10.4. PolicyGenTemplate CR에 대한 정책 준수 평가 시간 초과 구성
hub 클러스터에 설치된 RHACM(Red Hat Advanced Cluster Management)을 사용하여 관리 클러스터가 적용된 정책을 준수하는지 여부를 모니터링하고 보고합니다. RHACM은 정책 템플릿을 사용하여 사전 정의된 정책 컨트롤러 및 정책을 적용합니다. 정책 컨트롤러는 Kubernetes CRD(사용자 정의 리소스 정의) 인스턴스입니다.
PolicyGenTemplate
CR(사용자 정의 리소스)을 사용하여 기본 정책 평가 간격을 덮어쓸 수 있습니다. RHACM이 적용된 클러스터 정책을 다시 평가하기 전에 ConfigurationPolicy
CR이 정책 준수 또는 비준수 상태에 있을 수 있는 기간을 정의하는 기간을 구성합니다.
GitOps ZTP(ZTP) 정책 생성기는 사전 정의된 정책 평가 간격을 사용하여 ConfigurationPolicy
CR 정책을 생성합니다. 비준수
상태의 기본값은 10초입니다. 규정 준수
상태의 기본값은 10분입니다. 평가 간격을 비활성화하려면 값을 never
로 설정합니다.
사전 요구 사항
-
OpenShift CLI(
oc
)가 설치되어 있습니다. -
cluster-admin
권한이 있는 사용자로 hub 클러스터에 로그인했습니다. - 사용자 지정 사이트 구성 데이터를 관리하는 Git 리포지토리를 생성했습니다.
프로세스
PolicyGenTemplate
CR의 모든 정책에 대한 평가 간격을 구성하려면spec
필드에evaluationInterval
를 추가한 다음 적절한준수
및비준수
값을 설정합니다. 예를 들면 다음과 같습니다.spec: evaluationInterval: compliant: 30m noncompliant: 20s
PolicyGenTemplate
CR에서spec.sourceFiles
오브젝트의 평가 간격을 구성하려면sourceFiles
필드에evaluationInterval
을 추가합니다. 예를 들면 다음과 같습니다.spec: sourceFiles: - fileName: SriovSubscription.yaml policyName: "sriov-sub-policy" evaluationInterval: compliant: never noncompliant: 10s
-
Git 리포지토리에서
PolicyGenTemplate
CR 파일을 커밋하고 변경 사항을 내보냅니다.
검증
관리형 spoke 클러스터 정책이 예상 간격으로 모니터링되는지 확인합니다.
-
관리 클러스터에서
cluster-admin
권한이 있는 사용자로 로그인합니다. open-cluster-management-agent-addon
네임스페이스에서 실행 중인 Pod를 가져옵니다. 다음 명령을 실행합니다.$ oc get pods -n open-cluster-management-agent-addon
출력 예
NAME READY STATUS RESTARTS AGE config-policy-controller-858b894c68-v4xdb 1/1 Running 22 (5d8h ago) 10d
config-policy-controller
Pod에 대한 로그에서 적용된 정책이 예상 간격으로 평가되고 있는지 확인합니다.$ oc logs -n open-cluster-management-agent-addon config-policy-controller-858b894c68-v4xdb
출력 예
2022-05-10T15:10:25.280Z info configuration-policy-controller controllers/configurationpolicy_controller.go:166 Skipping the policy evaluation due to the policy not reaching the evaluation interval {"policy": "compute-1-config-policy-config"} 2022-05-10T15:10:25.280Z info configuration-policy-controller controllers/configurationpolicy_controller.go:166 Skipping the policy evaluation due to the policy not reaching the evaluation interval {"policy": "compute-1-common-compute-1-catalog-policy-config"}