/sys/kernel/btf/vmlinux
/boot/vmlinux-<kernel-version>
/lib/modules/<kernel-version>/vmlinux-<kernel-version>
/lib/modules/<kernel-version>/build/vmlinux
/usr/lib/modules/<kernel-version>/kernel/vmlinux
/usr/lib/debug/boot/vmlinux-<kernel-version>
/usr/lib/debug/boot/vmlinux-<kernel-version>.debug
/usr/lib/debug/lib/modules/<kernel-version>/vmlinux
×
Red Hat Advanced Cluster Security 云服务的默认资源需求
RHACS 云服务的一般要求
在安装 Red Hat Advanced Cluster Security 云服务之前,您的系统必须满足以下几个要求。
|
您不能在以下系统上安装 RHACS 云服务:
|
要安装 RHACS 云服务,您必须拥有以下系统之一:
-
OpenShift Container Platform 4.12 或更高版本,以及使用受支持的操作系统 Red Hat Enterprise Linux CoreOS (RHCOS) 或 Red Hat Enterprise Linux (RHEL) 的集群节点。
-
受支持的托管 Kubernetes 平台,以及使用受支持的操作系统 Amazon Linux、CentOS、Google Container-Optimized OS、Red Hat Enterprise Linux CoreOS (RHCOS)、Debian、Red Hat Enterprise Linux (RHEL) 或 Ubuntu 的集群节点。
有关受支持的平台和架构的信息,请参阅 Red Hat Advanced Cluster Security for Kubernetes 支持矩阵。
以下最低要求和建议适用于集群节点。
- 架构
-
支持的架构为
amd64、ppc64le或s390x。安全集群服务支持在 IBM Power (
ppc64le)、IBM Z (s390x) 和 IBM® LinuxONE (s390x) 集群上运行。 - 处理器
-
需要 3 个 CPU 内核。
- 内存
-
需要 6 GiB RAM。
查看每个组件的默认内存和 CPU 要求,并确保节点大小能够支持它们。
- 存储
-
对于 RHACS 云服务,不需要持久卷声明 (PVC)。但是,如果您启用了 Scanner V4 的安全集群,强烈建议使用 PVC。使用固态硬盘 (SSD) 可获得最佳性能。但是,如果您没有可用的 SSD,也可以使用其他存储类型。
您不能将 Ceph FS 存储与 RHACS 云服务一起使用。Red Hat 建议为 RHACS 云服务使用 RBD 块模式 PVC。
如果您计划使用 Helm 图表安装 RHACS 云服务,则必须满足以下要求
-
如果您使用 Helm 图表安装或配置 RHACS 云服务,则必须拥有 Helm 命令行界面 (CLI) v3.2 或更高版本。使用
helm version命令验证您已安装的 Helm 版本。 -
您必须能够访问 Red Hat 容器注册表。有关从
registry.redhat.io下载镜像的信息,请参见 Red Hat 容器注册表身份验证。
安全集群服务
安全集群服务包含以下组件
-
传感器
-
准入控制器
-
收集器
-
扫描器 (可选)
-
Scanner V4 (可选)
如果您使用 Web 代理或防火墙,则必须确保安全集群和中央可以在 HTTPS 443 端口上通信。
传感器
传感器监控您的 Kubernetes 和 OpenShift Container Platform 集群。这些服务目前部署在一个单一部署中,它处理与 Kubernetes API 的交互并与其他 Red Hat Advanced Cluster Security for Kubernetes 组件协调。
CPU 和内存要求
下表列出了在安全集群上安装和运行传感器所需的最小 CPU 和内存值。
| 传感器 | CPU | 内存 |
|---|---|---|
请求 |
2 核 |
4 GiB |
限制 |
4 核 |
8 GiB |
准入控制器
准入控制器可防止用户创建违反您配置的策略的工作负载。
CPU 和内存要求
默认情况下,准入控制服务运行 3 个副本。下表列出了每个副本的请求和限制。
| 准入控制器 | CPU | 内存 |
|---|---|---|
请求 |
0.05 核 |
100 MiB |
限制 |
0.5 核 |
500 MiB |
收集器
收集器作为 DaemonSet 监控安全集群中每个节点上的运行时活动。它连接到传感器以报告此信息。收集器 Pod 包含三个容器。第一个容器是收集器,它监控并报告节点上的运行时活动。另外两个是合规性和节点清单。
收集要求
要使用 CORE_BPF 收集方法,基本内核必须支持 BTF,并且 BTF 文件必须可供收集器使用。通常,内核版本必须高于 5.8(RHEL 节点为 4.18),并且必须设置 CONFIG_DEBUG_INFO_BTF 配置选项。
收集器在以下列表中显示的标准位置查找 BTF 文件
BTF 文件位置
如果存在任何这些文件,则内核可能支持 BTF,并且 CORE_BPF 可配置。
CPU 和内存要求
默认情况下,收集器 Pod 运行 3 个容器。下表列出了每个容器的请求和限制以及每个收集器 Pod 的总计。
收集器容器
| 类型 | CPU | 内存 |
|---|---|---|
请求 |
0.06 核 |
320 MiB |
限制 |
0.9 核 |
1000 MiB |
合规性容器
| 类型 | CPU | 内存 |
|---|---|---|
请求 |
0.01 核 |
10 MiB |
限制 |
1 核 |
2000 MiB |
节点清单容器
| 类型 | CPU | 内存 |
|---|---|---|
请求 |
0.01 核 |
10 MiB |
限制 |
1 核 |
500 MiB |
收集器 Pod 总需求
| 类型 | CPU | 内存 |
|---|---|---|
请求 |
0.07 核 |
340 MiB |
限制 |
2.75 核 |
3500 MiB |
扫描器
CPU 和内存要求
此表中的要求基于默认的 3 个副本。
| StackRox 扫描器 | CPU | 内存 |
|---|---|---|
请求 |
3 核 |
4500 MiB |
限制 |
6 核 |
12 GiB |
StackRox 扫描器需要 Scanner DB (PostgreSQL 15) 来存储数据。下表列出了安装和运行 Scanner DB 所需的最小内存和存储值。
| Scanner DB | CPU | 内存 |
|---|---|---|
请求 |
0.2 核 |
512 MiB |
限制 |
2 核 |
4 GiB |
Scanner V4
Scanner V4 是可选的。如果在安全集群上安装了 Scanner V4,则适用以下要求。
CPU、内存和存储要求
Scanner V4 索引器
此表中的要求基于默认的 2 个副本。
| Scanner V4 索引器 | CPU | 内存 |
|---|---|---|
请求 |
2 核 |
3000 MiB |
限制 |
4 核 |
6 GiB |
Scanner V4 DB
Scanner V4 需要 Scanner V4 DB (PostgreSQL 15) 来存储数据。下表列出了安装和运行 Scanner V4 DB 所需的最小 CPU、内存和存储值。对于 Scanner V4 DB,不需要 PVC,但强烈建议使用 PVC,因为它可以确保最佳性能。
| Scanner V4 DB | CPU | 内存 | 存储 |
|---|---|---|---|
请求 |
0.2 核 |
2 GiB |
10 GiB |
限制 |
2 核 |
4 GiB |
10 GiB |