Доступно в редакциях:  EE, CSE Lite (1.73), CSE Pro (1.73)

Стадия жизненного цикла модуля: General Availability
У модуля есть требования для установки

Как явно включить или отключить модуль…

Явно включить или выключить модуль можно одним из следующих способов:

  • С помощью веб-интерфейса Deckhouse. В разделе «Система» → «Управление системой» → «Deckhouse» → «Модули», откройте модуль operator-trivy, включите (или выключите) переключатель «Модуль включен». Сохраните изменения.

    Пример:

    Интерфейс включения и выключения модуля
  • С помощью Deckhouse CLI (d8).

    Используйте команду d8 system module enable для включения модуля, или d8 system module disable для выключения модуля (требуется Deckhouse CLI (d8), настроенный на работу с кластером).

    Пример включения модуля operator-trivy:

    d8 system module enable operator-trivy
  • С помощью ModuleConfig operator-trivy.

    Установите spec.enabled в true или false в ModuleConfig operator-trivy (создайте его, при необходимости).

    Пример манифеста для включения модуля operator-trivy:

    apiVersion: deckhouse.io/v1alpha1
    kind: ModuleConfig
    metadata:
      name: operator-trivy
    spec:
      enabled: true

Как настроить модуль…

Настроить модуль можно одним из следующих способов:

  • С помощью веб-интерфейса Deckhouse.

    В разделе «Система» → «Управление системой» → «Deckhouse» → «Модули», откройте модуль operator-trivy, включите переключатель «Дополнительные настройки». Заполните необходимые поля формы на вкладке «Конфигурация», или укажите настройки модуля в формате YAML на вкладке «YAML», не включая секцию settings. Сохраните изменения.

    Пример:

    Интерфейс настройки модуля

    Вы также можете отредактировать объект ModuleConfig operator-trivy на вкладке «YAML» в окне настроек модуля («Система» → «Управление системой» → «Deckhouse» → «Модули», откройте модуль operator-trivy), указав версию схемы в параметре spec.version и необходимые параметры модуля в секции spec.settings.

  • С помощью Deckhouse CLI (d8) (требуется Deckhouse CLI (d8), настроенный на работу с кластером).

    Отредактируйте существующий ModuleConfig operator-trivy (подробнее о настройке Deckhouse читайте в документации), выполнив следующую команду:

    d8 k edit mc operator-trivy

    Внесите необходимые изменения в секцию spec.settings. При необходимости укажите версию схемы в параметре spec.version. Сохраните изменения.

    Вы также можете создать файл манифеста ModuleConfig operator-trivy, используя пример ниже. Заполните секцию spec.settings необходимыми параметрами модуля. При необходимости укажите версию схемы в параметре spec.version.

    Примените манифест с помощью следующей команды (укажите имя файла манифеста):

    d8 k apply -f <FILENAME>

    Пример файла манифеста ModuleConfig operator-trivy:

    apiVersion: deckhouse.io/v1alpha1
    kind: ModuleConfig
    metadata:
      name: operator-trivy
    spec:
      version: 2
      enabled: true
      settings: # Параметры модуля из раздела "Параметры" ниже.

Как сменить канал обновлений модуля…

Для смены канала обновлений модуля воспользуйтесь инструкцией.

Требования

К версии Deckhouse: 1.75 и выше.

Конверсии

Модуль настраивается с помощью ресурса ModuleConfig, схема которого содержит номер версии. При применении в кластере старой версии схемы ModuleConfig выполняются автоматические преобразования. Чтобы обновить версию схемы ModuleConfig вручную, необходимо последовательно для каждой версии выполнить следующие действия:

  • Обновление из версии 1 в 2:

    nodeScanning.scanners и nodeScanning.pkgTypes теперь используют значения в PascalCase (Vuln/Secret, OS/Library). При переходе на новую версию требуется изменить значения параметров (vuln/secret, os/library), сделать значения с большой буквы.

Параметры

Версия схемы: 2

  • settings
    объект
    • settings.additionalRegistryCA
      массив объектов

      Список корневых сертификатов (CA) приватных хранилищ образов контейнеров (container registry).

      Если требуется указать несколько сертификатов, они перечисляются последовательно, без дополнительных переносов строк.

