5.7. Gestion de l'opérateur de conformité
Cette section décrit le cycle de vie du contenu de sécurité, y compris la manière d'utiliser une version mise à jour du contenu de conformité et de créer un objet personnalisé ProfileBundle
.
5.7.1. Exemple de ProfileBundle CR
L'objet ProfileBundle
nécessite deux informations : l'URL d'une image de conteneur qui contient contentImage
et le fichier qui contient le contenu de conformité. Le paramètre contentFile
est relatif à la racine du système de fichiers. Vous pouvez définir l'objet intégré rhcos4
ProfileBundle
comme indiqué dans l'exemple suivant :
apiVersion: compliance.openshift.io/v1alpha1 kind: ProfileBundle metadata: creationTimestamp: "2022-10-19T12:06:30Z" finalizers: - profilebundle.finalizers.compliance.openshift.io generation: 1 name: rhcos4 namespace: openshift-compliance resourceVersion: "46741" uid: 22350850-af4a-4f5c-9a42-5e7b68b82d7d spec: contentFile: ssg-rhcos4-ds.xml 1 contentImage: registry.redhat.io/compliance/openshift-compliance-content-rhel8@sha256:900e... 2 status: conditions: - lastTransitionTime: "2022-10-19T12:07:51Z" message: Profile bundle successfully parsed reason: Valid status: "True" type: Ready dataStreamStatus: VALID
5.7.2. Mise à jour du contenu de sécurité
Le contenu de sécurité est inclus en tant qu'images de conteneur auxquelles les objets ProfileBundle
font référence. Pour suivre avec précision les mises à jour de ProfileBundles
et les ressources personnalisées analysées à partir des paquets, telles que les règles ou les profils, identifiez l'image du conteneur avec le contenu de conformité en utilisant un condensé au lieu d'une balise :
$ oc -n openshift-compliance get profilebundles rhcos4 -oyaml
Exemple de sortie
apiVersion: compliance.openshift.io/v1alpha1
kind: ProfileBundle
metadata:
creationTimestamp: "2022-10-19T12:06:30Z"
finalizers:
- profilebundle.finalizers.compliance.openshift.io
generation: 1
name: rhcos4
namespace: openshift-compliance
resourceVersion: "46741"
uid: 22350850-af4a-4f5c-9a42-5e7b68b82d7d
spec:
contentFile: ssg-rhcos4-ds.xml
contentImage: registry.redhat.io/compliance/openshift-compliance-content-rhel8@sha256:900e... 1
status:
conditions:
- lastTransitionTime: "2022-10-19T12:07:51Z"
message: Profile bundle successfully parsed
reason: Valid
status: "True"
type: Ready
dataStreamStatus: VALID
- 1
- Image du conteneur de sécurité.
Chaque site ProfileBundle
est soutenu par un déploiement. Lorsque l'opérateur de conformité détecte que le résumé de l'image du conteneur a changé, le déploiement est mis à jour pour refléter le changement et analyser à nouveau le contenu. L'utilisation d'un condensé au lieu d'une balise garantit l'utilisation d'un ensemble de profils stables et prévisibles.
5.7.3. Ressources supplémentaires
- L'opérateur de conformité est pris en charge dans un environnement réseau restreint. Pour plus d'informations, voir Utiliser Operator Lifecycle Manager sur des réseaux restreints.