Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

6.7. Custom File Integrity Operator 구성

6.7.1. FileIntegrity 오브젝트 특성 보기
링크 복사

모든 Kubernetes 사용자 정의 리소스(CR)와 마찬가지로 oc explain fileintegrity를 실행하면 다음을 사용하여 개별 특성을 볼 수 있습니다. 

$ oc explain fileintegrity.spec
Copy to Clipboard Toggle word wrap 
$ oc explain fileintegrity.spec.config
Copy to Clipboard Toggle word wrap

6.7.2. 중요한 특성
링크 복사

Expand
표 6.1. 중요한 spec 및 spec.config 특성
속성설명

spec.nodeSelector

해당 노드에 AIDE Pod를 예약하기 위해서는 노드의 레이블과 일치해야 하는 키-값 쌍에 대한 맵입니다. 일반적인 용도는 node-role.kubernetes.io/worker: "" 가 모든 작업자 노드에 AIDE를 예약하고 node.openshift.io/os_id: "rhcos" 는 모든 RHCOS(Red Hat Enterprise Linux CoreOS) 노드에서 예약하는 단일 키-값 쌍만 설정하는 것입니다.

spec.debug

부울 특성입니다. true로 설정하면 AIDE 데몬 세트의 Pod에서 실행 중인 데몬에서 추가 정보를 출력합니다.

spec.tolerations

사용자 정의 테인트가 있는 노드에 예약할 허용 오차를 지정합니다. 지정하지 않으면 기본 허용 오차가 적용되므로 컨트롤 플레인 노드에서 허용 오차가 실행될 수 있습니다.

spec.config.gracePeriod

AIDE 무결성 검사 사이에 일시 중지하는 시간(초)입니다. 노드에 대한 빈번한 AIDE 검사는 리소스 집약적일 수 있으므로 간격을 길게 지정하는 것이 유용할 수 있습니다. 기본값은 900 또는 15분입니다.

maxBackups

노드에 보관하기 위해 초기 프로세스에서 남은 최대 AIDE 데이터베이스 및 로그 백업 수입니다. 이 번호를 초과하는 이전 백업은 데몬에 의해 자동으로 정리됩니다.

spec.config.name

사용자 지정 AIDE 구성이 포함된 configMap의 이름입니다. 생략하면 기본 구성이 생성됩니다.

spec.config.namespace

사용자 지정 AIDE 구성이 포함된 configMap의 네임스페이스입니다. 설정하지 않으면 FIO는 RHCOS 시스템에 적합한 기본 구성을 생성합니다.

spec.config.key

이름네임스페이스 로 지정된 구성 맵에 실제 AIDE 구성이 포함된 키입니다. 기본값은 aide.conf 입니다.

spec.config.initialDelay

첫 번째 AIDE 무결성 검사를 시작하기 전에 기다리는 시간(초)입니다. 기본값은 0으로 설정됩니다. 이 속성은 선택 사항입니다.

6.7.3. 기본 구성 검사
링크 복사

기본 File Integrity Operator 구성은 FileIntegrity CR과 동일한 이름으로 구성 맵에 저장됩니다.

프로세스

  • 기본 구성을 검토하려면 다음을 실행합니다. 

    $ oc describe cm/worker-fileintegrity
    Copy to Clipboard Toggle word wrap

6.7.4. 기본 File Integrity Operator 구성 이해
링크 복사

다음은 구성 맵의 aide.conf 키에서 발췌한 것입니다. 

@@define DBDIR /hostroot/etc/kubernetes
@@define LOGDIR /hostroot/etc/kubernetes
database=file:@@{DBDIR}/aide.db.gz
database_out=file:@@{DBDIR}/aide.db.gz
gzip_dbout=yes
verbose=5
report_url=file:@@{LOGDIR}/aide.log
report_url=stdout
PERMS = p+u+g+acl+selinux+xattrs
CONTENT_EX = sha512+ftype+p+u+g+n+acl+selinux+xattrs

/hostroot/boot/    	CONTENT_EX
/hostroot/root/\..* PERMS
/hostroot/root/   CONTENT_EX
Copy to Clipboard Toggle word wrap

FileIntegrity 인스턴스의 기본 구성은 다음 디렉터리의 파일에 대한 적용 범위를 제공합니다.

  • /root
  • /boot
  • /usr
  • /etc

다음 디렉터리에는 적용되지 않습니다.