      Пример:


      additionalRegistryCA:
        - name: example CA
          ca: |
            -----BEGIN CERTIFICATE-----
            .................
            -----END CERTIFICATE-----
        - name: CA with intermediate CA
          ca: |
            -----BEGIN CERTIFICATE-----
            .................
            -----END CERTIFICATE-----
            -----BEGIN CERTIFICATE-----
            .................
            -----END CERTIFICATE-----
      • settings.additionalRegistryCA.ca
        строка
      • settings.additionalRegistryCA.name
        строка
    • settings.additionalVulnerabilityReportFields
      массив строк
      Список дополнительных полей из базы уязвимостей, добавляемых к отчетам об уязвимостях (VulnerabilityReport).

      Пример:


      additionalVulnerabilityReportFields:
      - Class
      - Target
      
    • settings.complianceReports
      объект
      Управление набором ресурсов ClusterComplianceReport, развёртываемых модулем.

      По умолчанию: {}

      • settings.complianceReports.enabled
        массив строк

        Список фреймворков соответствия, для которых будут созданы ресурсы ClusterComplianceReport.

        Возможные значения:

        • CIS — CIS Kubernetes Benchmark v1.23.
        • PCI-DSS — PCI DSS v4.0 (ключевые контролы для защиты данных платёжных карт).
        • NSA — NSA-CISA Kubernetes Hardening Guidance v1.0.
        • GDPR — Общий регламент по защите данных (ключевые статьи, связанные с безопасностью).
        • HIPAA — HIPAA Security Rule (ключевые технические меры защиты).
        • FSTEC-21 — Приказ ФСТЭК России № 21 (защита персональных данных в ИСПДн).
        • FZ-187 — Приказ ФСТЭК России № 239 (значимые объекты КИИ, 187-ФЗ).

        По умолчанию отчёты GDPR и HIPAA отключены.

        По умолчанию: [ "CIS", "PCI-DSS", "NSA", "FSTEC-21", "FZ-187" ]

        Примеры:


        enabled:
        - CIS
        - NSA
        
        enabled:
        - CIS
        - PCI-DSS
        - NSA
        - GDPR
        - HIPAA
        - FSTEC-21
        - FZ-187
        
        • settings.complianceReports.enabled.Элемент массива
          строка

          Допустимые значения: CIS, PCI-DSS, NSA, GDPR, HIPAA, FSTEC-21, FZ-187

      • settings.complianceReports.skipSystemResources
        булевый

        Исключить ресурсы, принадлежащие платформе и явно помеченные как «не учитывать», из отчётов соответствия.

        При включении (по умолчанию) модуль применяет два дополняющих друг друга фильтра:

        1. Фильтр на создание (на уровне неймспейса, во время записи). CR ConfigAuditReport и RbacAssessmentReport не создаются в неймспейсах, которые либо:

          • попадают под шаблоны d8-*, kube-*, default;
          • либо имеют метку security.deckhouse.io/skip-compliance=true на самом объекте Namespace.

          Вместе это держит kubectl get configauditreports -A чистым от платформенного шума и даёт пользователю способ отключить от compliance целые неймспейсы. InfraAssessmentReport — исключение: компоненты control plane в kube-system (kube-apiserver, etcd, kube-scheduler, kube-controller-manager) продолжают порождать infra-проверки, которые питают раздел 1.x CIS Kubernetes Benchmark.

        2. Фильтр на агрегацию compliance (по меткам владельца). При формировании ClusterComplianceReport агрегатор пропускает находки тех cluster-scoped ресурсов, владелец которых несёт одну из пар меток key=value:

          • heritage=deckhouse — ресурсы, управляемые Deckhouse.
          • kubernetes.io/bootstrapping=rbac-defaults — встроенные RBAC Kubernetes (system:*, cluster-admin и т. п.).

          Это нужно, чтобы зацепить cluster-scoped ресурсы (например, встроенные ClusterRole), которые namespace-фильтр не достаёт.

        Ресурсные отчёты, которые всё-таки создаются (VulnerabilityReport, ExposedSecretReport, SbomReport, InfraAssessmentReport), формируются для всех сканируемых нагрузок как обычно — сканирование уязвимостей в платформенных образах, поиск секретов и т. п. этим не отключается.

        О границах сканирования. Модуль разделяет тяжёлый image-pull-сканер уязвимостей (он же продюсер ExposedSecretReport и SbomReport) и лёгкие конфигурационные сканеры (ConfigAudit, RbacAssessment, InfraAssessment). Сканер уязвимостей остаётся opt-in через метку неймспейса security-scanning.deckhouse.io/enabled="", а конфигурационные сканеры работают по всему кластеру — параметр skipSystemResources сужает только то, что попадает в compliance.

