Выбор узла и планирование

На этой странице объясняются общие поля планирования и выбора узлов, используемые в Scan и ScanSuite.

Содержание

Одни и те же концепции планирования присутствуют в обоих ресурсах, но пути к полям различаются:

Концепция	Путь в `Scan`	Путь в `ScanSuite`
Тип сканирования	`spec.scanType`	`spec.scanTemplate.scanType`
Стратегия охвата узлов	`spec.nodeScopeStrategy`	`spec.scanTemplate.nodeScopeStrategy`
Целевые роли узлов	`spec.targetNodeRoles`	`spec.scanTemplate.targetNodeRoles`
Селектор узлов	`spec.nodeSelector`	`spec.scanTemplate.nodeSelector`

Параметр	Описание
`scanType`	Поддерживает значения `platform`, `node` и `all`. В режиме platform система сканирует только ресурсы Kubernetes. В режиме node — только файлы узлов.
`nodeScopeStrategy`	Поддерживает значения `auto` и `manual`. В режиме auto узлы выбираются на основе определений области действия, специфичных для правил. В режиме manual все правила выполняются на указанных узлах.
`targetNodeRoles`	Необязательно. Ограничивает роли узлов. Допустимые значения: `control-plane` и `worker`.
`nodeSelector`	Необязательно. Использует метки узлов для выбора.

Стратегия	Описание
`auto`	Узлы автоматически выбираются на основе `spec.nodeScope` правила бенчмарка. Kube-bench сопоставляет узлы по `benchmark.file.type`. Если совпадений нет, задание не создаётся.
`manual`	Запуск на всех подходящих узлах с игнорированием `nodeScope`, специфичного для правил.

Если одновременно настроены targetNodeRoles и nodeSelector, они работают совместно как пересечение при фильтрации узлов.

Важные замечания:

Сканирование ОС требует scanType: node.
CIS поддерживает только scanType: node; platform и all не поддерживаются, так как kube-bench не поддерживает выбор узлов на уровне правил.
STIG поддерживает platform, node и all.
Базовые профили CIS и STIG имеют разные правила планирования, поэтому их не следует объединять в одном ScanSuite.