Red Hat Summit7.5. 보안 프로필 운영자 활성화
보안 프로필 연산자를 사용하려면 먼저 연산자가 클러스터에 배포되었는지 확인해야 합니다.
이 연산자가 제대로 작동하려면 모든 클러스터 노드에 동일한 릴리스 버전이 있어야 합니다. 예를 들어, RHCOS를 실행하는 노드의 경우 모든 노드는 동일한 RHCOS 버전을 가져야 합니다.
Security Profiles Operator는 Red Hat Enterprise Linux CoreOS(RHCOS) 워커 노드만 지원합니다. Red Hat Enterprise Linux(RHEL) 노드는 지원되지 않습니다.
Security Profiles Operator는 x86_64 아키텍처만 지원합니다.
7.5.1. 보안 프로필 운영자 설치
사전 요구 사항
-
클러스터 관리자권한이 있는 사용자로 웹 콘솔에 액세스할 수 있어야 합니다.
프로세스
-
OpenShift Container Platform 웹 콘솔에서 Operator
OperatorHub로 이동합니다. - Security Profiles Operator를 검색한 후 설치를 클릭합니다.
-
기본 설치 모드 및 네임스페이스를 계속 선택하여 Operator가
openshift-file-integrity네임스페이스에 설치되도록 합니다. - 설치를 클릭합니다.
검증
설치에 성공했는지 확인하려면 다음을 수행하십시오.
-
Operator
설치된 Operator 페이지로 이동합니다. -
Security Profiles Operator가
openshift-security-profiles네임스페이스에 설치되었고 상태가Succeeded인지 확인하세요.
Operator가 성공적으로 설치되지 않은 경우 다음을 수행하십시오.
-
Operator
설치된 Operator 페이지로 이동하여 Status열에 오류 또는 실패가 있는지 점검합니다. -
워크로드
Pod 페이지로 전환하고 openshift-file-integrity프로젝트에서 문제를 보고하는 Pod의 로그를 확인합니다.
7.5.2. CLI를 사용하여 보안 프로필 운영자 설치
사전 요구 사항
-
cluster-admin권한이 있어야 합니다.
프로세스
네임스페이스객체를 정의합니다.예제
namespace-object.yamlapiVersion: v1 kind: Namespace metadata: name: openshift-security-profiles labels: openshift.io/cluster-monitoring: "true"Namespace오브젝트를 생성합니다.$ oc create -f namespace-object.yamlOperatorGroup객체를 정의합니다.예제
operator-group-object.yamlapiVersion: operators.coreos.com/v1 kind: OperatorGroup metadata: name: security-profiles-operator namespace: openshift-security-profilesOperatorGroup개체를 생성합니다.$ oc create -f operator-group-object.yaml구독객체를 정의합니다.subscription-object.yaml예시apiVersion: operators.coreos.com/v1alpha1 kind: Subscription metadata: name: security-profiles-operator-sub namespace: openshift-security-profiles spec: channel: release-alpha-rhel-8 installPlanApproval: Automatic name: security-profiles-operator source: redhat-operators sourceNamespace: openshift-marketplaceSubscription오브젝트를 생성합니다.$ oc create -f subscription-object.yaml
글로벌 스케줄러 기능을 설정하고 defaultNodeSelector를 활성화하는 경우 네임스페이스를 수동으로 생성하고 openshift.io/node-selector: “”를 사용하여 openshift-security-profiles 네임스페이스 또는 Security Profiles Operator가 설치된 네임스페이스의 주석을 업데이트해야 합니다. 이렇게 하면 기본 노드 선택기가 제거되고 배포 실패가 발생하지 않습니다.
검증
다음 CSV 파일을 검사하여 설치가 성공했는지 확인하세요.
$ oc get csv -n openshift-security-profiles다음 명령을 실행하여 Security Profiles Operator가 작동하는지 확인하세요.
$ oc get deploy -n openshift-security-profiles
7.5.3. 로깅 상세도 구성
보안 프로필 운영자는 기본 로깅 상세 정보 0 과 향상된 상세 정보 1을 지원합니다.
프로세스
향상된 로깅 세부 정보를 활성화하려면
spod구성을 패치하고 다음 명령을 실행하여 값을 조정하세요.$ oc -n openshift-security-profiles patch spod \ spod --type=merge -p '{"spec":{"verbosity":1}}'출력 예
securityprofilesoperatordaemon.security-profiles-operator.x-k8s.io/spod patched
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}