環境変数の詳細

環境変数

コントローラー(オールインワン)とエンフォーサーの両方に対応

  • CLUSTER_JOIN_ADDR

    最初のコントローラーのホストIPに変数を設定し、他のコントローラーとエンフォーサーにはマスターコントローラーのホストIPを設定します。KubernetesベースのデプロイメントではこのIPを設定する必要はありません。サンプルファイルを使用してください。

  • CLUSTER_LAN_PORT

    (オプション)クラスターSerf LANポート。TCPおよびUDPポートはホストに直接マッピングする必要があります。ホストにポートの競合がない場合はオプションです。デフォルト 18301

  • DOCKER_URL

    (オプション)ホスト上のDockerエンジンが通常のUnixソケットにバインドしない場合、この変数を使用してTCP接続ポイントを`tcp://10.0.0.1:2376`の形式で指定します。

  • NV_PLATFORM_INFO

    (オプション)Docker Swarm/EEデプロイメントにはplatform=Dockerを、GKEにはplatform=Kubernetes:GKEを使用します(GKE CISベンチマークを実行するため)。

  • CUSTOM_CHECK_CONTROL

    (オプション)コンテナ/ホスト内でカスタムコンプライアンススクリプトを作成する機能を有効/無効にするために使用されます。値は「disable」(デフォルト、許可されていない)、「strict」(管理者ロールのみ)、または「loose」(管理者、コンプライアンス、ランタイムポリシーロール)です。

  • AUTO_PROFILE_COLLECT

    (オプション)メモリ圧力の問題を調査するためにメモリプロファイルデータの収集を有効にするには値を1に設定します。

コントローラ

  • CTRL_PERSIST_CONFIG

    (オプション)設定ファイルをバックアップし、永続ボリュームから復元します。これをyamlに追加して有効にし、削除して無効にします。

  • CLUSTER_RPC_PORT

    (オプション)クラスターサーバーRPCポート。ホストに直接マッピングする必要があります。ホストにポートの競合がない場合、環境変数はオプションです。デフォルト 18300

  • CTRL_SERVER_PORT

    (オプション)RESTサーバーがリッスンすべきHTTPSポート。デフォルトは`10443`です。通常はデフォルトのままにしておき、dockerポートオプションを使用してホストのポートをマッピングします。

  • DISABLE_PACKET_CAPTURE

    (オプション)パケットキャプチャを無効にするためにyamlに追加します。再度有効にするには削除します(デフォルト)。

  • NO_DEFAULT_ADMIN

    (オプション)有効にすると、ローカルクラスタに「admin」ユーザーが作成されません。これはデフォルトとしてRancher SSO統合に使用されます。有効でない場合、ユーザーに持続的に警告し、デフォルトの管理者パスワードがデフォルトから変更されていない場合はイベントを記録します。

  • CTRL_EN_ICMP_POLICY

    (オプション)有効にすると(値=1)、icmpトラフィックは発見モードで学習でき、ポリシーが生成されます。グループのモニターまたは保護モードにネットワークポリシーがない場合、icmpトラフィックに対して暗黙の違反が生成されます。

マネージャ

  • CTRL_SERVER_IP

    (オプション、オールインワン)コントローラーRESTサーバーのIPアドレス。デフォルトは`127.0.0.1`です。オールインワンコンテナの場合、デフォルトのままにします。マネージャーが別に実行されている場合、マネージャーはコントローラーに接続するためにこのIPを指定する必要があります。

  • CTRL_SERVER_PORT

    (オプション、オールインワン)コントローラーRESTサーバーポート。デフォルトは`10443`です。オールインワンコンテナの場合、デフォルトのままにします。マネージャーが別に実行されている場合、マネージャーはコントローラーに接続するためにこの変数を指定する必要があります。

  • MANAGER_SERVER_PORT

    (オプション)マネージャーUIポート。デフォルトは`8443`です。マネージャーがホストモードで実行されていない場合は、そのままにしておき、dockerポートオプションを使用してホスト上のポートにマッピングしてください。

  • MANAGER_SSL

    (オプション)マネージャーはデフォルトでHTTPS/SSL接続を使用します。HTTPを使用するには、値を"`off`"に設定してください。

    この環境変数は、スタンドアロンのNeuVector製品専用です。Rancher SSOを使用する場合は、変数を「on」に設定してください。そうでない場合は、NeuVectorがデフォルトでHTTPSを使用するため、設定しないでください。

Enforcer

  • CONTAINER_NET_TYPE

    (オプション)特別なネットワークプラグインをサポートするには、値を「macvlan」に設定してください。

  • ENF_NO_SECRET_SCANS

    (オプション)ファイル内の秘密をスキャンしないようにするには、値を"`1`"に設定してください(パフォーマンスが向上します)。

  • ENF_NO_AUTO_BENCHMARK

    (オプション)ホストおよびコンテナでCISベンチマークを無効にするには、値を"`1`"に設定してください(パフォーマンスが向上します)。

  • ENF_NO_SYSTEM_PROFILES

    (オプション)プロセスおよびファイルモニターを無効にするには、値を「1」に設定してください。学習プロセスはなく、プロファイルモードはなく、プロセス/ファイル(パッケージ)インシデントやファイルアクティビティモニターは実行されません。これにより、CPU/メモリリソースの使用量とファイル操作が削減されます。

  • ENF_NETPOLICY_PULL_INTERVAL

    (オプション)秒単位の値(推奨値60)を設定して、ノード数やワークロードが多いクラスターでのポリシーの更新/再計算によるEnforcerのネットワークトラフィックとリソース消費を削減します。デフォルトはゼロで、Enforcerポリシーの更新に遅延はありません。

  • THRT_SSL_TLS_1DOT0

    (オプション)TLSバージョン1.0の検出を有効にするには、値を"`1`"に設定してください(非推奨)。

  • THRT_SSL_TLS_1DOT1

    (オプション)TLSバージョン1.1の検出を有効にするには、値を"`1`"に設定してください(非推奨)。

  • NV_SYSTEM_GROUPS

    (オプション)SUSE® Securityが「システムコンテナ」と見なすグループやネームスペースをセミコロンで区切って指定してください。例えば、Rancherベースのアプリとデフォルトのネームスペースの場合、NV_SYSTEM_GROUPS=cattle-system;defaultです。これらの値は正規表現として解釈されます。システムコンテナ(SUSE® SecurityおよびKubernetesシステムコンテナも含む)は、グループが保護モードに設定されていても、モニターモード(アラートのみ)でのみ動作します。

Open Ports (オープンポート)

  • CLUSTER_RPC_PORT - コントローラーおよびオールインワンで.デフォルトは18300です。

  • CLUSTER_LAN_PORT - コントローラー、エンフォーサーおよびオールインワンで.デフォルトは18301です。

  • MANAGER_SERVER_PORT - マネージャーまたはオールインワンで.デフォルトは8443です。

  • CTRL_SERVER_PORT - コントローラーで。デフォルトは10443です。

SUSE® Securityコンテナのポート通信要件の詳細については、セクションDeployment Preparationを参照してください。