配置構成パラメーター
AppScan 360° 静的分析 環境は、次のようにカスタマイズできます。
yaml形式で構成ファイルを作成します。例えば、values.yamlです。- カスタマイズしたパラメーターを構成ファイル内にリストします。
sast-service.shスクリプトで-fオプションを使用して、構成ファイルへのパス名を指定します。例えば、values.yamlという名前の構成ファイルの場合は、次のようになります。> cat values.yaml global: storage: pvc: storage: 100Gi ingress: ingressClassName: nginx.
グローバル・パラメーター
| パラメーター | 説明 | デフォルト値 |
|---|---|---|
global.workload.mainContainer.image.registry |
AppScan 360° 静的分析 イメージのプル元のレジストリー | hclcr.io |
global.workload.mainContainer.image.repository |
AppScan 360° 静的分析 イメージを検索するためのリポジトリー・パス。 | appscan360-sast/sast-service |
global.workload.mainContainer.image.tag |
AppScan 360° 静的分析 イメージのバージョン。 | 8.0.xxxx |
global.workload.mainContainer.image.pullPolicy |
レジストリーから AppScan 360° 静的分析 イメージをプルするポリシー。 | IfNotPresent |
global.storage.pvc.storageClassName |
ストレージ・プロバイダーのクラス名。配置スクリプトによって構成されます。 | Azure 配置用の azurefile。 |
global.storage.pvc.accessModes |
ストレージ・ボリュームへのアクセス許可の配列。 | ReadWriteMany |
global.storage.pvc.storage |
AppScan 360° 静的分析 データ・ボリュームのストレージ割り当て。 | 200Gi |
global.storage.pvclogs.storage |
AppScan 360° 静的分析 ログ・ボリュームのストレージ割り当て。 | 10Gi |
global.storage.pvcLogs.name |
pvcLog ボリューム・マウントのユーザー名。 |
|
global.ca.root.serverCertificate |
AppScan 360° 静的分析 コンポーネントに署名する CA 証明書。配置スクリプトによって構成されます。 | |
global.ca.root.serverKey |
AppScan 360° 静的分析 コンポーネントに署名する秘密鍵。配置スクリプトによって構成されます。 | |
global.ingress.ingressClassName |
AppScan 360° 静的分析 ingress に使用する ingress コントローラー・クラス名。 | |
global.ingress.additionalAnnotations |
AppScan 360° 静的分析 ingress で構成するアノテーションのリスト。 | |
common.ingress.hostname |
SAppScan 360° 静的分析 ingress にアクセスするための完全修飾ドメイン名 (FQDN)。 | sast.appscan.com |
common.auth.token |
AppScan 360° 静的分析 で認証を構成するためのベアラー・トークン。配置スクリプトによって構成されます。 | |
common.configMap.LOG_LEVEL |
各 AppScan 360° 静的分析 コンポーネントの基礎となるマイクロサービスのログ・レベル | 情報 |
common.configMap.SCAN_ARTIFACTS_AGE_IN_DAYS |
スキャンの成果物が AppScan 360° 静的分析 ストレージから削除されるまで保持される日数。 | 10 |
common.configMap.ASCP_SERVER_URL |
統合する ASCP サーバー URL。配置スクリプトによって構成されます。 |
共通のパラメーター
以下のパラメーターを使用して、各 AppScan 360° 静的分析 コンポーネントを個別にカスタマイズできます。
特定のコンポーネントのパラメーターを構成するには、パラメーターの前にコンポーネント名を付けます。例えば、
gateway コンポーネントのパラメーター <>.common.workload.mainContainer.resources.requests.cpu を構成するには、次のようにします。gateway.common.workload.mainContainer.resources.requests.cpu=2| パラメーター | 説明 | オプション(O) | Default (デフォルト) |
|---|---|---|---|
<>.common.configMap |
各コンポーネントの基礎となるマイクロサービスに対応している構成可能なパラメーターのリスト。 | LOG_LEVEL は、コンポーネントの基礎となるマイクロサービスのログ・レベル。 | 情報 |
<>.common.secrets |
各コンポーネントの基礎となるマイクロサービスに対応している構成可能な秘密のパラメーターのリスト。 | ASCP_AUTH_KEY は、ASCP サーバー認証トークンを保持します。「ascp-adapter」に適用されます。配置スクリプトによって構成されます。 | |
<>.common.hpa.maxReplicaCount |
コンポーネントの自動調整に対するレプリカの許容最大数。 | ascp-adapter、preparer、analyzer | 3 |
<>.common.workload.mainContainer.resources.requests.cpu |
コンポーネントに必要な CPU の最小数。 | gateway、ascp-adapter、scan-manager、workflow-manager | 4 |
| preparer、analyzer | 2 | ||
<>.common.workload.mainContainer.resources.requests.memory |
