この文書は自動機械翻訳技術を使用して翻訳されています。 正確な翻訳を提供するように努めておりますが、翻訳された内容の完全性、正確性、信頼性については一切保証いたしません。 相違がある場合は、元の英語版 英語 が優先され、正式なテキストとなります。

設定

この設定リファレンスは、`rancher-compliance`アプリケーションによって作成されたカスタムリソースを管理するのに役立つことを目的としています。これらのリソースは、クラスター上でコンプライアンススキャンを実行し、テストをスキップし、スキャン中に使用されるテストプロファイルを設定し、その他のカスタマイズに使用されます。

カスタムリソースを構成するには、*クラスターダッシュボード*に移動します。コンプライアンススキャンを構成するには、

  1. 左上隅で、*☰ > クラスター管理*をクリックします。

  2. *クラスター*ページで、コンプライアンススキャンを構成したいクラスターに移動し、*探索*をクリックします。

  3. 左のナビゲーションバーで*コンプライアンス*をクリックします。

スキャン

スキャンは、定義されたプロファイルに基づいてクラスターでコンプライアンススキャンをトリガーするために作成されます。スキャンが完了すると、レポートが作成されます。

スキャンを構成する際には、`scanProfileName`ディレクティブと共に使用されるスキャンプロファイルの名前を定義する必要があります。

以下に例のClusterScanカスタムリソースを示します:

apiVersion: compliance.cattle.io/v1
kind: ClusterScan
metadata:
  name: scan-smnr9
spec:
  scanProfileName: cis-1.10-profile

プロファイル

プロファイルには、使用するベンチマークバージョンや、そのベンチマークでスキップする特定のテストを含むコンプライアンススキャンの設定が含まれています。

デフォルトでは、いくつかのClusterScanProfilesが`rancher-compliance`チャートの一部としてインストールされます。ユーザーがこれらのデフォルトのベンチマークやプロファイルを編集すると、次のチャートの更新で元に戻されます。そのため、ユーザーはデフォルトのClusterScanProfilesを編集しないことをお勧めします。

ユーザーはClusterScanProfilesをクローンしてカスタムプロファイルを作成できます。

スキップされたテストは、`skipTests`ディレクティブの下にリストされます。

新しいプロファイルを作成する際には、名前を付ける必要があります。

以下に例`ClusterScanProfile`を示します:

apiVersion: compliance.cattle.io/v1
kind: ClusterScanProfile
metadata:
  annotations:
    clusterscanprofile.compliance.cattle.io/builtin: 'true'
    meta.helm.sh/release-name: rancher-compliance
    meta.helm.sh/release-namespace: compliance-operator-system
  creationTimestamp: '2025-09-15T18:09:52Z'
  generation: 1
  labels:
    app.kubernetes.io/managed-by: Helm
  name: cis-1.10-profile
  resourceVersion: '93582'
  uid: 0baad187-1157-46ac-982d-014338847c27
spec:
  benchmarkVersion: cis-1.10
  skipTests:
    - '1.1.20'
    - '1.1.21'

ベンチマークバージョン

ベンチマークバージョンは、`kube-bench`を使用して実行するベンチマークの名前と、そのベンチマークの有効な設定パラメータです。

`ClusterScanBenchmark`は、コンプライアンス`BenchmarkVersion`の名前およびテストの設定を定義します。`BenchmarkVersion`の名前は、`kube-bench`ツールに提供されるパラメータです。

デフォルトでは、いくつかの`BenchmarkVersion`の名前とテストの設定が、コンプライアンススキャンアプリケーションの一部としてパッケージ化されています。この機能が有効になっている場合、これらのデフォルトのBenchmarkVersionsは自動的にインストールされ、ユーザーがClusterScanProfileを作成するために利用可能になります。

デフォルトのBenchmarkVersionsが編集された場合、次のチャート更新で元に戻されます。したがって、デフォルトのClusterScanBenchmarksを編集することはお勧めしません。

ClusterScanBenchmarkは、次のフィールドで構成されています:

  • Cluster provider:これは、このベンチマークが適用されるクラスタープロバイダーの名前です。次に例を示します。RKE2、EKS、GKEなど。このベンチマークが任意のクラスタタイプで実行できる場合は、空白のままにしてください。

  • MinKubernetesVersion:このベンチマークを実行するために必要なクラスタの最小Kubernetesバージョンを指定します。特定のKubernetesバージョンに依存しない場合は、空白のままにしてください。

  • MaxKubernetesVersion:このベンチマークを実行するために必要なクラスタの最大Kubernetesバージョンを指定します。特定のKubernetesバージョンに依存しない場合は、空白のままにしてください。

例としては、以下に`ClusterScanBenchmark`を示します。

apiVersion: compliance.cattle.io/v1
kind: ClusterScanBenchmark
metadata:
  annotations:
    meta.helm.sh/release-name: rancher-compliance
    meta.helm.sh/release-namespace: compliance-operator-system
  creationTimestamp: '2025-09-15T18:09:52Z'
  generation: 1
  labels:
    app.kubernetes.io/managed-by: Helm
  name: cis-1.10
  resourceVersion: '93569'
  uid: 309e543e-9102-4091-be91-08d7af7fb7a7
spec:
  clusterProvider: ''
  minKubernetesVersion: 1.28.0