ホーム
製品
Red Hat Advanced Cluster Management for Kubernetes
2.11
ガバナンス
2.7. Governance ダッシュボードの管理

2.7. Governance ダッシュボードの管理

Governance ダッシュボードを使用してリソースを作成、表示、編集し、セキュリティーポリシーとポリシー違反を管理します。コマンドラインとコンソールからポリシーの YAML ファイルを作成できます。コンソールからの ガバナンス ダッシュボードの詳細は、引き続きお読みください。

2.7.1. Governance ページ
リンクのコピー

Governance ページの Overview、Policy sets、Policies には次のタブが表示されます。どの情報が表示されるかを確認するには、次の説明をお読みください。

概要
Overview タブで、Policy set violations、Policy violations、Clusters、Categories、Controls、および Standards タブから概要カードが表示されます。
ポリシーセット
ハブクラスターポリシーセットを作成および管理します。
ポリシー
- セキュリティーポリシーを作成および管理します。ポリシーの表には、ポリシーの次の詳細がリストされます。Name、Namespace、および Cluster violations が表示されます。
- Actions アイコンを選択すると、修復を編集、有効化、無効化の設定をして、ポリシーの通知、有効化、または削除ができます。特定のポリシーのカテゴリーおよび標準を表示するには、ドロップダウン矢印を選択して行を展開します。
- Manage column ダイアログボックスでテーブルの列の順序を変更します。Manage column アイコンを選択すると、ダイアログボックスが表示されます。列の順序を変更するには、Reorder アイコンを選択して列名を移動します。表に列を表示するには、その列名のチェックボックスをクリックし、Save ボタンを選択します。
- 複数のポリシーを選択して Actions ボタンをクリックして、完全な一括処理を行います。Filter ボタンをクリックしてポリシーテーブルをカスタマイズすることもできます。
  表一覧でポリシーを選択すると、コンソールで、以下の情報タブが表示されます。
  - Details: Details タブを選択して、ポリシーの情報、配置の情報を表示します。Placement の表の コンプライアンス 列には、表示されるクラスターのコンプライアンスを確認するためのリンクがあります。
  - Results: Results タブを選択して、ポリシーに関連付けられた全クラスターの表リストを表示します。
Message 列から View details リンクをクリックして、テンプレートの詳細、テンプレート YAML、および関連リソースを表示します。関連リソースを表示することもできます。View history リンクをクリックして、違反メッセージと最後のレポートの時間を表示します。

2.7.2. ガバナンスの自動化設定
リンクのコピー

特定のポリシーに設定済みの自動化がある場合は、自動化を選択して詳細を表示できます。自動化のスケジュール頻度オプションに関する以下の説明を参照してください。

Manual run: この自動化を手動で設定して 1 回実行します。自動化の実行後に、disabled に設定されます。注記: スケジュール頻度が無効になっている場合のみ Manual run モードを選択できます。
Run once mode: ポリシーに違反すると、自動化が 1 回実行されます。自動化の実行後に、disabled に設定されます。自動化が disabled に設定された後は、引き続き自動化を手動で実行する必要があります。once mode を実行すると、target_clusters の追加変数にはポリシーに違反するクラスターのリストが自動的に指定されます。Ansible Automation Platform Job テンプレートでは、EXTRA VARIABLES セクション (extra_vars とも呼ばれる) に対して PROMPT ON LAUNCH が有効になっている必要があります。
Run everyEvent モード: ポリシーに違反すると、自動化はマネージドクラスターごとに固有のポリシー違反が発生するたびに毎回実行します。DelayAfterRunSeconds パラメーターを使用して、同じクラスターで自動化を再開できるようになるまでの最小秒数を設定します。ポリシーが遅延期間中に複数回違反され、違反状態のままであると、自動化は遅延期間後に 1 回実行されます。デフォルトは 0 秒で、everyEvent モードにのみ適用されます。everyEvent モードを実行すると、target_clusters と Ansible Automation Platform Job テンプレートの追加変数は once モード と同じになります。
Disable automation: スケジュールされた自動化を disabled に設定すると、設定が更新されるまで自動化は実行されません。

