HCL AppScan 360° 先決條件指示

本文件提供部署 HCL AppScan 360° 所需的完整先決條件核對清單,其中包括部署伺服器、Kubernetes 叢集、外部相依關係和資源需求。請使用驗證指令確認設定是否正確。如需詳細配置指示,請參閱準備配置檔指南

部署伺服器先決條件

部署伺服器是基於 Linux 的系統,用於啟動和管理 AppScan 360° 部署。

類別 需求
作業系統 Ubuntu 22.04 / Ubuntu 24.04 / RHEL 9
軟體
  • Bash Shell
  • Docker(用於本端儲存器服務,請參閱 Docker 安裝)- 適用於 Ubuntu 環境
  • Podman(用於本端儲存器服務),適用於 RHEL 環境(通常已預先安裝)
  • Kubectl(用於 Kubernetes 叢集管理,請參閱 Kubectl 安裝
  • Helm 4(請參閱 Helm安裝
配置

  • 埠 80、443、5443、6443、7443、8443 必須可用並已開放存取

  • 在自訂模式下,必須能夠連線至指定的 MSSQL 和 DPR 伺服器

Kubernetes 叢集先決條件

Kubernetes 叢集負責託管 AppScan 360° 平台,並需要特定的元件和配置。
類別 需求
元件

  • 輸入控制器(例如 NGINX,1.11.5 版、1.12.1 版或更新版本)

    配置:

    - proxy-body-size:2g

    - proxy-connect-timeout:3600

    - proxy-read-timeout:3600

    - proxy-send-timeout:3600

    - enable-access-log-for-default-backend:true

    - ssl-redirect:true

    - use-http2:true

    - use-forwarded-headers:true

    - compute-full-forwarded-for:true

  • 認證管理員(1.11.0 版或相容版本)

    參照:認證管理員安裝
儲存體

  • 支援 ReadWriteMany (RWX) 存取模式的儲存類別,用於持續性磁碟區

  • 支援 fsGroup 安全環境定義的 Kubernetes CSI 驅動程式
網路

  • 如果需要 IPv6,可啟用雙協定 IPv4/IPv6

  • 支援加密通訊的網路原則
工作者節點
  • 請確保有足夠的資源可用於動態和靜態掃描(請參閱資源需求)
註: 對於動態掃描,在所有執行動態掃描的節點中增加核心中的 inotify 實例數量:

  • fs.inotify.max_user_instances=524288 新增至 /etc/sysctl.conf

  • 重新啟動節點,讓變更生效。

  • 對於較小的叢集,32800 可能已足夠,但建議使用 524288 以支援穩定的動態掃描。

外部相依關係

AppScan 360° 依賴必須進行配置且可存取的外部服務。
類別 需求
資料庫

MSSQL 伺服器 2019 或更新版本,透過 db_creator 權限進行配置,可供存取以儲存掃描資料(每次掃描執行約 150 KB)
鑑別

  • SSO - OIDC (Keycloak / Okta) 或

  • 透過埠 389/636/TCP 使用 Microsoft Active Directory / Domino (LDAP)

  • 用於使用者鑑別的預設本端使用者:管理員(密碼:Admin12!);使用者(密碼:User123!),在安裝期間建立
電子郵件 透過埠 25/TCP 使用 SMTP 伺服器傳送通知
授權 透過埠 443/TCP 存取 HCL 授權管理入口網站以進行授權啟用(需要 ID)
儲存器登錄 用於儲存和提取 AppScan 360 儲存器映像的遠端儲存器登錄
網路 用於安全通訊的受信任憑證(如有需要,可將不受信任的憑證匯入用戶端 JRE 金鑰儲存庫)
儲存體 用於掃描資料的檔案儲存體(請參閱儲存體需求)

儲存體需求

AppScan 360° 需要 MSSQL 資料庫和檔案儲存體。根據掃描執行預估的儲存體需求如下:

掃描執行

MSSQL 伺服器儲存體

檔案儲存體
1,000 1 GB 10 GB
100.000 5 GB 100 GB
1,000,000 20 GB 1000 GB

建議:至少為 MSSQL 伺服器儲存體和檔案儲存體各配置 200 GB,以容納暫存日誌。儲存體必須加密、具備備援、可在 Pod 之間共用,並支援 ReadWriteMany (RWX) 存取模式。可手動刪除舊掃描以節省儲存空間。

資源需求

AppScan 360° 平台

元件 記憶體(最小/最大) CPU(vCore,最小/最大)
ASCP 42GB / 48GB 10/12

掃描資源

實務 記憶體(最小/建議) CPU(vCore,最小/建議)
動態分析掃描:單次掃描 3GB/4GB 2/3
動態分析掃描:五個並行掃描 15GB/20GB 10/15
動態分析掃描:十個並行掃描 30GB/40GB 20/30
靜態分析掃描:單次掃描 16GB/28GB 2/4
靜態分析掃描:五個並行掃描 80GB/140GB 10/20
靜態分析掃描:十個並行掃描 160GB/280GB 20/40
軟體組成分析 (SCA) 掃描:單次掃描 1GB/2GB 2/5
軟體組成分析 (SCA) 掃描:五個並行掃描 2GB/4GB 7/10
軟體組成分析 (SCA) 掃描:十個並行掃描 4GB/6GB 10/12
註: 資源會隨並行掃描數量而擴展。靜態掃描的節點至少需要 28GB 的 RAM 和 4 個核心,而動態掃描的節點則需要 4GB 的 RAM、3 個核心及 200GB 的磁碟空間。請確保有足夠的 AppScan 360° 授權和 Kubernetes 資源可用。並行掃描不得超過 25 個。

驗證配置

使用以下指令驗證先決條件:

  • Kubernetes 連線能力kubectl version or kubectl get nodes

  • Docker 連線能力docker version

  • Helm 連線能力helm version

  • 認證管理員kubectl get pods --namespace cert-manager (確保認證管理員 Pod 正在執行)

  • 輸入kubectl get ingress --all-namespaces(驗證輸入資源)

  • 儲存體kubectl get storageclass and kubectl get pv (檢查是否支援具備 RWX 功能的儲存體)

  • SQL 連線能力ping <MSSQL_SERVER_IP>(取代為實際 IP)

  • Docker 登入docker login <PRIVATE_REGISTRY_URL>(取代為實際 URL)

其他注意事項

  • ID:必要項目,用於存取 HCL 授權與下載入口網站和 HCL Harbor。

  • 瀏覽器支援:使用最新版的 Chrome、Safari、Edge 或 Firefox,以存取 AppScan 360 使用者介面。

  • 螢幕解析度:建議解析度為 1920×1080,以獲得最佳顯示效果。

  • 網路埠

    • 22/TCP(透過 SSH 連線至部署伺服器)

    • 25/TCP (SMTP)

    • 389/TCP (LDAP)

    • 80、443、8080/TCP

  • 存取點

    • 使用者入口網站:https://<CK_CONFIGURATION_DISCLOSED_SITE_URL>

    • 使用者 API:https://<CK_CONFIGURATION_DISCLOSED_SITE_URL>/api

    • 使用者 API (Swagger):https://<CK_CONFIGURATION_DISCLOSED_SITE_URL>/swagger

  • 附註:需要連同 DNS 伺服器中的指定 IP 一起發佈輸入 FQDN。