/sys/kernel/btf/vmlinux
/boot/vmlinux-<kernel-version>
/lib/modules/<kernel-version>/vmlinux-<kernel-version>
/lib/modules/<kernel-version>/build/vmlinux
/usr/lib/modules/<kernel-version>/kernel/vmlinux
/usr/lib/debug/boot/vmlinux-<kernel-version>
/usr/lib/debug/boot/vmlinux-<kernel-version>.debug
/usr/lib/debug/lib/modules/<kernel-version>/vmlinux
×
Red Hat Advanced Cluster Security for Kubernetes 的默认资源需求
RHACS 通用需求
在安装 RHACS 之前,您的系统必须满足以下几个要求。
|
您不得在以下位置安装 RHACS:
|
要安装RHACS,您必须拥有以下系统之一:
-
OpenShift Container Platform 4.12版或更高版本,以及具有受支持操作系统的集群节点,例如Red Hat Enterprise Linux CoreOS (RHCOS)或Red Hat Enterprise Linux (RHEL)
-
受支持的托管Kubernetes平台,以及具有受支持操作系统的集群节点,例如Amazon Linux、CentOS、Google容器优化操作系统、Red Hat Enterprise Linux CoreOS (RHCOS)、Debian、Red Hat Enterprise Linux (RHEL)或Ubuntu
有关受支持平台和架构的信息,请参阅Red Hat Advanced Cluster Security for Kubernetes支持矩阵。有关RHACS生命周期支持信息,请参阅Red Hat Advanced Cluster Security for Kubernetes支持策略。
以下最低要求和建议适用于集群节点。
- 架构
-
amd64、ppc64le或s390x从RHACS 4.3版本开始,中央服务和安全集群服务均支持在IBM Power(
ppc64le)、IBM Z(s390x)和IBM® LinuxONE(s390x)集群上运行。 - 处理器
-
需要3个CPU核心。
- 内存
-
需要6 GiB RAM。
查看每个组件的默认内存和CPU要求,并确保节点大小能够满足这些要求。
- 存储
-
在安装Central的集群上需要持久卷声明 (PVC)。强烈建议在启用Scanner V4的安全集群上使用持久卷声明 (PVC)。使用固态硬盘 (SSD) 可获得最佳性能。但是,如果您没有可用的SSD,也可以使用其他存储类型。
您不能将Ceph FS存储与Red Hat Advanced Cluster Security for Kubernetes一起使用。Red Hat建议为Red Hat Advanced Cluster Security for Kubernetes使用RBD块模式PVC。
如果您计划使用Helm图表安装RHACS,则必须满足以下要求:
-
如果您使用Helm图表安装或配置RHACS,则必须拥有Helm命令行界面 (CLI) v3.2或更高版本。使用
helm version命令验证您已安装的Helm版本。 -
您必须能够访问Red Hat容器注册表。有关从
registry.redhat.io下载镜像的信息,请参阅Red Hat容器注册表身份验证。
中央服务(自管理)
|
如果您使用的是Red Hat Advanced Cluster Security Cloud Service (RHACS云服务),则无需查看中央服务的相关要求,因为这些服务由Red Hat管理。您只需要查看安全集群服务的相关要求。 |
中央服务包含以下组件:
-
中心
-
扫描器
-
Scanner V4(可选)
中央服务 (Central)
名为Central的容器化服务处理API交互和RHACS Web门户访问,而名为Central DB (PostgreSQL 13)的容器化服务处理数据持久性。
Central DB需要在安装Central的集群中具有持久性存储。
-
您可以使用持久卷声明 (PVC) 提供存储。
只有当您的所有主机(或一组主机)都挂载共享文件系统(例如NFS共享或存储设备)时,才能使用hostPath卷进行存储。否则,您的数据将仅保存在单个节点上。Red Hat不建议使用hostPath卷。