  • /var
  • /opt
  • /etc/ 아래의 일부 OpenShift Container Platform 관련 디렉터리는 제외됩니다.

6.7.5. 사용자 정의 AIDE 구성 제공
링크 복사

DBDIR, LOGDIR, database, database_out과 같은 AIDE 내부 동작을 구성하는 모든 항목을 Operator에서 덮어씁니다. Operator는 무결성 변경을 확인할 모든 경로 앞에 /hostroot/ 접두사를 추가합니다. 그러면 대부분 컨테이너화된 환경에 맞게 조정되지 않고 루트 디렉터리에서 더 쉽게 시작할 수 있는 기존 AIDE 구성이 재사용됩니다.

참고

/hostroot는 AIDE를 실행하는 Pod에서 호스트의 파일 시스템을 마운트하는 디렉터리입니다. 구성을 변경하면 데이터베이스가 다시 초기화됩니다.

6.7.6. 사용자 정의 File Integrity Operator 구성 정의
링크 복사

이 예제에서는 worker-fileintegrity CR에 제공된 기본 구성을 기반으로 컨트롤 플레인 노드에서 실행되는 스캐너의 사용자 정의 구성을 정의하는 데 중점을 둡니다. 이 워크플로는 데몬 세트로 실행되는 사용자 정의 소프트웨어를 배포하고 컨트롤 플레인 노드의 /opt/mydaemon에 데이터를 저장하려는 경우 유용할 수 있습니다.

프로세스

  1. 기본 구성을 복사합니다.
  2. 확인 또는 제외해야 하는 파일을 사용하여 기본 구성을 편집합니다.
  3. 편집한 내용을 새 구성 맵에 저장합니다.
  4. spec.config의 특성을 통해 FileIntegrity 오브젝트를 새 구성 맵으로 지정합니다.

  5. 기본 구성을 추출합니다. 

    $ oc extract cm/worker-fileintegrity --keys=aide.conf
    Copy to Clipboard Toggle word wrap

    그러면 편집할 수 있는 aide.conf라는 파일이 생성됩니다. Operator에서 경로를 후처리하는 방법을 설명하기 위해 이 예제에서는 접두사 없이 제외 디렉터리를 추가합니다. 

    $ vim aide.conf
    Copy to Clipboard Toggle word wrap

    출력 예

    /hostroot/etc/kubernetes/static-pod-resources
!/hostroot/etc/kubernetes/aide.*
!/hostroot/etc/kubernetes/manifests
!/hostroot/etc/docker/certs.d
!/hostroot/etc/selinux/targeted
!/hostroot/etc/openvswitch/conf.db
    Copy to Clipboard Toggle word wrap

    컨트롤 플레인 노드 관련 경로를 제외합니다. 

    !/opt/mydaemon/
    Copy to Clipboard Toggle word wrap

    다른 내용은 /etc에 저장합니다. 

    /hostroot/etc/	CONTENT_EX
    Copy to Clipboard Toggle word wrap

  6. 이 파일을 기반으로 구성 맵을 생성합니다. 

    $ oc create cm master-aide-conf --from-file=aide.conf
    Copy to Clipboard Toggle word wrap

  7. 구성 맵을 참조하는 FileIntegrity CR 매니페스트를 정의합니다. 

    apiVersion: fileintegrity.openshift.io/v1alpha1
kind: FileIntegrity
metadata:
  name: master-fileintegrity
  namespace: openshift-file-integrity
spec:
  nodeSelector:
      node-role.kubernetes.io/master: ""
  config:
      name: master-aide-conf
      namespace: openshift-file-integrity
    Copy to Clipboard Toggle word wrap

    Operator는 제공된 구성 맵 파일을 처리하고 결과를 FileIntegrity 오브젝트와 동일한 이름의 구성 맵에 저장합니다. 

    $ oc describe cm/master-fileintegrity | grep /opt/mydaemon
    Copy to Clipboard Toggle word wrap

    출력 예

    !/hostroot/opt/mydaemon
    Copy to Clipboard Toggle word wrap

6.7.7. 사용자 정의 파일 무결성 구성 변경
링크 복사

파일 무결성 구성을 변경하려면 생성된 구성 맵을 변경하지 마십시오. 대신 spec.name, namespace, key 특성을 통해 FileIntegrity 오브젝트에 연결된 구성 맵을 변경하십시오.

맨 위로 이동
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2025 Red Hat