ビュー:
ランタイム不正プログラムスキャン機能では、クラスターの目的と構成に基づいて設定をカスタマイズできます。スキャナーのデフォルトのCPU使用率は100m - 1000m (0.1 - 1 CPUコア) に制限されており、自動スケーリングは無効になっています。
推奨される設定:
  • 単一ノードクラスターの場合、自動スケーリングを無効にし、パフォーマンスを最適化するためにCPU制限をマルチコアに増やしてください。
    malwareScanner:
      requests:
        cpu: 1000m
        memory: 512Mi
      limits:
        cpu: 2000m
        memory: 1024Mi
  • マルチノードクラスターの場合、自動スケーリングを有効にして同時実行ジョブの数を増やし、パフォーマンスを最適化します。
    malwareScanning:
        scanner:
            autoscaling:
                enabled: true
                minReplicas: 1
                maxReplicas: 5 # depends on the number compute nodes in cluster
                targetCPUUtilization: 800
    scanManager:
        maxJobCount: 5 # concurrent jobs
  • 大きな圧縮ファイルや画像をスキャンする場合、すべてのファイルがスキャンされるようにデフォルトのタイムアウトを延長してください。
    malwareScanning:
        enabled: true
        scanTimeoutSeconds: 300 # for single-file scanning within images
    scanManager:
        activeDeadlineSeconds: 3600 # for single-image scanning
  • 日次スキャンをサポートするために、オートスケーリングを有効にし、同時実行ジョブ数を増やしてください。(テストに基づくと、オートスケーリングを無効にした状態でLinuxベースのイメージをスキャンするには約5分かかります。)
    次の例は、毎日1000のLinuxベースのイメージをスキャンするのに最適です。
    malwareScanning:
        scanner:
            autoscaling:
                enabled: true
                minReplicas: 1
                maxReplicas: 4
                targetCPUUtilization: 800
    scanManager:
        maxJobCount: 4 # concurrent jobs