ランタイム不正プログラムスキャン機能では、クラスターの目的と構成に基づいて設定をカスタマイズできます。スキャナーのデフォルトのCPU使用率は100m - 1000m
(0.1 - 1 CPUコア) に制限されており、自動スケーリングは無効になっています。
推奨される設定:
-
単一ノードクラスターの場合、自動スケーリングを無効にし、パフォーマンスを最適化するためにCPU制限をマルチコアに増やしてください。
malwareScanner: requests: cpu: 1000m memory: 512Mi limits: cpu: 2000m memory: 1024Mi
-
マルチノードクラスターの場合、自動スケーリングを有効にして同時実行ジョブの数を増やし、パフォーマンスを最適化します。
malwareScanning: scanner: autoscaling: enabled: true minReplicas: 1 maxReplicas: 5 # depends on the number compute nodes in cluster targetCPUUtilization: 800 scanManager: maxJobCount: 5 # concurrent jobs
-
大きな圧縮ファイルや画像をスキャンする場合、すべてのファイルがスキャンされるようにデフォルトのタイムアウトを延長してください。
malwareScanning: enabled: true scanTimeoutSeconds: 300 # for single-file scanning within images scanManager: activeDeadlineSeconds: 3600 # for single-image scanning
-
日次スキャンをサポートするために、オートスケーリングを有効にし、同時実行ジョブ数を増やしてください。(テストに基づくと、オートスケーリングを無効にした状態でLinuxベースのイメージをスキャンするには約5分かかります。)次の例は、毎日1000のLinuxベースのイメージをスキャンするのに最適です。
malwareScanning: scanner: autoscaling: enabled: true minReplicas: 1 maxReplicas: 4 targetCPUUtilization: 800 scanManager: maxJobCount: 4 # concurrent jobs