16.3. Pod 보안 승인 경고 정보


Kubernetes API 서버가 Pod 보안 승인 컨트롤러의 감사 수준에 대한 Pod 거부가 있다고 보고할 때 PodSecurityViolation 경고가 트리거됩니다. 이 경고는 하루 동안 지속됩니다.

Kubernetes API 서버 감사 로그를 보고 트리거된 경고를 조사합니다. 예를 들어 글로벌 적용이 제한된 Pod 보안 수준으로 설정된 경우 워크로드는 승인에 실패할 가능성이 높습니다.

Pod 보안 승인 위반 감사 이벤트를 식별하는 방법에 대한 자세한 내용은 Kubernetes 문서의 감사 주석 을 참조하십시오.

16.3.1. Pod 보안 위반 확인

PodSecurityViolation 경고는 Pod 보안 위반을 유발하는 워크로드에 대한 세부 정보를 제공하지 않습니다. Kubernetes API 서버 감사 로그를 검토하여 영향을 받는 워크로드를 식별할 수 있습니다. 이 절차에서는 must-gather 툴을 사용하여 감사 로그를 수집한 다음 pod-security.kubernetes.io/audit-violations 주석을 검색합니다.

사전 요구 사항

  • jq를 설치했습니다.
  • cluster-admin 역할의 사용자로 클러스터에 액세스할 수 있어야 합니다.

절차

  1. 감사 로그를 수집하려면 다음 명령을 입력합니다.

    $ oc adm must-gather -- /usr/bin/gather_audit_logs
  2. 영향을 받는 워크로드 세부 정보를 출력하려면 다음 명령을 입력합니다.

    $ zgrep -h pod-security.kubernetes.io/audit-violations must-gather.local.<archive_id>/quay*/audit_logs/kube-apiserver/*log.gz \
      | jq -r 'select((.annotations["pod-security.kubernetes.io/audit-violations"] != null) and (.objectRef.resource=="pods")) | .objectRef.namespace + " " + .objectRef.name + " " + .objectRef.resource' \
      | sort | uniq -c

    must-gather.local.<archive_id&gt;를 실제 디렉터리 이름으로 바꿉니다.

    출력 예

    15 ci namespace-ttl-controller deployments
     1 ci-op-k5whzrsh rpm-repo-546f98d8b replicasets
     1 ci-op-k5whzrsh rpm-repo deployments

Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.