Доступно только в Enterprise Edition.
Функциональность модуля может сильно измениться. Совместимость с будущими версиями не гарантируется

Модуль не включен по умолчанию в каком-либо наборе модулей.

Как явно включить или отключить модуль…

Чтобы явно включить или выключить модуль operator-trivy, установите spec.enabled в true или false в ModuleConfig/operator-trivy (создайте, при необходимости), или воспользуйтесь командой deckhouse-controller module в поде d8-system/deckhouse.

Пример включения модуля:

  • с помощью ресурса ModuleConfig:

    apiVersion: deckhouse.io/v1alpha1
kind: ModuleConfig
metadata:
  name: operator-trivy
spec:
  enabled: true

  • с помощью команды deckhouse-controller (требуется kubectl, настроенный на работу с кластером):

    kubectl -ti -n d8-system exec svc/deckhouse-leader -c deckhouse -- deckhouse-controller module enable operator-trivy

Пример выключения модуля:

  • с помощью ресурса ModuleConfig:

    apiVersion: deckhouse.io/v1alpha1
kind: ModuleConfig
metadata:
  name: operator-trivy
spec:
  enabled: false

  • с помощью команды deckhouse-controller (требуется kubectl, настроенный на работу с кластером):

    kubectl -ti -n d8-system exec svc/deckhouse-leader -c deckhouse -- deckhouse-controller module disable operator-trivy

Чтобы настроить модуль, используйте custom resource ModuleConfig с именем operator-trivy (подробнее о настройке Deckhouse…).

Пример ресурса ModuleConfig/operator-trivy для настройки модуля:

apiVersion: deckhouse.io/v1alpha1
kind: ModuleConfig
metadata:
  name: operator-trivy
spec:
  version: 1
  enabled: true
  settings: # <-- Параметры модуля из раздела "Параметры" ниже.

Параметры

Версия схемы: 1

  • linkCVEtoBDU
    булевый

    Включить конвертацию отчетов уязвимостей. Заменяет уязвимости из базы CVE на данные из базы BDU и выводит их в отчете.

    По умолчанию: false

    Примеры:

    linkCVEtoBDU: true

    linkCVEtoBDU: false
  • nodeSelector
    объект

    Опциональный селектор для компонентов operator-trivy и заданий сканирования (Jobs).

    Структура, аналогичная spec.nodeSelector пода Kubernetes.

    Если ничего не указано или указано false, будет использоваться автоматика.

    Пример:

    nodeSelector:
  disktype: ssd
  • reportResourceLabels
    массив строк

    Список дополнительных меток маркировки отчетов (VulnerabilityReport) Trivy.

    Значения этих меток будут соответствовать значениям меток сканируемых ресурсов.

  • severities
    массив строк

    Фильтрация отчетов уязвимостей по их уровню критичности.

    • Элемент массива
      строка

      Допустимые значения: UNKNOWN, LOW, MEDIUM, HIGH, CRITICAL

  • storageClass
    строка

    Имя StorageClass.

    false — принудительное использование emptyDir. После установки необходимо вручную удалить старый PVC и перезапустить под.

    Примеры:

    storageClass: ceph-ssd

    storageClass: 'false'
  • tolerations
    массив объектов

    Опциональные tolerations для компонентов operator-trivy и заданий сканирования (Jobs).

    Структура, аналогичная spec.tolerations пода Kubernetes.

    Если ничего не указано или указано false, будет использоваться автоматика.

    Пример:

    tolerations:
- key: key1
  operator: Equal
  value: value1
  effect: NoSchedule
    • tolerations.effect
      строка
    • tolerations.key
      строка
    • tolerations.operator
      строка
    • tolerations.tolerationSeconds
      целочисленный
    • tolerations.value
      строка