-
使用固态硬盘 (SSD) 可获得最佳性能。但是,如果您没有可用的SSD,也可以使用其他存储类型。
-
如果您使用Web代理或防火墙,则必须配置旁路规则以允许
definitions.stackrox.io域的流量,并启用RHACS以信任您的Web代理或防火墙。否则,漏洞更新将失败。您还必须确保安全集群上的Sensor到端口443上的Central的传入连接是可能的。Red Hat Advanced Cluster Security for Kubernetes需要访问:
-
definitions.stackrox.io以下载更新的漏洞数据。漏洞更新允许Red Hat Advanced Cluster Security for Kubernetes在发现新的漏洞或添加其他数据源时保持最新的漏洞数据。
-
|
出于安全原因,您应在具有有限管理访问权限的集群中部署Central。 |
CPU、内存和存储要求
下表列出了安装和运行Central所需的最低CPU和内存值。
| 中心 | CPU | 内存 |
|---|---|---|
请求 |
1.5个核心 |
4 GiB |
限制 |
4个核心 |
8 GiB |
Central需要Central DB来存储数据。下表列出了安装和运行Central DB所需的最低CPU、内存和存储值。
| Central DB | CPU | 内存 | 存储 |
|---|---|---|---|
请求 |
4个核心 |
8 GiB |
100 GiB |
限制 |
8个核心 |
16 GiB |
100 GiB |
Scanner
Scanner负责扫描镜像、节点和平台中的漏洞。
从4.4版本开始,RHACS包含两个镜像漏洞扫描器:StackRox Scanner和Scanner V4。计划在将来的版本中删除StackRox Scanner,但目前仍需要它来执行节点和平台扫描。Scanner V4是首选的镜像扫描器,因为它提供了比StackRox Scanner更多的功能,例如扩展的语言和操作系统支持以及来自其他漏洞来源的数据。
CPU、内存和存储要求
下表列出了安装和运行Scanner所需的最低CPU和内存值。此表中的要求基于3个副本的默认值。
| StackRox Scanner | CPU | 内存 |
|---|---|---|
请求 |
3个核心 |
4500 MiB |
限制 |
6个核心 |
12 GiB |
StackRox Scanner需要Scanner DB (PostgreSQL 15)来存储数据。这些数据不会持久保存。下表列出了安装和运行Scanner DB所需的最低CPU和内存值。
| Scanner DB | CPU | 内存 |
|---|---|---|
请求 |
0.2个核心 |
512 MiB |
限制 |
2个核心 |
4 GiB |
Scanner V4
Scanner V4是首选的镜像扫描器,因为它提供了比StackRox Scanner更多的功能,例如扩展的语言和操作系统支持以及来自其他漏洞来源的数据。
CPU、内存和存储要求
Scanner V4 Indexer
此表中的要求基于3个副本的默认值。
| Scanner V4 Indexer | CPU | 内存 |
|---|---|---|
请求 |
3个核心 |
4500 MiB |
限制 |
6个核心 |
9 GiB |
Scanner V4 Matcher
此表中的要求基于2个副本的默认值。
| Scanner V4 Matcher | CPU | 内存 |
|---|---|---|
请求 |
2个核心 |
1000 MiB |
限制 |
4个核心 |
4 GiB |
Scanner V4 DB
Scanner V4 需要 Scanner V4 数据库 (PostgreSQL 15) 来存储数据。对于 Scanner V4 数据库,建议使用 PVC 以确保最佳性能。下表列出了安装和运行 Scanner V4 数据库所需的最低 CPU、内存和存储值。
| Scanner V4 DB | CPU | 内存 | 存储 |
|---|---|---|---|
请求 |
0.2个核心 |
3 GiB |
50 GiB |
限制 |
2个核心 |
4 GiB |
50 GiB |
安全集群服务
安全集群服务包含以下组件:
-
传感器
-
准入控制器
-
收集器
-
Scanner(可选)
-
Scanner V4(可选)
如果您使用 Web 代理或防火墙,则必须确保安全集群和 Central 可以在 HTTPS 443 端口上进行通信。
Sensor