以下の変数は、Ansible Automation Platform ジョブの extra_vars で自動的に提供されます。

policy_name: ハブクラスターで Ansible Automation Platform ジョブを開始する非準拠のルートポリシーの名前。
policy_namespace: ルートポリシーの namespace。
hub_cluster: clusters DNS オブジェクトの値によって決定されるハブクラスターの名前。
policy_sets: このパラメーターには、ルートポリシーに関連付けられたすべてのポリシーセット名が含まれます。ポリシーがポリシーセット内にないと、policy_set パラメーターは空になります。
policy_violations: このパラメーターには、非準拠のクラスター名のリストが含まれており、値は非準拠の各クラスターのポリシー status フィールドです。

2.7.3. 関連情報
リンクのコピー

セキュリティーポリシーの作成および更新の詳細は、以下のトピックを参照してください。

2.7.4. ガバナンスのための Ansible Automation Platform の設定
リンクのコピー

Red Hat Advanced Cluster Management for Kubernetes ガバナンスを Red Hat Ansible Automation Platform と統合して、ポリシー違反の自動化を作成できます。Red Hat Advanced Cluster Management コンソールで、自動化を設定できます。

2.7.4.1. 前提条件
リンクのコピー

サポート対象の OpenShift Container Platform バージョン
Ansible Automation Platform バージョン 3.7.3 以降のバージョンがインストールされている。サポートされている最新バージョンの Ansible Automation Platform をインストールすることを推奨します。詳細は、Red Hat Ansible Automation Platform ドキュメントを参照してください。
Operator Lifecycle Manager から Ansible Automation Platform Resource Operator がインストールされている。Update Channel セクションで、stable-2.x-cluster-scoped を選択します。All namespaces on the cluster (default) インストールモードを選択します。
注記: Ansible Automation Platform ジョブテンプレートを実行する際は、べき等であることを確認してください。Ansible Automation Platform Resource Operator がない場合は、Red Hat OpenShift Container Platform OperatorHub ページから確認することができる。

Red Hat Ansible Automation Platform のインストールと設定の詳細は、Ansible タスクの設定を参照してください。

2.7.4.2. コンソールからのポリシー違反自動化の作成
リンクのコピー

Red Hat Advanced Cluster Management ハブクラスターにログインし、ナビゲーションメニューから Governance を選択し、Policies タブをクリックしてポリシーテーブルを表示します。

Automation 列の Configure をクリックして、特定のポリシーの自動化を設定します。ポリシー自動化パネルが表示されたら、自動化を作成できます。Ansible credential セクションから、ドロップダウンメニューをクリックして Ansible 認証情報を選択します。認証情報を追加する必要がある場合は、認証情報の管理を参照してください。

注記: この認証情報は、ポリシーと同じ namespace にコピーされます。自動化の開始用に作成された AnsibleJob リソースで、この認証情報を使用します。コンソールの Credentials セクションで Ansible 認証情報に加えられた変更は、自動的に更新されます。

認証情報を選択したら、Ansible ジョブドロップダウンリストをクリックしてジョブテンプレートを選択します。Extra variables セクションで、PolicyAutomation の extra_vars セクションからパラメーター値を追加します。自動化の頻度を選択します。Run once mode、Run everyEvent mode、または Disable automation を選択できます。

Submit を選択して、ポリシー違反の自動化を保存します。Ansible ジョブの詳細パネルから View Job リンクを選択すると、このリンクから Search ページのジョブテンプレートが表示されます。自動化が正常に作成されると、Automation 列に表示されます。

注意: ポリシー自動化が関連付けられているポリシーを削除すると、ポリシー自動化はクリーンアップの一部として自動的に削除されます。

コンソールからポリシー違反の自動化が作成されました。

2.7.4.3. CLI からのポリシー違反自動化の作成
リンクのコピー

CLI からポリシー違反の自動化を設定するには、以下の手順を実行します。

ターミナルから、oc login コマンドを使用して Red Hat Advanced Cluster Management ハブクラスターに再度ログインします。
自動化を追加するポリシーを検索するか、作成します。ポリシー名と namespace をメモします。

