Модуль не включен по умолчанию в каком-либо наборе модулей.
Чтобы настроить модуль, используйте ресурс ModuleConfig
с именем operator-trivy
(подробнее о настройке Deckhouse…).
Пример ресурса ModuleConfig/operator-trivy
для настройки модуля:
apiVersion: deckhouse.io/v1alpha1
kind: ModuleConfig
metadata:
name: operator-trivy
spec:
version: 1
enabled: true
settings: # <-- Параметры модуля из раздела "Параметры" ниже.
Параметры
Версия схемы: 1
- settings
- settings.additionalRegistryCA
Список корневых сертификатов (CA) приватных хранилищ образов контейнеров (container registry).
Если требуется указать несколько сертификатов, они перечисляются последовательно, без дополнительных переносов строк.
Пример:
additionalRegistryCA: - name: example CA ca: | -----BEGIN CERTIFICATE----- ................. -----END CERTIFICATE----- - name: CA with intermediate CA ca: | -----BEGIN CERTIFICATE----- ................. -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ................. -----END CERTIFICATE-----
- settings.additionalRegistryCA.ca
- settings.additionalRegistryCA.name
- settings.additionalVulnerabilityReportFields
Список дополнительных полей из базы уязвимостей, добавляемых к отчетам об уязвимостях (VulnerabilityReport).
Пример:
additionalVulnerabilityReportFields: - Class - Target
- settings.disableSBOMGeneration
Отключает генерацию отчетов SBOM.
Внимание. При установке значения “true”, все текущие отчеты SBOM в кластере удаляются (очистка выполняется один раз).
По умолчанию:
false
Примеры:
disableSBOMGeneration: true
disableSBOMGeneration: false
- settings.insecureDbRegistry
Разрешает Trivy скачивать базы данных уязвимостей, используя недоверенные HTTPS-подключения (не прошедшие проверку TLS-сертификата) или подключения по HTTP.
По умолчанию:
false
Примеры:
insecureDbRegistry: true
insecureDbRegistry: false
- settings.insecureRegistries
Список адресов хранилищ образов контейнеров (container registry), к которым разрешены недоверенные HTTPS-подключения (не прошедшие проверку TLS-сертификата) и подключения по HTTP.
Пример:
insecureRegistries: - my.registry.com - http-only.registry.io
- settings.linkCVEtoBDU
Включить конвертацию отчетов уязвимостей. Заменяет уязвимости из базы CVE на данные из базы BDU и выводит их в отчете.
По умолчанию:
false
Примеры:
linkCVEtoBDU: true
linkCVEtoBDU: false
- settings.nodeSelector
Опциональный селектор для компонентов
operator-trivy
и заданий сканирования (Jobs).Структура, аналогичная
spec.nodeSelector
пода Kubernetes.Если значение не указано или указано
false
, будет использоваться автоматика.Пример:
nodeSelector: disktype: ssd
- settings.reportResourceLabels
Список дополнительных меток маркировки отчетов (VulnerabilityReport) Trivy.
Значения этих меток будут соответствовать значениям меток сканируемых ресурсов.
Пример:
reportResourceLabels: - app - env
- settings.severities
Фильтрация отчетов уязвимостей по уровню их критичности.
Пример:
severities: - UNKNOWN - CRITICAl
- Элемент массива
Допустимые значения:
UNKNOWN
,LOW
,MEDIUM
,HIGH
,CRITICAL
- settings.storageClass
Имя StorageClass, который будет использоваться по умолчанию в кластере.
Если значение не указано, то будет использоваться StorageClass, согласно настройке глобального параметра storageClass.
Настройка глобального параметра
storageClass
учитывается только при включении модуля. Изменение глобального параметраstorageClass
при включенном модуле не приведет к перезаказу диска.Внимание. Если указать значение, отличное от текущего (используемого в существующей PVC), диск будет перезаказан, и все данные удалятся.
Если указать
false
, будет принудительно использоватьсяemptyDir
.Примеры:
storageClass: ceph-ssd
storageClass: 'false'
- settings.tolerations
Опциональные tolerations для компонентов
operator-trivy
и заданий сканирования (Jobs).Структура, аналогичная
spec.tolerations
пода Kubernetes.Если значение не указано или указано
false
, будет использоваться автоматика.Пример:
tolerations: - key: key1 operator: Equal value: value1 effect: NoSchedule
- settings.tolerations.effect
- settings.tolerations.key
- settings.tolerations.operator
- settings.tolerations.tolerationSeconds
- settings.tolerations.value