        По умолчанию: true

        Примеры:


        skipSystemResources: true
        
        skipSystemResources: false
        
    • settings.concurrentScanJobsLimit
      целочисленный
      Максимальное количество заданий сканирования (ScanJob), которые оператор может запускать одновременно.

      По умолчанию: 10

      Допустимые значения: 1 <= X

      Примеры:


      concurrentScanJobsLimit: 3
      
      concurrentScanJobsLimit: 5
      
      concurrentScanJobsLimit: 10
      
    • settings.denyVulnerableImages
      объект

      Настройки запрета создания Pod/Deployment/StatefulSet/DaemonSet с уязвимыми образами в неймспейсах с меткой security.deckhouse.io/trivy-provider: "".

      Примечание: Этот constraint проверяется только при admission (создание/обновление ресурсов). Gatekeeper audit не оценивает этот constraint.

      По умолчанию: {}

      • settings.denyVulnerableImages.allowedSeverityLevels
        массив строк
        Образы контейнеров, содержащие только уязвимости указанных уровней критичности, не будут запрещены.
        • settings.denyVulnerableImages.allowedSeverityLevels.Элемент массива
          строка

          Допустимые значения: UNKNOWN, LOW, MEDIUM, HIGH, CRITICAL

      • settings.denyVulnerableImages.enabled
        булевый
        Запретить использование уязвимых образов в неймспейсах с меткой security.deckhouse.io/trivy-provider: "".

        По умолчанию: false

      • settings.denyVulnerableImages.registrySecrets
        массив объектов

        Список дополнительных секретов приватных регистри.

        По умолчанию для загрузки образов для сканирования используется секрет deckhouse-registry.

        По умолчанию: []

        • settings.denyVulnerableImages.registrySecrets.name
          строка
        • settings.denyVulnerableImages.registrySecrets.namespace
          строка
    • settings.disableSBOMGeneration
      булевый

      Отключает генерацию отчетов SBOM.

      Внимание. При установке значения “true”, все текущие отчеты SBOM в кластере удаляются (очистка выполняется один раз).

      По умолчанию: false

      Примеры:


      disableSBOMGeneration: true
      
      disableSBOMGeneration: false
      
    • settings.insecureDbRegistry
      булевый
      Разрешает Trivy скачивать базы данных уязвимостей, используя недоверенные HTTPS-подключения (не прошедшие проверку TLS-сертификата) или подключения по HTTP.

      По умолчанию: false

      Примеры:


      insecureDbRegistry: true
      
      insecureDbRegistry: false
      
    • settings.insecureRegistries
      массив строк
      Список адресов хранилищ образов контейнеров (container registry), к которым разрешены недоверенные HTTPS-подключения (не прошедшие проверку TLS-сертификата) и подключения по HTTP.

      Пример:


      insecureRegistries:
      - my.registry.com
      - http-only.registry.io
      
    • settings.linkCVEtoBDU
      булевый
      Включить конвертацию отчетов уязвимостей. Заменяет уязвимости из базы CVE на данные из базы BDU и выводит их в отчете.

      По умолчанию: false

      Примеры:


      linkCVEtoBDU: true
      
      linkCVEtoBDU: false
      
    • settings.nodeAgent
      объект

      Карта приложений и сети на основе runtime-поведения (предварительная версия).

      При включении на каждом узле запускается привилегированный eBPF-агент, который наблюдает за runtime-поведением каждой нагрузки — какие процессы она запускает, какие файлы открывает, какие Linux capabilities и системные вызовы использует и с кем устанавливает сетевые соединения. Наблюдения агрегируются по нагрузкам в ApplicationProfile и NetworkNeighborhood, давая точную карту того, что приложение действительно делает в runtime.

      Требования. Ядра узлов должны быть Linux 5.4 или новее и предоставлять BTF в /sys/kernel/btf/vmlinux. Агент работает привилегированно с доступом к host PID.

      По умолчанию: {}

      • settings.nodeAgent.enabled
        булевый
        Включает наблюдение в runtime и построение карты приложений и сети.

        По умолчанию: false

        Примеры:


        enabled: true
        
        enabled: false
        
      • settings.nodeAgent.generatePolicies
        объект

        Генерация least-privilege политик по наблюдаемой карте.

        Сама карта (ApplicationProfile, NetworkNeighborhood) строится всегда при включённом nodeAgent. Эти переключатели дополнительно публикуют сгенерированные на её основе политики.

