2.7.3.2. Integrity shield 保護の有効化
以下の手順を実行して、Red Hat Advanced Cluster Management マネージドクラスターで整合性のシールドを有効にします。
Integrity-shield 用のハブクラスターに namespace を作成します。以下のコマンドを実行します。
oc create ns your-integrity-shield-ns
Red Hat Advanced Cluster Management マネージドクラスターに検証キーをデプロイします。リマインダーとして、署名および検証キーを作成する必要があります。ハブクラスターで
acm-verification-key-setup.shを実行して検証キーを設定します。以下のコマンドを実行します。curl -s https://raw.githubusercontent.com/stolostron/integrity-shield/master/scripts/ACM/acm-verification-key-setup.sh | bash -s \ --namespace integrity-shield-operator-system \ --secret keyring-secret \ --path /tmp/pubring.gpg \ --label environment=dev | oc apply -f -検証キーを削除するには、以下のコマンドを実行します。
curl -s https://raw.githubusercontent.com/stolostron/integrity-shield/master/scripts/ACM/acm-verification-key-setup.sh | bash -s - \ --namespace integrity-shield-operator-system \ --secret keyring-secret \ --path /tmp/pubring.gpg \ --label environment=dev | oc delete -f -ハブクラスターで
policy-integrity-shieldという名前の Red Hat Advanced Cluster Management ポリシーを作成します。-
policy-collectionリポジトリーからpolicy-integrity-shieldポリシーを取得します。必ずリポジトリーをフォークしてください。 -
remediationActionパラメーター値を更新して、Red Hat Advanced Cluster Management マネージドクラスターに integrity shield をデプロイするように namespaceを設定します。 -
signer
Configセクションを更新して、署名および検証キーのメールを設定します。 -
Integrity-shield をデプロイする Red Hat Advanced Cluster Management マネージドクラスターを決定する
PlacementRuleを定めます。 以下のコマンドを実行して
policy-integrity-shield.yamlに署名します。curl -s https://raw.githubusercontent.com/stolostron/integrity-shield/master/scripts/gpg-annotation-sign.sh | bash -s \ signer@enterprise.com \ policy-integrity-shield.yaml注記: ポリシーを変更し、他のクラスターに適用するたびに、新しい署名を作成する必要があります。そうしないと、変更はブロックされ、適用されません。
-
サンプルについては、policy-integrity-shield ポリシーを参照してください。
