Este documento ha sido traducido utilizando tecnología de traducción automática. Si bien nos esforzamos por proporcionar traducciones precisas, no ofrecemos garantías sobre la integridad, precisión o confiabilidad del contenido traducido. En caso de discrepancia, la versión original en inglés prevalecerá y constituirá el texto autorizado.

Configuración

Esta referencia de configuración está destinada a ayudarles a gestionar los recursos personalizados creados por la rancher-compliance aplicación. Estos recursos se utilizan para realizar exploraciones de cumplimiento en un clúster, omitir pruebas, establecer el perfil de prueba que se utilizará durante una exploración y otras personalizaciones.

Para configurar los recursos personalizados, vayan al Panel del Clúster. Para configurar las exploraciones de cumplimiento,

  1. En la esquina superior izquierda, haz clic en ☰ > Gestión de Clústeres.

  2. En la página Clústeres, vayan al clúster donde quieran configurar las exploraciones de cumplimiento y hagan clic en Explorar.

  3. En la barra de navegación izquierda, hagan clic en Cumplimiento.

Exploraciones

Se crea una exploración para activar una exploración de cumplimiento en el clúster basada en el perfil definido. Se crea un informe después de que la exploración se complete.

Al configurar una exploración, deben definir el nombre del perfil de exploración que se utilizará con la directiva scanProfileName.

Un ejemplo de recurso personalizado ClusterScan se muestra a continuación:

apiVersion: compliance.cattle.io/v1
kind: ClusterScan
metadata:
  name: scan-smnr9
spec:
  scanProfileName: cis-1.10-profile

Perfiles

Un perfil contiene la configuración para la exploración de cumplimiento, que incluye la versión de benchmark a utilizar y cualquier prueba específica que se deba omitir en ese benchmark.

Por defecto, se instalan algunos ClusterScanProfiles como parte del gráfico rancher-compliance. Si un usuario edita estos benchmarks o perfiles predeterminados, la próxima actualización del gráfico los restablecerá. Por lo tanto, es aconsejable que los usuarios no editen los ClusterScanProfiles predeterminados.

Los usuarios pueden clonar los ClusterScanProfiles para crear perfiles personalizados.

Las pruebas omitidas se enumeran bajo la directiva skipTests.

Cuando creen un nuevo perfil, también deben darle un nombre.

Un ejemplo ClusterScanProfile se muestra a continuación:

apiVersion: compliance.cattle.io/v1
kind: ClusterScanProfile
metadata:
  annotations:
    clusterscanprofile.compliance.cattle.io/builtin: 'true'
    meta.helm.sh/release-name: rancher-compliance
    meta.helm.sh/release-namespace: compliance-operator-system
  creationTimestamp: '2025-09-15T18:09:52Z'
  generation: 1
  labels:
    app.kubernetes.io/managed-by: Helm
  name: cis-1.10-profile
  resourceVersion: '93582'
  uid: 0baad187-1157-46ac-982d-014338847c27
spec:
  benchmarkVersion: cis-1.10
  skipTests:
    - '1.1.20'
    - '1.1.21'

Versiones de benchmark

Una versión de benchmark es el nombre del benchmark que se ejecutará utilizando kube-bench, así como los parámetros de configuración válidos para ese benchmark.

Un ClusterScanBenchmark define el nombre de cumplimiento BenchmarkVersion y las configuraciones de prueba. El BenchmarkVersion nombre es un parámetro proporcionado a la herramienta kube-bench.

Por defecto, algunos nombres de BenchmarkVersion y configuraciones de prueba están empaquetados como parte de la aplicación de escaneo de cumplimiento. Cuando esta función está habilitada, estas Versiones de benchmark predeterminadas se instalarán automáticamente y estarán disponibles para que los usuarios creen un ClusterScanProfile.

Si se editan las Versiones de benchmark predeterminadas, la próxima actualización del gráfico las restablecerá. Por lo tanto, no recomendamos editar los ClusterScanBenchmarks predeterminados.

Un ClusterScanBenchmark consiste en los campos:

  • Cluster provider: Este es el nombre del proveedor de clúster para el cual este benchmark es aplicable. Por ejemplo: RKE2, EKS, GKE, etc. Déjalo vacío si este benchmark puede ejecutarse en cualquier tipo de clúster.

  • MinKubernetesVersion: Especifica la versión mínima de Kubernetes del clúster necesaria para ejecutar este benchmark. Déjalo vacío si no hay dependencia de una versión particular de Kubernetes.

  • MaxKubernetesVersion: Especifica la versión máxima de Kubernetes del clúster necesaria para ejecutar este benchmark. Déjalo vacío si no hay dependencia de una versión particular de Kubernetes.

Un ejemplo ClusterScanBenchmark se muestra a continuación:

apiVersion: compliance.cattle.io/v1
kind: ClusterScanBenchmark
metadata:
  annotations:
    meta.helm.sh/release-name: rancher-compliance
    meta.helm.sh/release-namespace: compliance-operator-system
  creationTimestamp: '2025-09-15T18:09:52Z'
  generation: 1
  labels:
    app.kubernetes.io/managed-by: Helm
  name: cis-1.10
  resourceVersion: '93569'
  uid: 309e543e-9102-4091-be91-08d7af7fb7a7
spec:
  clusterProvider: ''
  minKubernetesVersion: 1.28.0