Dieses Dokument wurde mithilfe automatisierter maschineller Übersetzungstechnologie übersetzt. Wir bemühen uns um korrekte Übersetzungen, übernehmen jedoch keine Gewähr für die Vollständigkeit, Richtigkeit oder Zuverlässigkeit der übersetzten Inhalte. Im Falle von Abweichungen ist die englische Originalversion maßgebend und stellt den verbindlichen Text dar.

Konfiguration

Diese Konfigurationsreferenz soll Ihnen helfen, die benutzerdefinierten Ressourcen zu verwalten, die von der rancher-compliance Anwendung erstellt wurden. Diese Ressourcen werden verwendet, um Compliance-Scans in einem Cluster durchzuführen, Tests zu überspringen, das Testprofil festzulegen, das während eines Scans verwendet wird, und andere Anpassungen vorzunehmen.

Um die benutzerdefinierten Ressourcen zu konfigurieren, gehen Sie zum Cluster-Dashboard. Um die Compliance-Scans zu konfigurieren,

  1. Klicken Sie in der oberen linken Ecke auf ☰ > Clusterverwaltung.

  2. Auf der Seite Cluster gehen Sie zu dem Cluster, in dem Sie die Compliance-Scans konfigurieren möchten, und klicken Sie auf Erkunden.

  3. Klicken Sie in der linken Navigationsleiste auf Compliance.

Scans

Ein Scan wird erstellt, um einen Compliance-Scan im Cluster basierend auf dem definierten Profil auszulösen. Ein Bericht wird erstellt, nachdem der Scan abgeschlossen ist.

Bei der Konfiguration eines Scans müssen Sie den Namen des Scanprofils definieren, das mit der scanProfileName Direktive verwendet wird.

Ein Beispiel für eine ClusterScan-Benutzerressource finden Sie unten:

apiVersion: compliance.cattle.io/v1
kind: ClusterScan
metadata:
  name: scan-smnr9
spec:
  scanProfileName: cis-1.10-profile

Profile

Ein Profil enthält die Konfiguration für den Compliance-Scan, die die zu verwendende Benchmark-Version und alle spezifischen Tests umfasst, die in dieser Benchmark übersprungen werden sollen.

Standardmäßig sind einige ClusterScanProfile als Teil des rancher-compliance Charts installiert. Wenn ein Benutzer diese Standardbenchmarks oder -profile bearbeitet, werden sie beim nächsten Chart-Update zurückgesetzt. Es ist daher ratsam, dass Benutzer die Standard-ClusterScanProfile nicht bearbeiten.

Benutzer können die ClusterScanProfile klonen, um benutzerdefinierte Profile zu erstellen.

Übersprungene Tests werden unter der skipTests Direktive aufgelistet.

Wenn Sie ein neues Profil erstellen, müssen Sie ihm auch einen Namen geben.

Ein Beispiel ClusterScanProfile finden Sie unten:

apiVersion: compliance.cattle.io/v1
kind: ClusterScanProfile
metadata:
  annotations:
    clusterscanprofile.compliance.cattle.io/builtin: 'true'
    meta.helm.sh/release-name: rancher-compliance
    meta.helm.sh/release-namespace: compliance-operator-system
  creationTimestamp: '2025-09-15T18:09:52Z'
  generation: 1
  labels:
    app.kubernetes.io/managed-by: Helm
  name: cis-1.10-profile
  resourceVersion: '93582'
  uid: 0baad187-1157-46ac-982d-014338847c27
spec:
  benchmarkVersion: cis-1.10
  skipTests:
    - '1.1.20'
    - '1.1.21'

Benchmark-Versionen

Eine Benchmark-Version ist der Name des Benchmarks, der mit kube-bench ausgeführt werden soll, sowie die gültigen Konfigurationsparameter für diesen Benchmark.

Ein ClusterScanBenchmark definiert den Namen des Compliance-BenchmarkVersion und die Testkonfigurationen. Der BenchmarkVersion Name ist ein Parameter, der dem kube-bench Tool bereitgestellt wird.

Standardmäßig sind einige BenchmarkVersion Namen und Testkonfigurationen als Teil der Compliance-Scan-Anwendung enthalten. Wenn diese Funktion aktiviert ist, werden diese Standard-Benchmark-Versionen automatisch installiert und stehen den Benutzern zur Verfügung, um ein ClusterScanProfil zu erstellen.

Wenn die Standard-Benchmark-Versionen bearbeitet werden, werden sie beim nächsten Chart-Update zurückgesetzt. Daher empfehlen wir nicht, die Standard-ClusterScanBenchmarks zu bearbeiten.

Ein ClusterScanBenchmark besteht aus den folgenden Feldern:

  • Cluster provider: Dies ist der Name des Clusteranbieters, für den dieser Benchmark anwendbar ist. Beispiel: RKE2, EKS, GKE usw. Lassen Sie es leer, wenn dieser Benchmark auf jedem Cluster-Typ ausgeführt werden kann.

  • MinKubernetesVersion: Gibt die minimale Kubernetes-Version des Clusters an, die erforderlich ist, um diesen Benchmark auszuführen. Lassen Sie es leer, wenn es keine Abhängigkeit von einer bestimmten Kubernetes-Version gibt.

  • MaxKubernetesVersion: Gibt die maximale Kubernetes-Version des Clusters an, die erforderlich ist, um diesen Benchmark auszuführen. Lassen Sie es leer, wenn es keine Abhängigkeit von einer bestimmten Kubernetes-Version gibt.

Ein Beispiel ClusterScanBenchmark finden Sie unten:

apiVersion: compliance.cattle.io/v1
kind: ClusterScanBenchmark
metadata:
  annotations:
    meta.helm.sh/release-name: rancher-compliance
    meta.helm.sh/release-namespace: compliance-operator-system
  creationTimestamp: '2025-09-15T18:09:52Z'
  generation: 1
  labels:
    app.kubernetes.io/managed-by: Helm
  name: cis-1.10
  resourceVersion: '93569'
  uid: 309e543e-9102-4091-be91-08d7af7fb7a7
spec:
  clusterProvider: ''
  minKubernetesVersion: 1.28.0