Este documento foi traduzido usando tecnologia de tradução automática de máquina. Sempre trabalhamos para apresentar traduções precisas, mas não oferecemos nenhuma garantia em relação à integridade, precisão ou confiabilidade do conteúdo traduzido. Em caso de qualquer discrepância, a versão original em inglês prevalecerá e constituirá o texto official.

Configuração

Esta referência de configuração destina-se a ajudá-lo a gerenciar os recursos personalizados criados pelo aplicativo rancher-compliance. Esses recursos são usados para realizar varreduras de conformidade em um cluster, ignorar testes, definir o arquivo de controle de teste que será utilizado durante uma varredura e outras personalizações.

Para configurar os recursos personalizados, vá para o Painel do Cluster. Para configurar as varreduras de conformidade,

  1. No canto superior esquerdo, clique em ☰ > Gerenciamento de Cluster.

  2. Na página Clusters, vá para o cluster onde você deseja configurar as varreduras de conformidade e clique em Explorar.

  3. Na barra de navegação à esquerda, clique em Conformidade.

Explorar

Uma varredura é criada para acionar uma varredura de conformidade no cluster com base no arquivo de controle definido. Um relatório é criado após a conclusão da varredura.

Ao configurar uma varredura, você precisa definir o nome do arquivo de controle de varredura que será utilizado com a diretiva scanProfileName.

Um exemplo de recurso personalizado ClusterScan está abaixo:

apiVersion: compliance.cattle.io/v1
kind: ClusterScan
metadata:
  name: scan-smnr9
spec:
  scanProfileName: cis-1.10-profile

Perfis

Um arquivo de controle contém a configuração para a varredura de conformidade, que inclui a versão do benchmark a ser utilizada e quaisquer testes específicos a serem ignorados nesse benchmark.

Por padrão, alguns ClusterScanProfiles são instalados como parte do rancher-compliance chart. Se um usuário editar esses benchmarks ou perfis padrão, a próxima atualização do chart os redefinirá. Portanto, é aconselhável que os usuários não editem os ClusterScanProfiles padrão.

Os usuários podem clonar os ClusterScanProfiles para criar arquivos de controle personalizados.

Os testes ignorados são listados sob a diretiva skipTests.

Quando você cria um novo arquivo de controle, também precisará dar um nome a ele.

Um exemplo ClusterScanProfile está abaixo:

apiVersion: compliance.cattle.io/v1
kind: ClusterScanProfile
metadata:
  annotations:
    clusterscanprofile.compliance.cattle.io/builtin: 'true'
    meta.helm.sh/release-name: rancher-compliance
    meta.helm.sh/release-namespace: compliance-operator-system
  creationTimestamp: '2025-09-15T18:09:52Z'
  generation: 1
  labels:
    app.kubernetes.io/managed-by: Helm
  name: cis-1.10-profile
  resourceVersion: '93582'
  uid: 0baad187-1157-46ac-982d-014338847c27
spec:
  benchmarkVersion: cis-1.10
  skipTests:
    - '1.1.20'
    - '1.1.21'

Versões de Benchmark

Uma versão de benchmark é o nome do benchmark a ser executado usando kube-bench, bem como os parâmetros de configuração válidos para esse benchmark.

Um ClusterScanBenchmark define o nome de conformidade BenchmarkVersion e as configurações de teste. O BenchmarkVersion nome é um parâmetro fornecido à ferramenta kube-bench.

Por padrão, alguns nomes BenchmarkVersion e configurações de teste estão incluídos como parte do aplicativo de varredura de conformidade. Quando este recurso está habilitado, essas BenchmarkVersions padrão serão instaladas automaticamente e estarão disponíveis para os usuários criarem um ClusterScanProfile.

Se as BenchmarkVersions padrão forem editadas, a próxima atualização do chart as redefinirá. Portanto, não recomendamos editar os ClusterScanBenchmarks padrão.

Um ClusterScanBenchmark consiste nos campos:

  • Cluster provider: Este é o nome do provedor de cluster para o qual este benchmark é aplicável. Por exemplo: RKE2, EKS, GKE, etc. Deixe em branco se este benchmark puder ser executado em qualquer tipo de cluster.

  • MinKubernetesVersion: Especifica a versão mínima do Kubernetes do cluster necessária para executar este benchmark. Deixe em branco se não houver dependência de uma versão específica do Kubernetes.

  • MaxKubernetesVersion: Especifica a versão máxima do Kubernetes do cluster necessária para executar este benchmark. Deixe em branco se não houver dependência de uma versão específica do k8s.

Um exemplo ClusterScanBenchmark está abaixo:

apiVersion: compliance.cattle.io/v1
kind: ClusterScanBenchmark
metadata:
  annotations:
    meta.helm.sh/release-name: rancher-compliance
    meta.helm.sh/release-namespace: compliance-operator-system
  creationTimestamp: '2025-09-15T18:09:52Z'
  generation: 1
  labels:
    app.kubernetes.io/managed-by: Helm
  name: cis-1.10
  resourceVersion: '93569'
  uid: 309e543e-9102-4091-be91-08d7af7fb7a7
spec:
  clusterProvider: ''
  minKubernetesVersion: 1.28.0