以下のサンプルをガイドとして使用して、PolicyAutomation リソースを作成します。

apiVersion: policy.open-cluster-management.io/v1beta1
kind: PolicyAutomation
metadata:
  name: policyname-policy-automation
spec:
  automationDef:
    extra_vars:
      your_var: your_value
    name: Policy Compliance Template
    secret: ansible-tower
    type: AnsibleJob
  mode: disabled
  policyRef: policyname

apiVersion: policy.open-cluster-management.io/v1beta1
kind: PolicyAutomation
metadata:
  name: policyname-policy-automation
spec:
  automationDef:
    extra_vars:
      your_var: your_value
    name: Policy Compliance Template
    secret: ansible-tower
    type: AnsibleJob
  mode: disabled
  policyRef: policyname

Copy to Clipboard

Toggle word wrap

前のサンプルの Automation テンプレート名は Policy Compliance Template です。この値は、ジョブテンプレート名と一致するように変更してください。
extra_vars セクションで、Automation テンプレートに渡す必要があるパラメーターを追加します。
モードを once、everyEvent、または disabled に設定します。
policyRef は、ポリシーの名前に設定します。
Ansible Automation Platform 認証情報を含むこの PolicyAutomation リソースと同じ namespace にシークレットを作成します。上記の例では、シークレット名は ansible-tower です。アプリケーションライフサイクルからのサンプルを使用して、シークレットの作成方法を確認します。
PolicyAutomation リソースを作成します。
注記:
- 以下のアノテーションを PolicyAutomation リソースに追加することで、ポリシー自動化の即時実行を開始できます。
  metadata: annotations: policy.open-cluster-management.io/rerun: "true"
  Copy to Clipboard Toggle word wrap
- ポリシーが once モードの場合は、ポリシーがコンプライアンス違反があると自動化が実行されます。target_clusters という名前の extra_vars 変数が追加され、値はコンプライアンス違反のポリシーが含まれる、各マネージドクラスター名の配列です。
- ポリシーが everyEvent モードであり、DelayAfterRunSeconds が定義された時間値を超えると、ポリシーは非準拠となり、ポリシー違反ごとに自動化が実行されます。

トップに戻る

2.7. Governance ダッシュボードの管理

2.7.1. Governance ページ
リンクのコピー

2.7.2. ガバナンスの自動化設定
リンクのコピー

2.7.3. 関連情報
リンクのコピー

2.7.4. ガバナンスのための Ansible Automation Platform の設定
リンクのコピー

2.7.4.1. 前提条件
リンクのコピー

2.7.4.2. コンソールからのポリシー違反自動化の作成
リンクのコピー

2.7.4.3. CLI からのポリシー違反自動化の作成
リンクのコピー

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

2.7. Governance ダッシュボードの管理

2.7.1. Governance ページリンクのコピーリンクがクリップボードにコピーされました!

2.7.2. ガバナンスの自動化設定リンクのコピーリンクがクリップボードにコピーされました!

2.7.3. 関連情報リンクのコピーリンクがクリップボードにコピーされました!

2.7.4. ガバナンスのための Ansible Automation Platform の設定リンクのコピーリンクがクリップボードにコピーされました!

2.7.4.1. 前提条件リンクのコピーリンクがクリップボードにコピーされました!

2.7.4.2. コンソールからのポリシー違反自動化の作成リンクのコピーリンクがクリップボードにコピーされました!

2.7.4.3. CLI からのポリシー違反自動化の作成リンクのコピーリンクがクリップボードにコピーされました!

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

2.7.1. Governance ページ
リンクのコピー

2.7.2. ガバナンスの自動化設定
リンクのコピー

2.7.3. 関連情報
リンクのコピー

2.7.4. ガバナンスのための Ansible Automation Platform の設定
リンクのコピー

2.7.4.1. 前提条件
リンクのコピー

2.7.4.2. コンソールからのポリシー違反自動化の作成
リンクのコピー

2.7.4.3. CLI からのポリシー違反自動化の作成
リンクのコピー