Details zu Umgebungsvariablen

Setzen Sie die Variable auf die Host-IP für den ersten Controller; und setzen Sie sie auf die Host-IP des Master-Controllers für andere Controller und Enforcer. Es ist nicht notwendig, diese IP für Kubernetes-basierte Implementierungen festzulegen, verwenden Sie einfach die Beispieldatei.

(Optional) Cluster Serf LAN-Port. Sowohl TCP- als auch UDP-Ports müssen direkt auf den Host abgebildet werden. Optional, wenn es keinen Portkonflikt auf dem Host gibt. Standard 18301

(Optional) Wenn die Docker-Engine auf dem Host nicht an den normalen Unix-Socket bindet, verwenden Sie diese Variable, um den TCP-Verbindungspunkt im Format tcp://10.0.0.1:2376 anzugeben.

Verwenden Sie den Wert platform=Docker für Docker Swarm/EE-Implementierungen oder platform=Kubernetes:GKE für GKE (um GKE CIS-Benchmarks auszuführen).

(Optional) Wird verwendet, um die Möglichkeit zu aktivieren/deaktivieren, benutzerdefinierte Compliance-Skripte in Containern/Hosts zu erstellen. Die Werte sind "disable" (Standard, nicht erlaubt), "strict" (nur Admin-Rolle) oder "loose" (Admin-, Compliance- und Laufzeit-Richtlinien-Rollen).

Setzen Sie den Wert auf 1, um die Sammlung von Speicherprofildaten zu aktivieren, um Speicherprobleme zu untersuchen.

(Optional) Um Konfigurationsdateien zu sichern und sie von einem persistenten Volume wiederherzustellen. Fügen Sie dies zur YAML hinzu, um zu aktivieren; entfernen Sie es, um zu deaktivieren.

(Optional) Cluster-Server RPC-Port. Muss direkt auf den Host abgebildet werden. Die Umgebungsvariable ist optional, wenn es keinen Portkonflikt auf dem Host gibt. Standard 18300

(Optional) HTTPS-Port, auf dem der REST-Server hören soll. Der Standardwert ist 10443. Normalerweise kann es als Standard belassen werden, und die Docker-Portoption kann verwendet werden, um den Port auf dem Host abzubilden.

(Optional) Fügen Sie dies zur YAML hinzu, um die Paketaufzeichnung zu deaktivieren; entfernen Sie es, um sie wieder zu aktivieren (Standard).

(Optional) Wenn aktiviert, wird kein 'admin'-Benutzer im lokalen Cluster erstellt. Dies wird standardmäßig für die Rancher-SSO-Integration verwendet. Wenn nicht aktiviert, werden der Benutzer dauerhaft gewarnt und Ereignisse aufgezeichnet, um das Standard-Admin-Passwort zu ändern, falls es nicht angepasst wurde.

(Optional) Wenn aktiviert (Wert=1), kann ICMP-Verkehr im Entdeckungsmodus gelernt werden, und eine Richtlinie kann generiert werden. Wenn es keine Netzwerkrichtlinie im Überwachungs- oder Schutzmodus für die Gruppe gibt, wird eine implizite Verletzung für ICMP-Verkehr generiert.

(Optional für All-in-One) IP-Adresse des Controller-REST-Servers. Der Standardwert ist 127.0.0.1. Für den All-in-One-Container lassen Sie es als Standard. Wenn der Manager separat läuft, muss der Manager diese IP angeben, um sich mit dem Controller zu verbinden.

(Optional für All-in-One) Port des Controller-REST-Servers. Der Standardwert ist 10443. Für den All-in-One-Container belassen Sie ihn als Standard. Wenn der Manager separat läuft, sollte der Manager diese Variable angeben, um sich mit dem Controller zu verbinden.

(Optional) Manager-UI-Port. Der Standardwert ist 8443. Es sei denn, der Manager läuft im Host-Modus, lassen Sie es und verwenden Sie die Docker-Portoption, um den Port auf dem Host abzubilden.

(Optional) Der Manager verwendet standardmäßig eine HTTPS/SSL-Verbindung. Setzen Sie den Wert auf “off”, um HTTP zu verwenden.

(Optional) Um spezielle Netzwerk-Plugins zu unterstützen, setzen Sie den Wert auf "macvlan".

(Optional) Setzen Sie den Wert auf “1”, um das Scannen nach Geheimnissen in Dateien zu deaktivieren (verbessert die Leistung).

(Optional) Setzen Sie den Wert auf “1”, um CIS-Benchmarks auf Host und Containern zu deaktivieren (verbessert die Leistung).

(Optional) Setzen Sie den Wert auf "1", um die Prozess- und Dateimonitoren zu deaktivieren. Es werden keine Lernprozesse, keine Profilmodi, keine Prozess-/Datei (Paket)-Vorfälle und kein Dateiaktivitätsmonitor durchgeführt. Dies reduziert die CPU-/Speicherressourcennutzung und Dateivorgänge.

(Optional) Wert in Sekunden (empfohlener Wert 60), um den Netzwerkverkehr und den Ressourcenverbrauch des Enforcers aufgrund von Richtlinienaktualisierungen/-neuberechnungen in Clustern mit hoher Knotenzahl oder Arbeitslasten zu reduzieren. Standard ist null, was bedeutet, dass es keine Verzögerung bei der Aktualisierung der Enforcer-Richtlinie gibt.

(Optional) Setzen Sie den Wert auf “1”, um die Erkennung für TLS Version 1.0 (veraltet) zu aktivieren.

(Optional) Setzen Sie den Wert auf “1”, um die Erkennung für TLS Version 1.1 (veraltet) zu aktivieren.

(Optional) Geben Sie an, welche Gruppen oder Namespaces SUSE® Security als 'Systemcontainer' betrachtet, getrennt durch Semikolons. Zum Beispiel, für auf Rancher basierende Apps und den Standard-Namespace, NV_SYSTEM_GROUPS=cattle-system;default. Diese Werte werden in Regex übersetzt. Systemcontainer (die auch SUSE® Security und Kubernetes-Systemcontainer umfassen) arbeiten nur im Monitor-Modus (nur Alarm), selbst wenn die Gruppe auf Schutzmodus gesetzt ist.