執行時惡意程式掃描功能允許您根據叢集的用途和配置自訂設定。掃描器的預設CPU使用率限制為100m - 1000m(0.1 - 1 CPU核心),且自動調整功能已停用。
建議的設定:
-
對於單節點叢集,請保持自動擴展功能禁用,並將CPU限制增加到多核心以優化性能。
malwareScanner: requests: cpu: 1000m memory: 512Mi limits: cpu: 2000m memory: 1024Mi -
對於多節點叢集,啟用自動擴展並增加並行作業的數量以優化性能。
malwareScanning: scanner: autoscaling: enabled: true minReplicas: 1 maxReplicas: 5 # depends on the number compute nodes in cluster targetCPUUtilization: 800 scanManager: maxJobCount: 5 # concurrent jobs -
為了掃描大型壓縮檔案或圖像,請延長預設的超時時間以確保所有檔案都被掃描。
malwareScanning: enabled: true scanTimeoutSeconds: 300 # for single-file scanning within images scanManager: activeDeadlineSeconds: 3600 # for single-image scanning -
為了支援每日掃描,請啟用自動擴展並增加同時作業數量。(根據我們的測試,禁用自動擴展掃描基於 Linux 的映像大約需要 5 分鐘。)以下範例最適合每天掃描 1000 個基於 Linux 的映像。
malwareScanning: scanner: autoscaling: enabled: true minReplicas: 1 maxReplicas: 4 targetCPUUtilization: 800 scanManager: maxJobCount: 4 # concurrent jobs