
  stackrox-secured-cluster-services rhacs/secured-cluster-services \
  --reuse-values \1
  -f <path_to_values_public.yaml> \
  -f <path_to_values_private.yaml>

1: 如果您修改了没有包括在 values_public.yaml 和 values_private.yaml 文件中的值，请包含 --reuse-values 参数。

6.6.3. 使用 roxctl CLI 在安全集群中安装 RHACS

要使用 CLI 在安全集群中安装 RHACS，请执行以下步骤：

安装 roxctl CLI。
安装 Sensor。

6.6.3.1. 安装 roxctl CLI

您必须首先下载二进制文件。您可以在 Linux、Windows 或 macOS 上安装 roxctl。

6.6.3.1.1. 在 Linux 中安装 roxctl CLI

您可以按照以下流程在 Linux 上安装 roxctl CLI 二进制文件。

注意

用于 Linux 的 roxctl CLI 可用于 amd64、 ppc64le 和 s390x 架构。

流程

确定目标操作系统的 roxctl 架构：

$ arch="$(uname -m | sed "s/x86_64//")"; arch="${arch:+-$arch}"

下载 roxctl CLI：

$ curl -f -o roxctl "https://mirror.openshift.com/pub/rhacs/assets/4.4.3/bin/Linux/roxctl${arch}"

使 roxctl 二进制文件可执行：
```
$ chmod +x roxctl
```
将 roxctl 二进制文件放到 PATH 中的目录中：
要查看您的 PATH，请执行以下命令：
```
$ echo $PATH
```

验证

验证您已安装的 roxctl 版本：
```
$ roxctl version
```

6.6.3.1.2. 在 macOS 上安装 roxctl CLI

您可以按照以下流程在 macOS 中安装 roxctl CLI 二进制文件。

注意

用于 macOS 的 roxctl CLI 可用于 amd64 架构。

流程

下载 roxctl CLI：

$ curl -f -O https://mirror.openshift.com/pub/rhacs/assets/4.4.3/bin/Darwin/roxctl

从二进制文件中删除所有扩展属性：
```
$ xattr -c roxctl
```
使 roxctl 二进制文件可执行：
```
$ chmod +x roxctl
```
将 roxctl 二进制文件放到 PATH 中的目录中：
要查看您的 PATH，请执行以下命令：
```
$ echo $PATH
```

验证

验证您已安装的 roxctl 版本：
```
$ roxctl version
```

6.6.3.1.3. 在 Windows 上安装 roxctl CLI

您可以按照以下流程在 Windows 上安装 roxctl CLI 二进制文件。

注意

amd64 架构提供了适用于 Windows 的 roxctl CLI。

流程

下载 roxctl CLI：

$ curl -f -O https://mirror.openshift.com/pub/rhacs/assets/4.4.3/bin/Windows/roxctl.exe

验证

验证您已安装的 roxctl 版本：
```
$ roxctl version
```

6.6.3.2. 安装传感器（Sensor）

要监控集群，您必须部署 Sensor。您必须将 Sensor 部署到要监控的每个集群中。此安装方法也称为清单安装方法。

要使用清单安装方法执行安装，请仅遵循以下流程之一 ：

使用 RHACS web 门户下载集群捆绑包，然后提取并运行传感器脚本。
使用 roxctl CLI 为 OpenShift Container Platform 集群生成所需的传感器配置，并将其与您的 Central 实例关联。

先决条件

您必须已安装了 Central 服务，也可以在 Red Hat Advanced Cluster Security Cloud Service (RHACS Cloud Service)上选择 ACS 实例 来访问 Central 服务。

