Доступно в редакциях:  EE, CSE Lite (1.67), CSE Pro (1.67)

Модуль не включен по умолчанию в каком-либо наборе модулей.

Как явно включить или отключить модуль…

Чтобы явно включить или выключить модуль operator-trivy, установите spec.enabled в true или false в ModuleConfig/operator-trivy (создайте, при необходимости), или воспользуйтесь командой deckhouse-controller module в поде d8-system/deckhouse.

Пример включения модуля:

  • с помощью ресурса ModuleConfig:

    apiVersion: deckhouse.io/v1alpha1
kind: ModuleConfig
metadata:
  name: operator-trivy
spec:
  enabled: true

  • с помощью команды deckhouse-controller (требуется kubectl, настроенный на работу с кластером):

    kubectl -ti -n d8-system exec svc/deckhouse-leader -c deckhouse -- deckhouse-controller module enable operator-trivy

Пример выключения модуля:

  • с помощью ресурса ModuleConfig:

    apiVersion: deckhouse.io/v1alpha1
kind: ModuleConfig
metadata:
  name: operator-trivy
spec:
  enabled: false

  • с помощью команды deckhouse-controller (требуется kubectl, настроенный на работу с кластером):

    kubectl -ti -n d8-system exec svc/deckhouse-leader -c deckhouse -- deckhouse-controller module disable operator-trivy

Настройки

Чтобы настроить модуль, используйте ресурс ModuleConfig с именем operator-trivy (подробнее о настройке Deckhouse…).

Пример ресурса ModuleConfig/operator-trivy для настройки модуля:

apiVersion: deckhouse.io/v1alpha1
kind: ModuleConfig
metadata:
  name: operator-trivy
spec:
  version: 1
  enabled: true
  settings: # <-- Параметры модуля из раздела "Параметры" ниже.

Параметры

Версия схемы: 1

  • settings
    объект
    • settings.additionalRegistryCA
      массив объектов

      Список корневых сертификатов (CA) приватных хранилищ образов контейнеров (container registry).

      Если требуется указать несколько сертификатов, они перечисляются последовательно, без дополнительных переносов строк.

      Пример:

      additionalRegistryCA:
  - name: example CA
    ca: |
      -----BEGIN CERTIFICATE-----
      .................
      -----END CERTIFICATE-----
  - name: CA with intermediate CA
    ca: |
      -----BEGIN CERTIFICATE-----
      .................
      -----END CERTIFICATE-----
      -----BEGIN CERTIFICATE-----
      .................
      -----END CERTIFICATE-----
      • settings.additionalRegistryCA.ca
        строка
      • settings.additionalRegistryCA.name
        строка
    • settings.additionalVulnerabilityReportFields
      массив строк

      Список дополнительных полей из базы уязвимостей, добавляемых к отчетам об уязвимостях (VulnerabilityReport).

      Пример:

      additionalVulnerabilityReportFields:
- Class
- Target
    • settings.disableSBOMGeneration
      булевый

      Отключает генерацию отчетов SBOM.

      Внимание. При установке значения “true”, все текущие отчеты SBOM в кластере удаляются (очистка выполняется один раз).

      По умолчанию: false

      Примеры:

      disableSBOMGeneration: true

      disableSBOMGeneration: false
    • settings.insecureDbRegistry
      булевый

      Разрешает Trivy скачивать базы данных уязвимостей, используя недоверенные HTTPS-подключения (не прошедшие проверку TLS-сертификата) или подключения по HTTP.

      По умолчанию: false

      Примеры:

      insecureDbRegistry: true

      insecureDbRegistry: false
    • settings.insecureRegistries
      массив строк

      Список адресов хранилищ образов контейнеров (container registry), к которым разрешены недоверенные HTTPS-подключения (не прошедшие проверку TLS-сертификата) и подключения по HTTP.

      Пример:

      insecureRegistries:
- my.registry.com
- http-only.registry.io
    • settings.linkCVEtoBDU
      булевый

      Включить конвертацию отчетов уязвимостей. Заменяет уязвимости из базы CVE на данные из базы BDU и выводит их в отчете.

      По умолчанию: false

      Примеры:

      linkCVEtoBDU: true

      linkCVEtoBDU: false
    • settings.nodeSelector
      объект

      Опциональный селектор для компонентов operator-trivy и заданий сканирования (Jobs).

      Структура, аналогичная spec.nodeSelector пода Kubernetes.

      Если значение не указано или указано false, будет использоваться автоматика.

      Пример:

      nodeSelector:
  disktype: ssd
    • settings.reportResourceLabels
      массив строк

      Список дополнительных меток маркировки отчетов (VulnerabilityReport) Trivy.

      Значения этих меток будут соответствовать значениям меток сканируемых ресурсов.

      Пример:

      reportResourceLabels:
- app
- env
    • settings.severities
      массив строк

      Фильтрация отчетов уязвимостей по уровню их критичности.

      Пример:

      severities:
- UNKNOWN
- CRITICAl
      • Элемент массива
        строка

        Допустимые значения: UNKNOWN, LOW, MEDIUM, HIGH, CRITICAL

    • settings.storageClass
      строка

      Имя StorageClass, который будет использоваться по умолчанию в кластере.

      Если значение не указано, то будет использоваться StorageClass, согласно настройке глобального параметра storageClass.

      Настройка глобального параметра storageClass учитывается только при включении модуля. Изменение глобального параметра storageClass при включенном модуле не приведет к перезаказу диска.

      Внимание. Если указать значение, отличное от текущего (используемого в существующей PVC), диск будет перезаказан, и все данные удалятся.

      Если указать false, будет принудительно использоваться emptyDir.

      Примеры:

      storageClass: ceph-ssd

      storageClass: 'false'
    • settings.tolerations
      массив объектов

      Опциональные tolerations для компонентов operator-trivy и заданий сканирования (Jobs).

      Структура, аналогичная spec.tolerations пода Kubernetes.

      Если значение не указано или указано false, будет использоваться автоматика.

      Пример:

      tolerations:
- key: key1
  operator: Equal
  value: value1
  effect: NoSchedule
      • settings.tolerations.effect
        строка
      • settings.tolerations.key
        строка
      • settings.tolerations.operator
        строка
      • settings.tolerations.tolerationSeconds
        целочисленный
      • settings.tolerations.value
        строка