5.9. Compliance Operator 원시 결과 검색
OpenShift Container Platform 클러스터의 규정 준수를 입증할 때 감사 목적으로 검사 결과를 제공해야 할 수 있습니다.
5.9.1. 영구 볼륨에서 Compliance Operator 원시 결과 가져오기
절차
Compliance Operator는 원시 결과를 생성하여 영구 볼륨에 저장합니다. 이러한 결과는 자산 보고 형식(ARF)으로 되어 있습니다.
ComplianceSuite오브젝트를 살펴봅니다.$ oc get compliancesuites nist-moderate-modified \ -o json -n openshift-compliance | jq '.status.scanStatuses[].resultsStorage'
출력 예
{ "name": "ocp4-moderate", "namespace": "openshift-compliance" } { "name": "nist-moderate-modified-master", "namespace": "openshift-compliance" } { "name": "nist-moderate-modified-worker", "namespace": "openshift-compliance" }원시 결과에 액세스할 수 있는 영구 볼륨 클레임이 표시됩니다.
결과 중 하나의 이름과 네임스페이스를 사용하여 원시 데이터 위치를 확인합니다.
$ oc get pvc -n openshift-compliance rhcos4-moderate-worker
출력 예
NAME STATUS VOLUME CAPACITY ACCESS MODES STORAGECLASS AGE rhcos4-moderate-worker Bound pvc-548f6cfe-164b-42fe-ba13-a07cfbc77f3a 1Gi RWO gp2 92m
볼륨을 마운트하는 Pod를 생성하고 결과를 복사하여 원시 결과를 가져옵니다.
$ oc create -n openshift-compliance -f pod.yaml
pod.yaml의 예
apiVersion: "v1" kind: Pod metadata: name: pv-extract spec: containers: - name: pv-extract-pod image: registry.access.redhat.com/ubi9/ubi command: ["sleep", "3000"] volumeMounts: - mountPath: "/workers-scan-results" name: workers-scan-vol volumes: - name: workers-scan-vol persistentVolumeClaim: claimName: rhcos4-moderate-workerPod가 실행되면 결과를 다운로드합니다.
$ oc cp pv-extract:/workers-scan-results -n openshift-compliance .
중요영구 볼륨을 마운트하는 Pod를 생성하면 클레임이
Bound로 유지됩니다. 사용 중인 볼륨의 스토리지 클래스에ReadWriteOnce로 설정된 권한이 있는 경우 한 번에 하나의 Pod에서만 볼륨을 마운트할 수 있습니다. 완료 시 Pod를 삭제해야 합니다. 그러지 않으면 Operator에서 Pod를 예약하고 이 위치에 결과를 계속 저장할 수 없습니다.추출이 완료되면 Pod를 삭제할 수 있습니다.
$ oc delete pod pv-extract -n openshift-compliance
