Paramètres de configuration du déploiement
L'environnement Analyse statique AppScan 360° peut être personnalisé comme suit :
- Créez un fichier de configuration au format
yaml
. Par exemple,values.yaml
. - Répertoriez les paramètres personnalisés dans le fichier de configuration.
Les paramètres globaux, communs et spécifiques à RabbitMQ sont décrits dans les tableaux suivants.
- Utilisez l'option
-f
avec le scriptsast-service.sh
pour spécifier le chemin d'accès au fichier de configuration. Par exemple, lorsque le fichier de configuration est nommévalues.yaml
:> cat values.yaml global: storage: pvc: storage: 100Gi ingress: ingressClassName: nginx.
Paramètres globaux
Paramètre | Description | Valeur par défaut |
---|---|---|
global.workload.mainContainer.image.registry |
Registre à partir duquel les images Analyse statique AppScan 360° doivent être extraites. | hclcr.io |
global.workload.mainContainer.image.repository |
Chemin d'accès du référentiel pour localiser les images Analyse statique AppScan 360°. | appscan360-sast/sast-service |
global.workload.mainContainer.image.tag |
Version des images Analyse statique AppScan 360°. | 1.1.0 |
global.workload.mainContainer.image.pullPolicy |
Stratégie permettant d'extraire les images Analyse statique AppScan 360° à partir du registre. | IfNotPresent |
global.storage.pvc.storageClassName |
Nom de classe du fournisseur de stockage. Paramètre configuré par le script de déploiement. | local-path |
global.storage.pvc.accessModes |
Matrice des droits d'accès aux volumes de stockage. | ReadWriteMany |
global.storage.pvc.storage |
Allocation de stockage pour le volume de données Analyse statique AppScan 360°. | 200Gi |
global.storage.pvclogs.storage |
Allocation de stockage pour le volume de journaux Analyse statique AppScan 360°. | 10Gi |
global.ca.root.serverCertificate |
Certificat d'autorité de certification pour la signature des composants Analyse statique AppScan 360°. Paramètre configuré par le script de déploiement. | |
global.ca.root.serverKey |
Clé privée pour la signature des composants Analyse statique AppScan 360°. Paramètre configuré par le script de déploiement. | |
global.ingress.ingressClassName |
Nom de classe du contrôleur d'ingress à utiliser pour l'ingress Analyse statique AppScan 360°. | |
global.ingress.additionalAnnotations |
Liste des annotations à configurer dans l'ingress Analyse statique AppScan 360°. | |
common.ingress.hostname |
Nom de domaine complet (FQDN) pour l'accès à l'ingress Analyse statique AppScan 360° S. | sast.example.com |
common.auth.token |
Jeton Bearer pour configurer l'autorisation dans Analyse statique AppScan 360°. Paramètre configuré par le script de déploiement. | |
common.configMap.LOG_LEVEL |
Niveau de journalisation du microservice sous-jacent pour chaque composant Analyse statique AppScan 360°. | INFORMATIONS |
common.configMap.SCAN_ARTIFACTS_AGE_IN_DAYS |
Nombre de jours de conservation des artefacts d'examen avant leur retrait du stockage Analyse statique AppScan 360°. | 10 |
common.configMap.ASCP_SERVER_HOST |
Nom d'hôte du serveur ASCP à intégrer. Paramètre configuré par le script de déploiement. | |
common.configMap.ASCP_SERVER_PORT |
Port du serveur ASCP. | 443 |
common.configMap.ASCP_SERVICE_HOST |
Nom d'hôte du service agents-api du serveur ASCP. | <ASCP_SERVER_HOST> |
common.configMap.ASCP_SERVICE_PORT |
Port de service agents-api du serveur ASCP. | 5000 |
Paramètres communs
Les paramètres suivants peuvent être utilisés pour personnaliser chaque composant Analyse statique AppScan 360° séparément.
