5.3. Installation de l'opérateur de conformité
Avant de pouvoir utiliser l'opérateur de conformité, vous devez vous assurer qu'il est déployé dans le cluster.
L'opérateur de conformité pourrait rapporter des résultats incorrects sur les plateformes gérées, telles que OpenShift Dedicated, Red Hat OpenShift Service on AWS, et Microsoft Azure Red Hat OpenShift. Pour plus d'informations, consultez la solution #6983418 de la base de connaissances de Red Hat.
5.3.1. Installation de l'Opérateur de Conformité via la console web
Conditions préalables
-
Vous devez avoir les privilèges de
admin
.
Procédure
-
Dans la console web d'OpenShift Container Platform, naviguez vers Operators
OperatorHub. - Recherchez l'opérateur de conformité, puis cliquez sur Install.
-
Conservez la sélection par défaut de Installation mode et namespace pour vous assurer que l'opérateur sera installé dans l'espace de noms
openshift-compliance
. - Cliquez sur Install.
Vérification
Pour confirmer que l'installation a réussi :
-
Naviguez jusqu'à la page Operators
Installed Operators. -
Vérifiez que l'opérateur de conformité est installé dans l'espace de noms
openshift-compliance
et que son statut estSucceeded
.
Si l'opérateur n'est pas installé correctement :
-
Naviguez jusqu'à la page Operators
Installed Operators et vérifiez que la colonne Status
ne contient pas d'erreurs ou de défaillances. -
Naviguez jusqu'à la page Workloads
Pods et vérifiez les journaux de tous les pods du projet openshift-compliance
qui signalent des problèmes.
Si les contraintes du contexte de sécurité (SCC) de restricted
ont été modifiées pour contenir le groupe system:authenticated
ou ont ajouté requiredDropCapabilities
, l'opérateur de conformité peut ne pas fonctionner correctement en raison de problèmes de permissions.
Vous pouvez créer un SCC personnalisé pour le compte de service du scanner de l'opérateur de conformité. Pour plus d'informations, voir Création d'un SCC personnalisé pour l'Opérateur de conformité.
5.3.2. Installation de l'opérateur de conformité à l'aide de l'interface de programmation
Conditions préalables
-
Vous devez avoir les privilèges de
admin
.
Procédure
Définir un objet
Namespace
:Exemple
namespace-object.yaml
apiVersion: v1 kind: Namespace metadata: labels: openshift.io/cluster-monitoring: "true" pod-security.kubernetes.io/enforce: privileged 1 name: openshift-compliance
- 1
- Dans OpenShift Container Platform 4.12, l'étiquette de sécurité du pod doit être définie sur
privileged
au niveau de l'espace de noms.
Créer l'objet
Namespace
:$ oc create -f namespace-object.yaml
Définir un objet
OperatorGroup
:Exemple
operator-group-object.yaml
apiVersion: operators.coreos.com/v1 kind: OperatorGroup metadata: name: compliance-operator namespace: openshift-compliance spec: targetNamespaces: - openshift-compliance
Créer l'objet
OperatorGroup
:$ oc create -f operator-group-object.yaml
Définir un objet
Subscription
:Exemple
subscription-object.yaml
apiVersion: operators.coreos.com/v1alpha1 kind: Subscription metadata: name: compliance-operator-sub namespace: openshift-compliance spec: channel: "release-0.1" installPlanApproval: Automatic name: compliance-operator source: redhat-operators sourceNamespace: openshift-marketplace
Créer l'objet
Subscription
:$ oc create -f subscription-object.yaml
Si vous définissez la fonctionnalité de planification globale et activez defaultNodeSelector
, vous devez créer l'espace de noms manuellement et mettre à jour les annotations de l'espace de noms openshift-compliance
, ou de l'espace de noms où l'Opérateur de Conformité a été installé, avec openshift.io/node-selector: “”
. Cela supprime le sélecteur de nœuds par défaut et évite les échecs de déploiement.
Vérification
Vérifiez que l'installation a réussi en inspectant le fichier CSV :
$ oc get csv -n openshift-compliance
Vérifiez que l'opérateur de conformité est opérationnel :
$ oc get deploy -n openshift-compliance
Si les contraintes du contexte de sécurité (SCC) de restricted
ont été modifiées pour contenir le groupe system:authenticated
ou ont ajouté requiredDropCapabilities
, l'opérateur de conformité peut ne pas fonctionner correctement en raison de problèmes de permissions.
Vous pouvez créer un SCC personnalisé pour le compte de service du scanner de l'opérateur de conformité. Pour plus d'informations, voir Création d'un SCC personnalisé pour l'Opérateur de conformité.
5.3.3. Ressources supplémentaires
- L'opérateur de conformité est pris en charge dans un environnement réseau restreint. Pour plus d'informations, voir Utiliser Operator Lifecycle Manager sur des réseaux restreints.