Sensor 监控您的 Kubernetes 和 OpenShift Container Platform 集群。这些服务目前部署在一个单一部署中,负责处理与 Kubernetes API 的交互以及与其他 Red Hat Advanced Cluster Security for Kubernetes 组件的协调。
CPU 和内存需求
下表列出了在安全集群上安装和运行 Sensor 所需的最低 CPU 和内存值。
| 传感器 | CPU | 内存 |
|---|---|---|
请求 |
2个核心 |
4 GiB |
限制 |
4个核心 |
8 GiB |
准入控制器
准入控制器可防止用户创建违反您配置的策略的工作负载。
CPU 和内存需求
默认情况下,准入控制服务运行 3 个副本。下表列出了每个副本的请求和限制。
| 准入控制器 | CPU | 内存 |
|---|---|---|
请求 |
0.05 核 |
100 MiB |
限制 |
0.5 核 |
500 MiB |
Collector
Collector 作为 DaemonSet 监控安全集群中每个节点上的运行时活动。它连接到 Sensor 以报告此信息。Collector Pod 包含三个容器。第一个容器是 Collector,它监控并报告节点上的运行时活动。另外两个是 compliance 和 node-inventory。
收集需求
要使用 `CORE_BPF` 收集方法,基本内核必须支持 BTF,并且 BTF 文件必须可供 Collector 使用。一般来说,内核版本必须高于 5.8(RHEL 节点为 4.18),并且必须设置 `CONFIG_DEBUG_INFO_BTF` 配置选项。
Collector 在以下列表中显示的标准位置查找 BTF 文件:
BTF 文件位置
如果存在任何这些文件,则内核很可能支持 BTF,并且 `CORE_BPF` 是可配置的。
CPU 和内存需求
默认情况下,Collector Pod 运行 3 个容器。下表列出了每个容器的请求和限制以及每个 Collector Pod 的总计。
Collector 容器
| 类型 | CPU | 内存 |
|---|---|---|
请求 |
0.06 核 |
320 MiB |
限制 |
0.9 核 |
1000 MiB |
Compliance 容器
| 类型 | CPU | 内存 |
|---|---|---|
请求 |
0.01 核 |
10 MiB |
限制 |
1 核 |
2000 MiB |
Node-inventory 容器
| 类型 | CPU | 内存 |
|---|---|---|
请求 |
0.01 核 |
10 MiB |
限制 |
1 核 |
500 MiB |
Collector Pod 总需求
| 类型 | CPU | 内存 |
|---|---|---|
请求 |
0.07 核 |
340 MiB |
限制 |
2.75 核 |
3500 MiB |
Scanner
CPU 和内存需求
此表中的要求基于3个副本的默认值。
| StackRox Scanner | CPU | 内存 |
|---|---|---|
请求 |
3个核心 |
4500 MiB |
限制 |
6个核心 |
12 GiB |
StackRox Scanner 需要 Scanner 数据库 (PostgreSQL 15) 来存储数据。下表列出了安装和运行 Scanner 数据库所需的最低内存和存储值。
| Scanner DB | CPU | 内存 |
|---|---|---|
请求 |
0.2个核心 |
512 MiB |
限制 |
2个核心 |
4 GiB |
Scanner V4
Scanner V4 是可选的。如果在安全集群上安装了 Scanner V4,则适用以下要求。
CPU、内存和存储要求
Scanner V4 Indexer
此表中的要求基于2个副本的默认值。
| Scanner V4 Indexer | CPU | 内存 |
|---|---|---|
请求 |
2个核心 |
3000 MiB |
限制 |
4个核心 |
6 GiB |
Scanner V4 DB
Scanner V4 需要 Scanner V4 数据库 (PostgreSQL 15) 来存储数据。下表列出了安装和运行 Scanner V4 数据库所需的最低 CPU、内存和存储值。对于 Scanner V4 数据库,虽然不需要 PVC,但强烈建议使用 PVC,因为它可以确保最佳性能。
| Scanner V4 DB | CPU | 内存 | 存储 |
|---|---|---|---|
请求 |
0.2个核心 |
2 GiB |
10 GiB |
限制 |
2个核心 |
4 GiB |
10 GiB |