        По умолчанию: {}

        • settings.nodeAgent.generatePolicies.networkPolicy
          булевый
          Публиковать объекты GeneratedNetworkPolicy — определения Kubernetes NetworkPolicy, вычисленные из наблюдаемого NetworkNeighborhood каждой нагрузки. Просмотрите и примените их, чтобы обеспечить least privilege.

          По умолчанию: false

          Примеры:


          networkPolicy: true
          
          networkPolicy: false
          
        • settings.nodeAgent.generatePolicies.seccomp
          булевый
          Генерировать и публиковать объекты SeccompProfile по наблюдаемым системным вызовам каждой нагрузки. Подключайте их к подам, чтобы ограничить набор разрешённых syscalls.

          По умолчанию: false

          Примеры:


          seccomp: true
          
          seccomp: false
          
      • settings.nodeAgent.learningPeriod
        строка
        Сколько времени нагрузка наблюдается, прежде чем её профиль считается завершённым. В течение этого окна карта продолжает вбирать вновь увиденное поведение; после — профиль фиксируется.

        По умолчанию: 1h

        Примеры:


        learningPeriod: 1h
        
        learningPeriod: 24h
        
      • settings.nodeAgent.nodeSelector
        объект

        Ограничивает запуск eBPF-агента узлами с указанными метками.

        По умолчанию агент работает на всех узлах. Используйте параметр, чтобы ограничить его подмножеством узлов, например теми, чьи ядра удовлетворяют требованию BTF.

        По умолчанию: {}

        Пример:


        node-role.kubernetes.io/worker: ''
        
      • settings.nodeAgent.tolerations
        массив объектов

        Опциональные tolerations для DaemonSet eBPF-агента.

        Структура, аналогичная spec.tolerations пода Kubernetes. Если не указано, агент терпит все taints, чтобы запускаться на каждом узле.

        Отключите параметр, если объекты, принадлежащие платформе, обязательно должны учитываться в отчётах соответствия.

        Пример:


        tolerations:
        - operator: Exists
        
        • settings.nodeAgent.tolerations.effect
          строка
        • settings.nodeAgent.tolerations.key
          строка
        • settings.nodeAgent.tolerations.operator
          строка
        • settings.nodeAgent.tolerations.tolerationSeconds
          целочисленный
        • settings.nodeAgent.tolerations.value
          строка
    • settings.nodeScanning
      объект

      Настройки сканирования узлов кластера (хостовой файловой системы).

      Эта функция сканирует хостовую файловую систему каждого узла Kubernetes для обнаружения уязвимостей в пакетах операционной системы.

      По умолчанию: {}

      • settings.nodeScanning.concurrentLimit
        целочисленный

        Максимальное количество одновременно выполняемых заданий сканирования узлов.

        Рекомендуется устанавливать низкое значение, чтобы избежать избыточной нагрузки на кластер.

        По умолчанию: 1

        Допустимые значения: 1 <= X

        Примеры:


        concurrentLimit: 1
        
        concurrentLimit: 2
        
        concurrentLimit: 3
        
      • settings.nodeScanning.enabled
        булевый

        Включает сканирование узлов.

        При включении оператор будет сканировать файловую систему каждого узла на предмет уязвимостей в пакетах ОС. Результаты сохраняются в кластерный ресурс NodeVulnerabilityReport.

        По умолчанию: false

        Примеры:


        enabled: true
        
        enabled: false
        
      • settings.nodeScanning.hideUnfixedCVEs
        булевый

        При значении true в отчёт попадают только уязвимости, для которых есть исправление.

        Это значительно уменьшает размер отчёта, но скрывает неисправленные уязвимости.

        По умолчанию: false

        Примеры:


        hideUnfixedCVEs: true
        
        hideUnfixedCVEs: false
        
      • settings.nodeScanning.nodeSelector
        объект
        Фильтрация узлов по меткам. Сканируются только узлы, соответствующие всем указанным меткам.

        По умолчанию: {}

        Примеры:


        node-role.kubernetes.io/worker: ''
        
        env: production
        
      • settings.nodeScanning.pkgTypes
        массив строк

        Список типов пакетов для сканирования:

        • OS — пакеты операционной системы (rpm, deb, apk и т. п.).
        • Library — библиотеки уровня приложения (jar, npm-модули, Python-пакеты и т. п.), найденные на файловой системе узла.

