HCL AppScan 360° 前提条件の指示

このドキュメントでは、HCL AppScan 360° の配置のための、配置サーバー、Kubernetes クラスタ、外部依存関係、およびリソース要件を網羅するための配置の前提条件の包括的なチェックリストを提供します。設定を確認するには、検証コマンドを使用します。設定手順の詳細については、構成ファイルの準備ガイドを参照してください。

配置サーバーの前提条件

配置サーバーは、AppScan 360° 配置の開始と管理に使用される Linux ベースのシステムです。

カテゴリー 要件
オペレーティングシステム Ubuntu 22.04/Ubuntu 24.04/RHEL 9
ソフトウェア
構成

  • ポート 80、443、5443、6443、7443、8443 が使用可能であり、アクセスのために開いている必要があります

  • カスタムモードでは、指定された MSSQL および DPR サーバーに到達できる必要があります

Kubernetes クラスターの前提条件

Kubernetes クラスターは、AppScan 360° プラットフォームをホストし、特定のコンポーネントと構成を必要とします。
カテゴリー 要件
コンポーネント

  • ingress コントローラー (例: NGINX バージョン 1.11.5 または 1.12. 1 以降)

    構成:

    - proxy-body-size: 2g

    - proxy-connect-timeout: 3600

    - proxy-read-timeout: 3600

    - proxy-send-timeout: 3600

    - enable-access-log-for-default-backend: true

    - ssl-redirect: true

    - use-http2: true

    - use-forwarded-headers: true

    - compute-full-forwarded-for: true

  • Cert-manager (バージョン 1.11.0 または互換)

    参照: cert-manager のインストール
ストレージ

  • 永続ボリュームの ReadWriteMany (RWX) アクセスモードをサポートするストレージクラス

  • fsGroup セキュリティーコンテキストのサポートを備えた Kubernetes CSI ドライバー
ネットワーキング

  • IPv6 が必要な場合、デュアルスタック IPv4/IPv6 が有効になります

  • 暗号化通信のネットワークポリシーのサポート
ワーカーノード
  • 動的および静的スキャンに十分なリソースを確保する (「リソース要件」を参照)
注: 動的スキャンでは、動的スキャンが実行されるすべてのノードでカーネル内の inotify インスタンスの数を増やします。

  • fs.inotify.max_user_instances=524288/etc/sysctl.conf に追加します。

  • ノードをリブートして、変更を有効にします。

  • より小さなクラスターの場合、32800 で十分かもしれませんが、堅牢な動的スキャンには 524288 が推奨されます。

外部依存関係

AppScan 360° 構成およびアクセス可能な外部サービスに依存します。
カテゴリー 要件
データベース

MSSQL Server 2019 以降、db_creator 権限で構成され、スキャンデータを保存するためにアクセス可能 (スキャン実行ごとに約 150 KB)
認証

  • SSO - OIDC (keycloak/Okta) または

  • Microsoft Active Directory/Domino (LDAP) (ポート389/636/TCP 経由)

  • ユーザー認証用デフォルトのローカルユーザー: 管理者 (パスワード: Admin12!)、ユーザー (パスワード: User123) をインストール中に作成
電子メール 通知を送信するためのポート 25/TCP 経由の SMTP サーバー
ライセンス交付 ライセンスアクティベーションのためのポート443/TCP 経由での HCL ライセンス管理ポータルへのアクセス (ID が必要)
コンテナーレジストリー AppScan 360コンテナーイメージを格納および取得するためのリモートコンテナー・レジストリー
ネットワーク 信頼できる証明書による安全な通信 (必要に応じて信頼できない証明書をクライアント JRE キーストアにインポート)
ストレージ スキャンデータのファイルストレージ (「ストレージ要件」を参照)

ストレージ要件

AppScan 360° MSSQL データベースとファイルストレージが必要です。スキャン実行に基づく推定ストレージニーズは次のとおりです。

スキャン実行数

MSSQL サーバーストレージ

ファイル・ストレージ
1,000 1 GB 10 GB
100.000 5 GB 100 GB
1,000,000 20 GB 1000 GB

推奨: MSSQL サーバーストレージとファイルストレージの両方に、一時ログを格納するために、最低 200 GB を割り当てます。ストレージは、ポッド間で暗号化、冗長化、共有可能で、ReadWriteMany (RWX) アクセスモードをサポートしている必要があります。古いスキャンは手動で削除してスペースを節約できます。

リソースの要件

AppScan 360° プラットフォーム

コンポーネント メモリー (最小/最大) CPU (VCORE、最小値/最大値)
ASCP 42GB/48GB 10/12

リソースのスキャン

シナリオ メモリー (最小/最大) CPU (VCORE、Min/Rec)
動的分析スキャン: シングル・スキャン 3GB/4GB 2/3
動的分析スキャン: 5 件の同時スキャン 15GB/20GB 10/15
動的分析スキャン: 10 件の同時スキャン 30GB/40GB 20/30
静的分析スキャン: シングル・スキャン 16GB/28GB 2/4
静的分析スキャン: 5 件の同時スキャン 80GB/140GB 10/20
静的分析スキャン: 10 件の同時スキャン 160GB/280GB 20/40
ソフトウェア・コンポジション分析 (SCA) スキャン: 単一スキャン 1GB/2GB 2/5
ソフトウェア・コンポジション分析 (SCA) スキャン: 5 件の同時スキャン 2GB/4GB 7/10
ソフトウェア・コンポジション分析 (SCA) スキャン: 10 件の同時スキャン 4GB/6GB 10/12
注: リソースは、同時スキャンで拡張できます。ノードには、静的スキャンの場合 28 GB 以上の RAM と 4 コア、ダイナミックスキャンの場合 4 GB の RAM、3 コア、200 GB のディスク容量が必要です。十分な AppScan 360° ライセンスと Kubernetes リソースの可用性を確保します。同時に 25 回を超えるスキャンは行わないでください。

構成の検証

次のコマンドを使用して前提条件を確認します。

  • Kubernetes の接続: kubectl version or kubectl get nodes

  • Docker の接続: docker version

  • Helm の接続: helm version

  • Cert-Manager: kubectl get pods --namespace cert-manager (cert-manager ポッドが実行されていることを確認)

  • Ingress: kubectl get ingress --all-namespaces (入力リソースの確認)

  • ストレージ: kubectl get storageclass and kubectl get pv (RWX 対応ストレージの確認)

  • SQL 接続: ping <MSSQL_SERVER_IP> (実際の IP に置き換え)

  • Docker ログイン: docker login <PRIVATE_REGISTRY_URL> (実際の URL に置き換え)

その他の注意事項

  • IDHCL ライセンス、ダウンロードポータル、HCL Harbor へのアクセスに必要です。

  • ブラウザーのサポート: AppScan 360 のユーザーインターフェースには、Chrome、Safari、Edge、Firefox の最新バージョンを使用してください。

  • 画面解像度: 最適なディスプレイを実現するために、推奨解像度は 1920x1080 です。

  • ネットワークポート:

    • 22/TCP (SSH から配置サーバー)

    • SMTPのポート番号 25/TCP

    • LDAP プロトコルは 389/TCP で動作します。

    • 80、443、8080/TCP

  • アクセスポイント:

    • ユーザーポータル: https://<CK_CONFIGURATION_DISCLOSED_SITE_URL>

    • ユーザー API: https://<CK_CONFIGURATION_DISCLOSED_SITE_URL>/api

    • ユーザー API (Swagger): https://<CK_CONFIGURATION_DISCLOSED_SITE_URL>/swagger

  • : DNS サーバーで指定 IP を使用して FQDN を公開します。