Red Hat Summit5.3. gatekeeper Operator の設定
クラスターに Gatekeeper をインストールするには、Operator Lifecycle Manager カタログから Gatekeeper Operator をインストールします。Red Hat Advanced Cluster Management では、ガバナンスフレームワークを使用してポリシーを使用して Gatekeeper Operator をインストールできます。Gatekeeper Operator をインストールした後、Gatekeeper をインストールするように Gatekeeper Operator のカスタムリソースを設定します。
5.3.1. 前提条件
- 必要なアクセス権限: クラスターの管理者
- OpenShift Container Platform ドキュメント の クラスターへの Operator の追加 および 関連情報 セクションをすべて確認して、Operator Lifecycle Manager (OLM) と OperatorHub の使用方法を理解します。
5.3.2. gatekeeper カスタムリソースの例
Gatekeeper Operator のカスタムリソースは、Gatekeeper Operator にクラスター上で Gatekeeper のインストールを開始するように指示します。Gatekeeper をインストールするには、サンプルとデフォルト値を含む次のサンプル YAML を使用します。
apiVersion: operator.gatekeeper.sh/v1alpha1
kind: Gatekeeper
metadata:
name: gatekeeper
spec:
audit:
replicas: 1
auditEventsInvolvedNamespace: Enabled
logLevel: DEBUG
auditInterval: 10s
constraintViolationLimit: 55
auditFromCache: Enabled
auditChunkSize: 66
emitAuditEvents: Enabled
containerArguments:
- name: ""
value: ""
resources:
limits:
cpu: 500m
memory: 150Mi
requests:
cpu: 500m
memory: 130Mi
validatingWebhook: Enabled
mutatingWebhook: Enabled
webhook:
replicas: 3
emitAdmissionEvents: Enabled
admissionEventsInvolvedNamespace: Enabled
disabledBuiltins:
- http.send
operations:
- "CREATE"
- "UPDATE"
- "CONNECT"
failurePolicy: Fail
containerArguments:
- name: ""
value: ""
resources:
limits:
cpu: 480m
memory: 140Mi
requests:
cpu: 400m
memory: 120Mi
nodeSelector:
region: "EMEA"
affinity:
podAffinity:
requiredDuringSchedulingIgnoredDuringExecution:
- labelSelector:
matchLabels:
auditKey: "auditValue"
topologyKey: topology.kubernetes.io/zone
tolerations:
- key: "Example"
operator: "Exists"
effect: "NoSchedule"
podAnnotations:
some-annotation: "this is a test"
other-annotation: "another test"
config:
matches:
- excludedNamespaces: ["test-*", "my-namespace"]
processes: ["*"]
disableDefaultMatches: false - 1
- バージョン 3.14 以降では、作成する namespace 監査イベントを管理するために
auditEventsInvolvedNamespaceパラメーターを有効にします。このパラメーターを有効にすると、Gatekeeper コントローラーのデプロイメントは、--audit-events-involved-namespace=trueの引数で実行されます。 - 3
- バージョン 3.14 以降では、作成する namespace アドミッションイベントを管理するために
admissionEventsInvolvedNamespaceパラメーターを有効にします。このパラメーターを有効にすると、Gatekeeper コントローラーのデプロイメントは、--admission-events-involved-namespace=true引数で実行されます。 - 4
- バージョン 3.14 以降では、Webhook 操作を管理するために
operationsパラメーターで"CREATE"、"UPDATE"、"CONNECT"、および"DELETE"の値を使用します。 - 2 5
- バージョン 3.17 以降では、コンテナーに渡す引数名と値のリストを指定して、
containerArgumentsを指定します。引数名の先頭のダッシュを省略します。省略された値はtrueとして扱われます。指定した引数が Operator または他のフィールドからの設定によって以前に設定されている場合、その引数は無視されます。以下は、拒否リストに登録されており、現在サポートされていないフラグのリストです。-
ポート -
prometheus-port -
health-addr -
validating-webhook-configuration-name -
mutating-webhook-configuration-name -
disable-cert-rotation -
client-cert-name -
tls-min-version
-
- 6
- ハブクラスターのすべての制約に対して特定のプロセスの対象から namespace を除外するには、
configセクションを使用します。 - 7
disableDefaultMatchesパラメーターは、ブール型パラメーターで、Gatekeeper operator が提供するデフォルトの exempt namespace が追加されないようにします。デフォルトの exempt namespace は OpenShift Container Platform または Kubernetes システム namespace です。デフォルトでは、このパラメーターはfalseに設定されており、デフォルトの namespace を追加できるようになります。
5.3.3. auditFromCache の同期情報の設定
バージョン 3.14 以降では、Gatekeeper Operator は、デフォルトで無効になっている auditFromCache パラメーターを使用して、監査設定の Gatekeeper Operator カスタムリソースの設定を公開します。制約からリソースを収集するには、auditFromCache パラメーターを設定します。
auditFromCache パラメーターを Automatic に設定すると、Gatekeeper Operator は制約からリソースを収集し、それらのリソースを Gatekeeper Config リソースに挿入します。リソースが存在しない場合は、Gatekeeper Operator が Config リソースを作成します。
auditFromCache パラメーターを Enabled に設定する場合は、キャッシュに同期するオブジェクトを含む Gatekeeper Config リソースを手動で設定する必要があります。詳細は、Gatekeeper ドキュメントの 監査の設定 を参照してください。
制約からのリソース収集の auditFromCache パラメーターを設定するには、次の手順を実行します。
Gatekeeperリソースで、auditFromCacheをAutomaticに設定します。以下の例を参照してください。apiVersion: operator.gatekeeper.sh/v1alpha1 kind: Gatekeeper metadata: name: gatekeeper spec: audit: replicas: 2 logLevel: DEBUG auditFromCache: Automaticリソースが
Configリソースに追加されたことを確認するには、syncOnlyパラメーターセクションが追加されていることを確認します。以下のコマンドを実行します。oc get configs.config.gatekeeper.sh config -n openshift-gatekeeper-systemConfigリソースは次の例のようになります。apiVersion: config.gatekeeper.sh/v1alpha1 kind: Config metadata: name: config namespace: "openshift-gatekeeper-system" spec: sync: syncOnly: - group: "" version: "v1" kind: "Namespace" - group: "" version: "v1" kind: "Pod"
オプション: 次のコマンドを実行すると、Gatekeeper Operator のカスタムリソースの説明から、auditFromCache 設定の説明を表示できます。
oc explain gatekeeper.spec.audit.auditFromCache5.3.4. 関連情報
- 詳細は、Gatekeeper ドキュメントの 監査の設定 を参照してください。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}