        По умолчанию: [ "OS" ]

        Примеры:


        pkgTypes:
        - OS
        
        pkgTypes:
        - OS
        - Library
        
        • settings.nodeScanning.pkgTypes.Элемент массива
          строка

          Допустимые значения: OS, Library

      • settings.nodeScanning.scanners
        массив строк

        Список сканеров для использования при сканировании узла:

        • Vuln — сканер уязвимостей (ищет известные CVE в пакетах ОС и библиотеках на файловой системе узла).
        • Secret — сканер секретов (находит зашитые в файлы реквизиты доступа, например AWS-ключи, GitHub-токены и т. п.).

        По умолчанию: [ "Vuln" ]

        Примеры:


        scanners:
        - Vuln
        
        scanners:
        - Vuln
        - Secret
        
        • settings.nodeScanning.scanners.Элемент массива
          строка

          Допустимые значения: Vuln, Secret

      • settings.nodeScanning.severities
        массив строк

        Фильтрация уязвимостей по критичности.

        Внимание. Без фильтрации отчёты могут превысить лимит etcd в 3MB на объект для узлов с большим количеством пакетов.

        По умолчанию: [ "CRITICAL", "HIGH" ]

        Примеры:


        severities:
        - CRITICAL
        - HIGH
        
        severities:
        - CRITICAL
        - HIGH
        - MEDIUM
        
        • settings.nodeScanning.severities.Элемент массива
          строка

          Допустимые значения: UNKNOWN, LOW, MEDIUM, HIGH, CRITICAL

      • settings.nodeScanning.skipDirs
        массив строк

        Список директорий, которые будут пропущены при сканировании.

        По умолчанию исключаются директории контейнерных runtime’ов и виртуальные файловые системы.

        По умолчанию: [ "/proc", "/sys", "/dev", "/run", "/var/lib/containerd", "/var/lib/docker", "/var/lib/kubelet/pods" ]

        Пример:


        skipDirs:
        - /proc
        - /sys
        - /dev
        
      • settings.nodeScanning.timeout
        строка

        Таймаут для заданий сканирования узлов.

        Если не указан, используется значение по умолчанию для заданий сканирования.

        По умолчанию: ‘’

        Примеры:


        timeout: 10m
        
        timeout: 30m
        
    • settings.nodeSelector
      объект

      Опциональный селектор для компонентов operator-trivy и заданий сканирования (Jobs).

      Структура, аналогичная spec.nodeSelector пода Kubernetes.

      Если значение не указано или указано false, будет использоваться автоматика.

      Пример:


      disktype: ssd
      
    • settings.registryScanning
      объект

      Настройки периодического сканирования образов на CVE в внешних реестрах контейнеров.

      Цели сканирования объявляются ресурсами RegistryScanTarget; результаты сохраняются как ресурсы RegistryImageVulnerabilityReport.

      По умолчанию: {}

      • settings.registryScanning.concurrentScans
        целочисленный
        Максимальное количество одновременно выполняемых сканирований образов по всем целям.

        По умолчанию: 5

        Допустимые значения: 1 <= X

        Примеры:


        concurrentScans: 3
        
        concurrentScans: 5
        
        concurrentScans: 10
        
      • settings.registryScanning.enabled
        булевый
        Включает сканер реестров

        По умолчанию: false

        Примеры:


        enabled: true
        
        enabled: false
        
    • settings.reportResourceLabels
      массив строк

      Список дополнительных меток маркировки отчетов (VulnerabilityReport) Trivy.

      Значения этих меток будут соответствовать значениям меток сканируемых ресурсов.

      Примеры:


      reportResourceLabels: app
      
      reportResourceLabels: env
      
    • settings.scanJobResources
      объект

      Запросы и лимиты ресурсов (requests/limits) для заданий сканирования (ScanJob).

      Параметр управляет ресурсами контейнера Trivy в подах, которые оператор создает для сканирования образов.

      Если параметр не задан, используются значения по умолчанию (как и до появления этой настройки). Если параметр задан, можно указать только часть полей (например, только memory) — модуль не будет принудительно подставлять остальные поля.

      По умолчанию: {}

      Пример:


      limits:
        cpu: 500m
        memory: 500M
      requests:
        cpu: 100m
        memory: 100M
      
      • settings.scanJobResources.limits
        объект

        По умолчанию: {}

        • settings.scanJobResources.limits.cpu
          строка

          Примеры:


          cpu: 500m
          
          cpu: '1'
          
        • settings.scanJobResources.limits.memory
          строка

          Примеры:


          memory: 500M
          
          memory: 1Gi
          
      • settings.scanJobResources.requests
        объект

        По умолчанию: {}

        • settings.scanJobResources.requests.cpu
          строка

          Примеры:


          cpu: 100m
          
          cpu: 250m
          
        • settings.scanJobResources.requests.memory
          строка

          Примеры:


          memory: 100M
          
          memory: 256Mi
          
    • settings.scanPeriods
      объект
      Управляет периодичностью повторного сканирования рабочих нагрузок и перегенерации отчётов соответствия.

