Ce document a été traduit à l'aide d'une technologie de traduction automatique. Bien que nous nous efforcions de fournir des traductions exactes, nous ne fournissons aucune garantie quant à l'exhaustivité, l'exactitude ou la fiabilité du contenu traduit. En cas de divergence, la version originale anglaise prévaut et fait foi.

Configuration

Cette référence de configuration est destinée à vous aider à gérer les ressources personnalisées créées par rancher-compliance l’application. Ces ressources sont utilisées pour effectuer des analyses de conformité sur un cluster, sauter des tests, définir le profil de test qui sera utilisé lors d’une analyse, et d’autres personnalisations.

Pour configurer les ressources personnalisées, allez au Tableau de bord du cluster. Pour configurer les analyses de conformité,

  1. Dans le coin supérieur gauche, cliquez sur ☰ > Gestion des clusters.

  2. Sur la page Clusters, allez au cluster où vous souhaitez configurer les analyses de conformité et cliquez sur Explorer.

  3. Dans la barre de navigation à gauche, cliquez sur Conformité.

Analyses

Une analyse est créée pour déclencher une analyse de conformité sur le cluster en fonction du profil défini. Un rapport est créé après la fin de l’analyse.

Lors de la configuration d’une analyse, vous devez définir le nom du profil d’analyse qui sera utilisé avec la directive scanProfileName.

Un exemple de ressource personnalisée ClusterScan est ci-dessous :

apiVersion: compliance.cattle.io/v1
kind: ClusterScan
metadata:
  name: scan-smnr9
spec:
  scanProfileName: cis-1.10-profile

Profils

Un profil contient la configuration pour l’analyse de conformité, qui inclut la version du benchmark à utiliser et les tests spécifiques à ignorer dans ce benchmark.

Par défaut, quelques ClusterScanProfiles sont installés dans le cadre du rancher-compliance chart. Si un utilisateur modifie ces benchmarks ou profils par défaut, la prochaine mise à jour du chart les réinitialisera. Il est donc conseillé aux utilisateurs de ne pas modifier les ClusterScanProfiles par défaut.

Les utilisateurs peuvent cloner les ClusterScanProfiles pour créer des profils personnalisés.

Les tests sautés sont listés sous la directive skipTests.

Lors de la création d’un nouveau profil, vous devrez également lui donner un nom.

Un exemple ClusterScanProfile est ci-dessous :

apiVersion: compliance.cattle.io/v1
kind: ClusterScanProfile
metadata:
  annotations:
    clusterscanprofile.compliance.cattle.io/builtin: 'true'
    meta.helm.sh/release-name: rancher-compliance
    meta.helm.sh/release-namespace: compliance-operator-system
  creationTimestamp: '2025-09-15T18:09:52Z'
  generation: 1
  labels:
    app.kubernetes.io/managed-by: Helm
  name: cis-1.10-profile
  resourceVersion: '93582'
  uid: 0baad187-1157-46ac-982d-014338847c27
spec:
  benchmarkVersion: cis-1.10
  skipTests:
    - '1.1.20'
    - '1.1.21'

Versions de référence

Une version de référence est le nom du benchmark à exécuter en utilisant kube-bench, ainsi que les paramètres de configuration valides pour ce benchmark.

Un ClusterScanBenchmark définit le nom de conformité BenchmarkVersion et les configurations de test. Le nom BenchmarkVersion est un paramètre fourni à l’outil kube-bench.

Par défaut, quelques noms de BenchmarkVersion et configurations de test sont inclus dans l’application de scan de conformité. Lorsque cette fonctionnalité est activée, ces BenchmarkVersions par défaut seront automatiquement installées et disponibles pour que les utilisateurs créent un ClusterScanProfile.

Si les BenchmarkVersions par défaut sont modifiées, la prochaine mise à jour du chart les réinitialisera. Par conséquent, nous ne recommandons pas de modifier les ClusterScanBenchmarks par défaut.

Un ClusterScanBenchmark se compose des champs :

  • Cluster provider : Ceci est le nom du fournisseur de cluster pour lequel ce benchmark est applicable. Par exemple : RKE2, EKS, GKE, etc. Laissez-le vide si ce benchmark peut être exécuté sur n’importe quel type de cluster.

  • MinKubernetesVersion : Spécifie la version minimale de Kubernetes du cluster nécessaire pour exécuter ce benchmark. Laissez-le vide s’il n’y a pas de dépendance à une version particulière de Kubernetes.

  • MaxKubernetesVersion : Spécifie la version maximale de Kubernetes du cluster nécessaire pour exécuter ce benchmark. Laissez-le vide s’il n’y a pas de dépendance à une version particulière de K8s.

Un exemple ClusterScanBenchmark est ci-dessous :

apiVersion: compliance.cattle.io/v1
kind: ClusterScanBenchmark
metadata:
  annotations:
    meta.helm.sh/release-name: rancher-compliance
    meta.helm.sh/release-namespace: compliance-operator-system
  creationTimestamp: '2025-09-15T18:09:52Z'
  generation: 1
  labels:
    app.kubernetes.io/managed-by: Helm
  name: cis-1.10
  resourceVersion: '93569'
  uid: 309e543e-9102-4091-be91-08d7af7fb7a7
spec:
  clusterProvider: ''
  minKubernetesVersion: 1.28.0