コンポーネントに必要な最小メモリー容量 (RAM)。 | ゲートウェイ (gateway) | 1Gi |
| ascp-adapter、scan-manager、workflow-manager | 4Gi | ||
| preparer、analyzer | 24Gi | ||
<>.common.workload.mainContainer.resources.limits.cpu |
コンポーネントに必要な CPU の最大数。 | gateway、ascp-adapter、scan-manager、workflow-manager | 4 |
| preparer、analyzer | 8 | ||
<>.common.workload.mainContainer.resources.limits.memory |
コンポーネントに必要な最大メモリー容量 (RAM)。 | ゲートウェイ (gateway) | 4Gi |
| ascp-adapter、scan-manager、workflow-manager | 8Gi | ||
| preparer、analyzer | 32Gi | ||
<>.common.workload.additionalLabels |
コンポーネント用に構成する配置ラベルのリスト。 | ||
<>.common.workload.additionalAnnotations |
コンポーネント用に構成する配置アノテーションのリスト。 | ||
<>.common.workload.podLabels |
コンポーネント用に構成するポッド・ラベルのリスト。 | ||
<>.common.workload.podAdditionalAnnotations |
コンポーネント用に構成するポッド・アノテーションのリスト。 | ||
<>.common.workload.additionalNodeSelector |
コンポーネント用に構成するノード・セレクターのリスト。 | ||
<>.common.workload.additionalTolerations |
コンポーネント用に構成するトレレーションのリスト。 | ||
<>.common.metrics.port |
コンポーネントの Prometheus メトリックスにアクセスするためのポート。 | 8443 | |
<>.common.metrics.path |
コンポーネントの Prometheus メトリックスにアクセスするための URL。 | /actuator/prometheus |
RabbitMQ
カスタマイズ可能な RabbitMQ パラメーターは、以下のとおりです。
| パラメーター | 説明 | Default (デフォルト) |
|---|---|---|
rabbitmq.image.registry |
RabbitMQ コンテナー・イメージをプルするレジストリー。 | hclcr.io |
rabbitmq.image.repository |
RabbitMQ コンテナー・イメージを見つけるためのリポジトリー・パス。 | appscan360-sast/sast-service |
rabbitmq.image.tag |
RabbitMQ コンテナー・イメージのバージョン。 | 3.11.10-debian-11-r0 |
rabbitmq.auth.username |
RabbitMQ にアクセスするためのユーザー名。 | appscan |
rabbitmq.auth.password |
RabbitMQ にアクセスするためのパスワード。配置スクリプトによって構成されます。配置スクリプトによって構成されます。 | |
rabbitmq.persistance.storageClass |
RabbitMQ で使用するストレージ・プロバイダー・クラス名。配置スクリプトによって構成されます。 | Azure 配置用の azurefile。 |
rabbitmq.ingress.enabled |
RabbitMQ 管理ポータルにアクセスするための ingress。 | 偽 |
rabbitmq.ingress.hostname |
RabbitMQ 管理ポータル ingress にアクセスするための完全修飾ドメイン名 (FQDN)。 | rabbitmq.sast.appscan.com |
完全なリストを表示するには、次の手順を実行します。
- HCL Harbor からインストールする場合は、次のパスに移動して、構成パラメーターおよび関連する値 (
Projects > appscan360-sast/sast-service/sast-service-core > values) の完全なリストを表示します。 - アーカイブ・ファイルからインストールする場合、
values.yamlファイルはグラフ・フォルダー (sast-service-base/helm/sast-service-core/values.yaml) にあります。
ノード・セレクターの構成
SAST 配置は、条件を満たす特定のノードでコンポーネントのポッドを実行するように構成できます。ノード・セレクター構成に関連するプロパティーは、以下のとおりです。
| パラメーター | 説明 |
|---|---|
<>.common.workload.additionalNodeSelector |
インストール先のノード・ラベルを受け入れます。セレクターは、指定されたラベルのノードを選択します。 |
rabbitmq.common.nodeSelector |
RabbitMQ をインストールするノード・ラベルを受け入れます。セレクターは、指定されたラベルのノードを選択します。 |
例:
- ノード・プールの名前が
sastNodeTypeで値がsast-analyzer-nodeのラベルを作成します。 - ノードは、ラベルで構成すると、一致するノードにポッドを作成するように構成できます。ラベル
sastNodeType=sast-analyzer-nodeでノードに analyzer コンポーネントのポッドを作成するように構成するには、次のようにプロパティーを構成します。analyzer: common: workload: additionalNodeSelector: sastNodeType: sast-analyzer-node
サンプル YAML ファイル
global:
storage:
pvc:
storage: 20G
pvcLogs:
storage: 2G
ingress:
additionalAnnotations:
nginx.ingress.kubernetes.io/backend-protocol:HTTPS