Pour configurer le paramètre d'un composant particulier, ajoutez le nom de ce composant comme préfixe. Par exemple, pour configurer le paramètre
<>.common.workload.mainContainer.resources.requests.cpu
du composant gateway
:gateway.common.workload.mainContainer.resources.requests.cpu=2
Paramètre | Description | Options | Valeur par défaut |
---|---|---|---|
<>.common.configMap |
Liste des paramètres configurables pris en charge pour le microservice sous-jacent de chaque composant. | LOG_LEVEL, niveau de journalisation du microservice sous-jacent du composant. | INFORMATIONS |
<>.common.secrets |
Liste des paramètres secrets configurables pris en charge pour le microservice sous-jacent de chaque composant. | ASCP_AUTH_KEY, contient le jeton d'authentification du serveur ASCP. Applicable pour « ascp-adapter ». Paramètre configuré par le script de déploiement. | |
<>.common.hpa.maxReplicaCount |
Nombre maximal de réplicas autorisés pour la mise à l'échelle automatique du composant. |
adaptateur ascp preparer,analyzer |
3 25 |
<>.common.workload.mainContainer.resources.requests.cpu |
Nombre minimal de processeurs requis pour le composant. |
gateway, ascp-adapter, scan-manager, workflow-manager |
1 |
preparer, analyzer | 2 | ||
<>.common.workload.mainContainer.resources.requests.memory |
RAM minimale requise pour le composant. | gateway, ascp-adapter, scan-manager, workflow-manager | 2GB |
preparer, analyzer | 16 Go | ||
<>.common.workload.mainContainer.resources.limits.cpu |
Nombre maximal de processeurs requis pour le composant. | gateway, ascp-adapter, scan-manager, workflow-manager | 2 |
preparer, analyzer | 4 | ||
<>.common.workload.mainContainer.resources.limits.memory |
RAM maximale requise pour le composant. | gateway, ascp-adapter, scan-manager, workflow-manager | 4 Go |
preparer, analyzer | 28GB | ||
<>.common.workload.additionalLabels |
Liste des libellés de déploiement à configurer pour le composant. | ||
<>.common.workload.additionalAnnotations |
Liste des annotations de déploiement à configurer pour le composant. | ||
<>.common.workload.podLabels |
Liste des libellés de pod à configurer pour le composant. | ||
<>.common.workload.podAdditionalAnnotations |
Liste des annotations de pod à configurer pour le composant. | ||
<>.common.workload.additionalNodeSelector |
Liste des sélecteurs de nœuds à configurer pour le composant. | ||
<>.common.workload.additionalTolerations |
Liste des tolérances à configurer pour le composant. | ||
<>.common.metrics.port |
Port permettant d'accéder aux métriques Prometheus pour le composant. | 9443 | |
<>.common.metrics.path |
URL permettant d'accéder aux métriques Prometheus pour le composant. | /actuator/prometheus |
RabbitMQ
Les paramètres RabbitMQ qui peuvent être personnalisés sont les suivants :
Paramètre | Description | Valeur par défaut |
---|---|---|
rabbitmq.image.registry |
Registre d'extraction des images de conteneur RabbitMQ. | hclcr.io |
rabbitmq.image.repository |
Chemin du référentiel pour localiser l'image de conteneur RabbitMQ. | appscan360-sast/sast-service |
rabbitmq.image.tag |
Version des images de conteneur RabbitMQ. | 3.12.2-debian-11-r8 |
rabbitmq.auth.username |
Nom d'utilisateur pour l'accès à RabbitMQ. | appscan |
rabbitmq.auth.password |
Mot de passe pour l'accès à RabbitMQ. Paramètre configuré par le script de déploiement. | |
rabbitmq.persistance.storageClass |
Nom de classe du fournisseur de stockage à utiliser dans RabbitMQ. Paramètre configuré par le script de déploiement. | |
rabbitmq.ingress.enabled |
Ingress pour l'accès au portail de gestion RabbitMQ. | False |
rabbitmq.ingress.hostname |
Nom de domaine complet (FQDN) pour l'accès à l'ingress du portail de gestion RabbitMQ. | rabbitmq.sast.example.com |
rabbitmq.resources.requests.cpu |
Nombre minimal de processeurs requis pour le composant. | 1 |
rabbitmq.resources.requests.memory |
RAM minimale requise pour le composant. | 2GB |
rabbitmq.resources.limits.cpu |
Nombre maximal de processeurs requis pour le composant. | 2 |
rabbitmq.resources.limits.memory |
RAM maximale requise pour le composant. | 4 Go |
Pour consulter la liste complète :
- En cas d'installation à partir de HCL Harbor, utilisez le chemin suivant pour obtenir la liste complète des paramètres de configuration et des valeurs associées :
Projects > appscan360-sast/sast-service/sast-service-core > values
. - En cas d'installation à partir d'un fichier d'archive, le fichier
values.yaml
se trouve dans le dossier graphique (sast-service-base/helm/sast-service-core/values.yaml
).
Configuration du sélecteur de nœuds
Le déploiement SAST peut être configuré pour exécuter le pod d'un composant dans un nœud particulier qui répond aux critères. Vous trouverez ci-dessous les propriétés associées aux configurations du sélecteur de nœuds :
Paramètre | Description |
---|---|
<>.common.workload.additionalNodeSelector |
Accepte le libellé du nœud sur lequel l'installation doit être effectuée. Le sélecteur choisit un nœud comportant le libellé fourni. |
rabbitmq.common.nodeSelector |
Accepte le libellé du nœud sur lequel RabbitMQ doit être installé. Le sélecteur choisit un nœud comportant le libellé fourni. |
Exemple :
- Créez un libellé comportant le nom
sastNodeType
et la valeursast-analyzer-node
pour un pool de nœuds. - Une fois le nœud configuré avec le libellé, les pods peuvent être configurés pour être créés dans les nœuds correspondants. Pour configurer les pods du composant analyzer afin qu'ils soient créés dans le nœud comportant le libellé
sastNodeType=sast-analyzer-node
, configurez les propriétés comme suit :analyzer: common: workload: additionalNodeSelector: sastNodeType: sast-analyzer-node
Exemple de fichier YAML
global:
storage:
pvc:
storage: 20G
pvcLogs:
storage: 2G
ingress:
additionalAnnotations:
nginx.ingress.kubernetes.io/backend-protocol:HTTPS