      По умолчанию: {}

      • settings.scanPeriods.complianceRescanCron
        строка

        Расписание в формате cron, определяющее, как часто перегенерируются ресурсы ClusterComplianceReport.

        Используется стандартный пятипольный синтаксис cron (минута час день-месяца месяц день-недели).

        По умолчанию: 0 */6 * * *

        Шаблон: ^(((([\*]{1}){1})|((\*\/){0,1}(([0-9]{1}){1}|(([1-5]{1}){1}([0-9]{1}){1}){1}))) ((([\*]{1}){1})|((\*\/){0,1}(([0-9]{1}){1}|(([1]{1}){1}([0-9]{1}){1}){1}|([2]{1}){1}([0-3]{1}){1}))) ((([\*]{1}){1})|((\*\/){0,1}(([1-9]{1}){1}|(([1-2]{1}){1}([0-9]{1}){1}){1}|([3]{1}){1}([0-1]{1}){1}))) ((([\*]{1}){1})|((\*\/){0,1}(([1-9]{1}){1}|(([1-2]{1}){1}([0-9]{1}){1}){1}|([3]{1}){1}([0-1]{1}){1}))|(jan|feb|mar|apr|may|jun|jul|aug|sep|okt|nov|dec)) ((([\*]{1}){1})|((\*\/){0,1}(([0-7]{1}){1}))|(sun|mon|tue|wed|thu|fri|sat)))$

        Примеры:


        complianceRescanCron: 0 0 * * sat
        
        complianceRescanCron: 0 */6 * * *
        
      • settings.scanPeriods.workloadRescanPeriod
        строка

        Максимальный возраст отчёта об уязвимостях, по достижении которого он считается устаревшим и ставится в очередь на повторное сканирование.

        Как только возраст отчёта превышает указанное значение, оператор удаляет его и планирует новое задание сканирования для его перегенерации. Установите значение "", чтобы полностью отключить периодическое повторное сканирование (отчёты создаются однократно и не обновляются автоматически).

        По умолчанию: 24h

        Шаблон: ^([0-9]+h)?([0-9]+m)?([0-9]+s)?$

        Примеры:


        workloadRescanPeriod: 2h50m30s
        
        workloadRescanPeriod: 12h30m
        
        workloadRescanPeriod: 24h
        
    • settings.severities
      массив строк
      Фильтрация отчетов уязвимостей по уровню их критичности.

      Примеры:


      severities:
      - CRITICAL
      - HIGH
      - MEDIUM
      - LOW
      - UNKNOWN
      
      severities:
      - CRITICAL
      - HIGH
      
      • settings.severities.Элемент массива
        строка

        Допустимые значения: UNKNOWN, LOW, MEDIUM, HIGH, CRITICAL

    • settings.storageClass
      строка

      Имя StorageClass, который будет использоваться для хранения данных модуля.

      Если значение не указано, то будет использоваться StorageClass, согласно настройке глобального параметра storageClass.

      Настройка глобального параметра storageClass учитывается только при включении модуля. Изменение глобального параметра storageClass при включенном модуле не приведет к перезаказу диска.

      Внимание. Если указать значение, отличное от текущего (используемого в существующей PVC), диск будет перезаказан, и все данные удалятся.

      Если указать false, будет принудительно использоваться emptyDir.

      Примеры:


      storageClass: ceph-ssd
      
      storageClass: 'false'
      
    • settings.tolerations
      массив объектов

      Опциональные tolerations для компонентов operator-trivy и заданий сканирования (Jobs).

      Структура, аналогичная spec.tolerations пода Kubernetes.

      Если значение не указано или указано false, будет использоваться автоматика.

      Пример:


      effect: NoSchedule
      key: key1
      operator: Equal
      value: value1
      
      • settings.tolerations.effect
        строка
      • settings.tolerations.key
        строка
      • settings.tolerations.operator
        строка
      • settings.tolerations.tolerationSeconds
        целочисленный
      • settings.tolerations.value
        строка
    • settings.useVEXFromOCI
      булевый
      Поиск VEX-аттестаций сканируемых образов в OCI-хранилищах и подавление отчётности об уязвимостях, объявленных в них.

      По умолчанию: false

      Примеры:


      useVEXFromOCI: true
      
      useVEXFromOCI: false