本文档采用自动化机器翻译技术翻译。 尽管我们力求提供准确的译文,但不对翻译内容的完整性、准确性或可靠性作出任何保证。 若出现任何内容不一致情况,请以原始 英文 版本为准,且原始英文版本为权威文本。

配置

此配置参考旨在帮助您管理由`rancher-compliance`应用程序创建的自定义资源。这些资源用于在集群上执行合规性扫描,跳过测试,设置在扫描期间将使用的测试控制文件,以及其他自定义。

要配置自定义资源,请转到*集群仪表板*以配置合规性扫描,

  1. 在左上角,点击 ☰ > 集群管理

  2. 在*集群*页面上,转到您想配置合规性扫描的集群,然后单击*探索*。

  3. 在左侧导航栏中,单击*合规性*。

扫描

创建扫描是为了根据定义的控制文件在集群上触发合规性扫描。扫描完成后会生成报告。

在配置扫描时,您需要定义将与`scanProfileName`指令一起使用的扫描控制文件的名称。

下面是一个ClusterScan自定义资源的示例:

apiVersion: compliance.cattle.io/v1
kind: ClusterScan
metadata:
  name: scan-smnr9
spec:
  scanProfileName: cis-1.10-profile

配置文件

控制文件包含合规性扫描的配置,包括要使用的基准版本和在该基准中要跳过的任何特定测试。

默认情况下,作为`rancher-compliance`图表的一部分安装了一些ClusterScan控制文件。如果用户编辑这些默认基准或控制文件,下一个图表更新将会将其重置。因此,建议用户不要编辑默认的ClusterScan控制文件。

用户可以克隆ClusterScan控制文件以创建自定义控制文件。

跳过的测试在`skipTests`指令下列出。

当您创建新控制文件时,您还需要为其命名。

下面是一个示例`ClusterScanProfile`:

apiVersion: compliance.cattle.io/v1
kind: ClusterScanProfile
metadata:
  annotations:
    clusterscanprofile.compliance.cattle.io/builtin: 'true'
    meta.helm.sh/release-name: rancher-compliance
    meta.helm.sh/release-namespace: compliance-operator-system
  creationTimestamp: '2025-09-15T18:09:52Z'
  generation: 1
  labels:
    app.kubernetes.io/managed-by: Helm
  name: cis-1.10-profile
  resourceVersion: '93582'
  uid: 0baad187-1157-46ac-982d-014338847c27
spec:
  benchmarkVersion: cis-1.10
  skipTests:
    - '1.1.20'
    - '1.1.21'

基准版本

基准版本是使用`kube-bench`运行的基准名称,以及该基准的有效配置参数。

一个 ClusterScanBenchmark 定义了合规性 BenchmarkVersion 名称和测试配置。BenchmarkVersion 名称是提供给 kube-bench 工具的一个参数。

默认情况下,一些 BenchmarkVersion 名称和测试配置作为合规扫描应用程序的一部分打包。当此功能启用时,这些默认的 BenchmarkVersions 将自动安装,并可供用户创建 ClusterScan控制文件。

如果编辑了默认的 BenchmarkVersions,下一个图表更新将重置它们。因此,我们不建议编辑默认的 ClusterScanBenchmarks。

一个 ClusterScanBenchmark 包含以下字段:

  • Cluster provider:这是适用于该基准的集群提供者名称。例如:RKE2、EKS、GKE 等。如果该基准可以在任何集群类型上运行,请留空。

  • MinKubernetesVersion:指定运行该基准所需的集群最低 Kubernetes 版本。如果没有对特定 Kubernetes 版本的依赖,请留空。

  • MaxKubernetesVersion:指定运行该基准所需的集群最高 Kubernetes 版本。如果没有对特定 k8s 版本的依赖,请留空。

下面是一个示例`ClusterScanBenchmark`:

apiVersion: compliance.cattle.io/v1
kind: ClusterScanBenchmark
metadata:
  annotations:
    meta.helm.sh/release-name: rancher-compliance
    meta.helm.sh/release-namespace: compliance-operator-system
  creationTimestamp: '2025-09-15T18:09:52Z'
  generation: 1
  labels:
    app.kubernetes.io/managed-by: Helm
  name: cis-1.10
  resourceVersion: '93569'
  uid: 309e543e-9102-4091-be91-08d7af7fb7a7
spec:
  clusterProvider: ''
  minKubernetesVersion: 1.28.0