Модуль не включен по умолчанию в каком-либо наборе модулей.

Как явно включить или отключить модуль…

Чтобы явно включить или выключить модуль operator-trivy, установите spec.enabled в true или false в ModuleConfig/operator-trivy (создайте, при необходимости), или воспользуйтесь командой deckhouse-controller module в поде d8-system/deckhouse.

Пример включения модуля:

  • с помощью ресурса ModuleConfig:

    apiVersion: deckhouse.io/v1alpha1
    kind: ModuleConfig
    metadata:
      name: operator-trivy
    spec:
      enabled: true
    
  • с помощью команды deckhouse-controller (требуется kubectl, настроенный на работу с кластером):

    kubectl -ti -n d8-system exec svc/deckhouse-leader -c deckhouse -- deckhouse-controller module enable operator-trivy
    

Пример выключения модуля:

  • с помощью ресурса ModuleConfig:

    apiVersion: deckhouse.io/v1alpha1
    kind: ModuleConfig
    metadata:
      name: operator-trivy
    spec:
      enabled: false
    
  • с помощью команды deckhouse-controller (требуется kubectl, настроенный на работу с кластером):

    kubectl -ti -n d8-system exec svc/deckhouse-leader -c deckhouse -- deckhouse-controller module disable operator-trivy
    

Чтобы настроить модуль, используйте custom resource ModuleConfig с именем operator-trivy (подробнее о настройке Deckhouse…).

Пример ресурса ModuleConfig/operator-trivy для настройки модуля:

apiVersion: deckhouse.io/v1alpha1
kind: ModuleConfig
metadata:
  name: operator-trivy
spec:
  version: 1
  enabled: true
  settings: # <-- Параметры модуля из раздела "Параметры" ниже.

Параметры

Версия схемы: 1

  • linkCVEtoBDU
    булевый

    Включить конвертацию отчетов уязвимостей. Заменяет уязвимости из базы CVE на данные из базы BDU и выводит их в отчете.

    По умолчанию: false

    Примеры:

    linkCVEtoBDU: true
    
    linkCVEtoBDU: false
    
  • nodeSelector
    объект

    Опциональный селектор для компонентов operator-trivy и заданий сканирования (Jobs).

    Структура, аналогичная spec.nodeSelector пода Kubernetes.

    Если ничего не указано или указано false, будет использоваться автоматика.

    Пример:

    nodeSelector:
      disktype: ssd
    
  • reportResourceLabels
    массив строк

    Список дополнительных меток маркировки отчетов (VulnerabilityReport) Trivy.

    Значения этих меток будут соответствовать значениям меток сканируемых ресурсов.

  • severities
    массив строк

    Фильтрация отчетов уязвимостей по их уровню критичности.

    • Элемент массива
      строка

      Допустимые значения: UNKNOWN, LOW, MEDIUM, HIGH, CRITICAL

  • storageClass
    строка

    Имя StorageClass, который будет использоваться.

    • Если значение не указано, то будет использоваться StorageClass, согласно настройке глобального параметра storageClass.
    • Настройка глобального параметра storageClass учитывается только при включении модуля. Изменение глобального параметра storageClass при включенном модуле не приведет к перезаказу диска.
    • Внимание. Если указать значение, отличное от текущего (используемого в существующей PVC), диск будет перезаказан, и все данные удалятся.
    • Если указать false, будет принудительно использоваться emptyDir.

    Примеры:

    storageClass: ceph-ssd
    
    storageClass: 'false'
    
  • tolerations
    массив объектов

    Опциональные tolerations для компонентов operator-trivy и заданий сканирования (Jobs).

    Структура, аналогичная spec.tolerations пода Kubernetes.

    Если ничего не указано или указано false, будет использоваться автоматика.

    Пример:

    tolerations:
    - key: key1
      operator: Equal
      value: value1
      effect: NoSchedule
    
    • tolerations.effect
      строка
    • tolerations.key
      строка
    • tolerations.operator
      строка
    • tolerations.tolerationSeconds
      целочисленный
    • tolerations.value
      строка