Detalhes das Variáveis de Ambiente

Defina a variável para o IP do host para o primeiro controlador; e defina-a para o IP do host do controlador mestre para outros controladores e enforcers. Não é necessário definir este IP para implantações baseadas em Kubernetes, basta usar o arquivo de exemplo.

(Opcional) Porta LAN do Cluster Serf. As portas TCP e UDP devem ser mapeadas diretamente para o host. Opcional se não houver conflito de porta no host. Padrão 18301

(Opcional) Se o motor docker no host não se vincular ao socket Unix normal, use esta variável para especificar o ponto de conexão TCP, no formato tcp://10.0.0.1:2376.

(Opcional) Use o valor platform=Docker para implantações Docker Swarm/EE, ou platform=Kubernetes:GKE para GKE (para executar os Benchmarks CIS do GKE).

(Opcional) Usado para habilitar/desabilitar a capacidade de criar scripts de conformidade personalizados em contêineres/hosts. Os valores são "disable" (padrão, não permitido), "strict" (apenas papel de administrador) ou "loose" (papéis de administrador, conformidade e política de runtime).

(Opcional) Defina o valor como 1 para habilitar a coleta de dados de perfil de memória para ajudar a investigar problemas de pressão de memória.

(Opcional) Fazer backup dos arquivos de configuração e restaurá-los de um volume persistente. Adicione isso ao yaml para habilitar; remova para desabilitar.

(Opcional) Porta RPC do servidor de cluster. Deve ser mapeado diretamente para o host. A variável de ambiente é opcional se não houver conflito de porta no host. Padrão 18300

(Opcional) Porta HTTPS que o servidor REST deve estar escutando. O padrão é 10443. Normalmente, pode ser deixado como padrão e usar a opção de porta do Docker para mapear a porta no host.

(Opcional) Adicione isso ao yaml para desabilitar a captura de pacotes; remova para reabilitar (padrão).

(Opcional) Quando habilitado, não cria um usuário 'admin' no cluster local. Isso é usado para a integração do SSO do Rancher como padrão. Se não estiver habilitado, avise persistentemente o usuário e registre eventos para alterar a senha do admin padrão se não for alterada.

(Opcional) Quando habilitado (valor=1), o tráfego icmp pode ser aprendido em modo de descoberta, e a política pode ser gerada. Se não houver política de rede em modo de monitoramento ou proteção para o grupo, uma violação implícita será gerada para o tráfego ICMP.

(Opcional para tudo-em-um) Endereço IP do servidor REST do controlador. O padrão é 127.0.0.1. Para o contêiner All-in-One, deixe como padrão. Se o Gerenciador estiver sendo executado separadamente, o Gerenciador deve especificar este IP para se conectar ao controlador.

(Opcional para All-in-One) Porta do servidor REST do controlador. O padrão é 10443. Para o contêiner All-in-One, deixe como padrão. Se o Gerenciador estiver sendo executado separadamente, o Gerenciador deve especificar esta variável para se conectar ao controlador.

(Opcional) Porta da interface do usuário do Gerenciador. O padrão é 8443. A menos que o Gerenciador esteja sendo executado em modo host, deixe-o como padrão e use a opção de porta do Docker para mapear a porta no host.

(Opcional) O Gerenciador por padrão usa uma conexão HTTPS/SSL. Defina o valor para “off” para usar HTTP.

(Opcional) Para suportar plug-in de rede especial, defina o valor como "macvlan".

(Opcional) Defina o valor para “1” para desabilitar a busca por segredos em arquivos (melhora o desempenho).

(Opcional) Defina o valor para “1” para desabilitar benchmarks CIS em hosts e contêineres (melhora o desempenho).

(Opcional) Defina o valor como "1" para desabilitar os monitores de processo e arquivo. Não serão realizados processos de aprendizado, modos de perfil, incidentes de processo/arquivo (pacote) nem monitoramento de atividade de arquivos. Isso reduzirá o uso de recursos de CPU/memória e operações de arquivo.

(Opcional) Valor em segundos (valor recomendado 60) para reduzir o tráfego de rede e o consumo de recursos pelo Enforcer devido a atualizações/recalculações de políticas, em clusters com alta contagem de nós ou cargas de trabalho. O padrão é zero, significando que não há atraso na atualização da política do Enforcer.

(Opcional) Defina o valor para “1” para habilitar a detecção da versão TLS 1.0 (Descontinuado).

(Opcional) Defina o valor para “1” para habilitar a detecção da versão TLS 1.1 (Descontinuado).

(Opcional) Especifique quais grupos ou namespaces que SUSE® Security considera como 'contêineres do sistema', separados por ponto e vírgula. Por exemplo, para aplicativos baseados em Rancher e o namespace padrão, NV_SYSTEM_GROUPS=cattle-system;default. Esses valores são traduzidos em regex. Contêineres do sistema (que também incluem SUSE® Security e contêineres do sistema Kubernetes) operam apenas no modo de monitoramento (apenas alerta), mesmo que o grupo esteja configurado para o modo de proteção.