RHACS 高级安装概述

常规安装指南
不同平台的安装方法
不同架构的安装方法
在 OpenShift Container Platform 上安装 RHACS 的步骤
在 Kubernetes 上安装 RHACS 的步骤
- 使用 Helm 图表在 Kubernetes 平台上安装 RHACS
- 使用 `roxctl` CLI 在 Kubernetes 平台上安装 RHACS

Red Hat Advanced Cluster Security for Kubernetes (RHACS) 为您的自管 Red Hat OpenShift Kubernetes 系统或平台（例如 OpenShift Container Platform、Amazon Elastic Kubernetes Service (Amazon EKS)、Google Kubernetes Engine (Google GKE) 和 Microsoft Azure Kubernetes Service (Microsoft AKS)）提供安全服务。

有关支持的平台和架构的信息，请参阅Red Hat Advanced Cluster Security for Kubernetes 支持矩阵。有关 RHACS 的生命周期支持信息，请参阅Red Hat Advanced Cluster Security for Kubernetes 支持策略。

常规安装指南

为确保最佳安装体验，请遵循以下指南

了解本模块中描述的安装平台和方法。
了解Red Hat Advanced Cluster Security for Kubernetes 架构。
查看默认资源要求。

不同平台的安装方法

您可以在不同的平台上执行不同类型的安装。

并非所有安装方法都支持所有平台。有关更多信息，请参阅Red Hat Advanced Cluster Security for Kubernetes 支持矩阵。

表 1. 平台和推荐的安装方法
平台类型	平台	推荐的安装方法	安装步骤
托管服务平台	Red Hat OpenShift Dedicated (OSD)	Operator（推荐）、Helm charts 或`roxctl` CLI ^[1]	在 Red Hat OpenShift 上安装 RHACS 中央服务在 Red Hat OpenShift 上安装 RHACS 安全集群服务
	Azure Red Hat OpenShift (ARO)
	AWS 上的 Red Hat OpenShift 服务 (ROSA)
	IBM Cloud 上的 Red Hat OpenShift
	Amazon Elastic Kubernetes Service (Amazon EKS)	Helm charts（推荐）或`roxctl` CLI ^[1]	在其他平台上安装 RHACS 的中央服务在其他平台上安装 RHACS 的安全集群服务
	Google Kubernetes Engine (Google GKE)
	Microsoft Azure Kubernetes Service (Microsoft AKS)
自托管平台	Red Hat OpenShift Container Platform (OCP)	Operator（推荐）、Helm charts 或`roxctl` CLI ^[1]	在 Red Hat OpenShift 上安装 RHACS 中央服务在 Red Hat OpenShift 上安装 RHACS 安全集群服务
自托管平台	Red Hat OpenShift Kubernetes Engine (OKE)	Operator（推荐）、Helm charts 或`roxctl` CLI ^[1]

除非您有使用此安装方法的特定要求，否则请勿使用roxctl安装方法。

不同架构的安装方法

Red Hat Advanced Cluster Security for Kubernetes (RHACS) 支持以下架构。有关支持的平台和架构信息，请参阅Red Hat Advanced Cluster Security for Kubernetes 支持矩阵。此外，下表提供了每种架构可用的安装方法信息。

表 2. 每种架构支持的架构和安装方法
支持的架构	支持的安装方法
AMD64	Operator（首选）、Helm charts 或`roxctl` CLI（不推荐）
ppc64le (IBM Power)	Operator
s390x (IBM Z 和 IBM® LinuxONE)	Operator
AArch64 (`ARM64`)	Operator（首选）、Helm charts 或`roxctl` CLI

在 OpenShift Container Platform 上安装 RHACS 的步骤

使用 RHACS Operator 在 Red Hat OpenShift 上安装 RHACS

在 Red Hat OpenShift 集群上，将 RHACS Operator 安装到rhacs-operator项目或命名空间中。
在将包含 Central 的 Red Hat OpenShift 集群（称为中央集群）上，使用 RHACS Operator 将 Central 服务安装到stackrox项目中。一个中央集群可以保护多个集群。
从中央集群登录到 RHACS Web 控制台，然后创建并下载初始化包。然后将初始化包安装到您要保护的集群（称为安全集群）上。
对于安全集群
1. 将 RHACS Operator 安装到rhacs-operator命名空间中。
2. 在安全集群上，通过执行以下步骤之一来应用您在 RHACS 中创建的初始化包
  - 使用 OpenShift Container Platform Web 控制台导入您创建的初始化包的 YAML 文件。确保您位于stackrox命名空间中。
  - 在终端窗口中，运行oc create -f <init_bundle>.yaml -n <stackrox>命令，指定下载的初始化包 YAML 文件的路径。
3. 在安全集群上，使用 RHACS Operator 将安全集群服务安装到stackrox命名空间中。创建这些服务时，请务必在“中央端点”字段中输入 Central 的地址，以便安全集群可以与 Central 通信。

使用 Helm charts 在 Red Hat OpenShift 上安装 RHACS

添加 RHACS Helm charts 仓库。
在将包含 Central 的 Red Hat OpenShift 集群（称为中央集群）上安装central-services Helm chart。
登录到 Central 集群上的 RHACS Web 控制台并创建初始化包。
对于您要保护的每个集群，登录到安全集群并执行以下步骤
1. 应用您使用 RHACS 创建的初始化包。要在安全集群上应用初始化包，请执行以下步骤之一
  - 使用 OpenShift Container Platform Web 控制台导入您创建的初始化包的 YAML 文件。确保您位于stackrox命名空间中。
  - 在终端窗口中，运行oc create -f <init_bundle>.yaml -n <stackrox>命令，指定下载的初始化包 YAML 文件的路径。
2. 在安全集群上安装secured-cluster-services Helm chart，并指定您创建的初始化包的路径。

使用`roxctl` CLI 在 Red Hat OpenShift 上安装 RHACS

此安装方法也称为清单安装方法。

安装roxctl CLI。
在将包含 Central 的 Red Hat OpenShift 集群上，执行以下步骤
1. 在终端窗口中，使用roxctl CLI 运行交互式安装命令。
2. 运行设置 shell 脚本。
3. 在终端窗口中，使用oc create命令创建 Central 资源。
执行以下操作之一
- 在 RHACS Web 控制台中，创建并下载传感器 YAML 文件和密钥。
- 在安全集群上，使用roxctl sensor generate openshift命令。
在安全集群上，运行传感器安装脚本。

在 Kubernetes 上安装 RHACS 的步骤

使用 Helm charts 在 Kubernetes 平台上安装 RHACS

添加 RHACS Helm charts 仓库。
在将包含 Central 的集群（称为中央集群）上安装central-services Helm chart。
从中央集群登录到 RHACS Web 控制台，并创建您将在要保护的集群（称为安全集群）上安装的初始化包。
对于每个安全集群
1. 应用您使用 RHACS 创建的初始化包。登录到安全集群并运行kubectl create -f <init_bundle>.yaml -n <stackrox>命令，指定下载的初始化包 YAML 文件的路径。
2. 在安全集群上安装secured-cluster-services Helm chart，并指定您之前创建的初始化包的路径。

使用`roxctl` CLI 在 Kubernetes 平台上安装 RHACS