6.6.3.2.1. 使用 Web 门户的清单安装方法

流程

在安全集群中，在 RHACS 门户中，进入 Platform Configuration Clusters。
选择 Secure a cluster Legacy 安装方法。
为集群指定一个名称。
根据您要部署 Sensor 的位置，为字段提供适当的值。
- 如果您要在同一集群中部署 Sensor，请接受所有字段的默认值。
- 如果您要部署到不同的集群中，请将 central.stackrox.svc:443 替换为负载均衡器、节点端口或其他地址，包括端口号，可以被其他集群访问。
- 如果您使用一个支持非 gRPC 的负载均衡器，如 HAProxy、AWS Application Load Balancer (ALB) 或 AWS Elastic Load Balancing (ELB)，请使用 WebSocket Secure (wss) 协议。使用 ws ：
  - 使用 wss:// 为地址加上前缀。
  - 在地址后添加端口号，例如 ws://stackrox-central.example.com:443。
点 Next 以继续 Sensor 设置。
点 Download YAML File and Keys 下载集群捆绑包（zip 归档）。
重要
集群捆绑包 zip 存档包括每个集群的唯一配置和密钥。不要在另一个集群中重复使用相同的文件。
在可以访问被监控的集群的系统中，从集群捆绑包中提取并运行 sensor 脚本：
```
$ unzip -d sensor sensor-<cluster_name>.zip
```
```
$ ./sensor/sensor.sh
```
如果您收到没有部署 Sensor 所需的权限的警告，请按照屏幕说明操作，或联系集群管理员寻求帮助。

部署 Sensor 后，它会联系中心并提供集群信息。

6.6.3.2.2. 使用 roxctl CLI 安装清单

流程

运行以下命令，为 OpenShift Container Platform 集群生成所需的传感器配置，并将其与您的 Central 实例关联：
```
$ roxctl sensor generate openshift --openshift-version <ocp_version> --name <cluster_name> --central "$ROX_ENDPOINT" 1
```
1
对于 --openshift-version 选项，请指定集群的主 OpenShift Container Platform 版本号。例如，为 OpenShift Container Platform 版本 3.x 指定 3，为 OpenShift Container Platform 版本 4.x 指定 4。
在可以访问被监控的集群的系统中，从集群捆绑包中提取并运行 sensor 脚本：
```
$ unzip -d sensor sensor-<cluster_name>.zip
```
```
$ ./sensor/sensor.sh
```
如果您收到没有部署 Sensor 所需的权限的警告，请按照屏幕说明操作，或联系集群管理员寻求帮助。

部署 Sensor 后，它会联系中心并提供集群信息。

验证

返回 RHACS 门户并检查部署是否成功。如果成功，当在 Platform Configuration Clusters 中查看集群列表时，集群状态会显示一个绿色勾号和 Healthy 状态。如果您没有看到绿色勾选标记，请使用以下命令检查问题：
- 在 OpenShift Container Platform 中输入以下命令：
```
$ oc get pod -n stackrox -w
```
- 在 Kubernetes 上，输入以下命令：
```
$ kubectl get pod -n stackrox -w
```
点 Finish 关闭窗口。

安装后，Sensor 开始向 RHACS 报告安全信息，RHACS 门户仪表板开始显示部署、镜像和策略违反情况。

6.6.4. 后续步骤

通过确保安全集群可以与 ACS 实例通信来验证安装。???

6.6. 从 RHACS 云服务安装安全集群资源

6.6.1. 使用 Operator 在安全集群中安装 RHACS

6.6.1.1. 安装安全的集群服务

6.6.2. 使用 Helm chart 在安全集群中安装 RHACS 云服务

6.6.2.1. 添加 Helm Chart 仓库

6.6.2.2. 使用 Helm chart 在安全集群中安装 RHACS 云服务

6.6.2.2.1. 在不使用自定义配置的情况下安装 secured-cluster-services Helm chart

6.6.2.3. 使用自定义配置 secured-cluster-services Helm chart

6.6.2.3.1. 配置参数

6.6.2.3.1.1. 环境变量

6.6.2.3.2. 使用自定义安装 secured-cluster-services Helm chart

6.6.2.4. 在部署 secure-cluster-services Helm chart 后更改配置选项

6.6.3. 使用 roxctl CLI 在安全集群中安装 RHACS

6.6.3.1. 安装 roxctl CLI

6.6.3.1.1. 在 Linux 中安装 roxctl CLI

6.6.3.1.2. 在 macOS 上安装 roxctl CLI

6.6.3.1.3. 在 Windows 上安装 roxctl CLI

6.6.3.2. 安装传感器（Sensor）

6.6.3.2.1. 使用 Web 门户的清单安装方法

6.6.3.2.2. 使用 roxctl CLI 安装清单

6.6.4. 后续步骤

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Red Hat legal and privacy links

Red Hat legal and privacy links