Red Hat Summit5.7. Kata 에이전트 정책 사용자 정의
Kata 에이전트 정책을 사용자 지정하여 피어 pod에 대해 허용되는 기본 정책을 재정의할 수 있습니다. Kata 에이전트 정책은 피어 pod에 대한 API 요청을 제어하는 보안 메커니즘입니다.
중요
프로덕션 환경에서 기본 정책을 재정의해야 합니다.
최소 요구 사항은 클러스터 관리자가 피어 포드에서 oc exec 명령을 실행하여 중요한 데이터에 액세스하지 못하도록 ExecProcessRequest 를 비활성화해야 합니다.
예를 들어 컨트롤 플레인을 신뢰할 수 있는 환경에서 보안이 중요하지 않은 개발 및 테스트 환경에서 기본 정책을 사용할 수 있습니다.
사용자 지정 정책은 기본 정책을 완전히 대체합니다. 특정 API를 수정하려면 전체 정책을 포함하고 관련 규칙을 조정합니다.
프로세스
기본 정책을 수정하여 사용자 지정
policy.rego파일을 생성합니다.package agent_policy default AddARPNeighborsRequest := true default AddSwapRequest := true default CloseStdinRequest := true default CopyFileRequest := true default CreateContainerRequest := true default CreateSandboxRequest := true default DestroySandboxRequest := true default ExecProcessRequest := true default GetMetricsRequest := true default GetOOMEventRequest := true default GuestDetailsRequest := true default ListInterfacesRequest := true default ListRoutesRequest := true default MemHotplugByProbeRequest := true default OnlineCPUMemRequest := true default PauseContainerRequest := true default PullImageRequest := true default ReadStreamRequest := false default RemoveContainerRequest := true default RemoveStaleVirtiofsShareMountsRequest := true default ReseedRandomDevRequest := true default ResumeContainerRequest := true default SetGuestDateTimeRequest := true default SetPolicyRequest := true default SignalProcessRequest := true default StartContainerRequest := true default StartTracingRequest := true default StatsContainerRequest := true default StopTracingRequest := true default TtyWinResizeRequest := true default UpdateContainerRequest := true default UpdateEphemeralMountsRequest := true default UpdateInterfaceRequest := true default UpdateRoutesRequest := true default WaitProcessRequest := true default WriteStreamRequest := true기본 정책은 모든 API 호출을 허용합니다. 필요에 따라 정책을 추가로 사용자 지정하도록
true또는false값을 조정합니다.다음 명령을 실행하여
policy.rego파일을 Base64 인코딩 문자열로 변환합니다.$ base64 -w0 policy.rego출력을 기록합니다.
Base64로 인코딩된 정책 문자열을
my-pod.yaml매니페스트에 추가합니다.apiVersion: v1 kind: Pod metadata: name: my-pod annotations: io.katacontainers.config.agent.policy: <base64_encoded_policy> spec: runtimeClassName: kata-remote containers: - name: <container_name> image: registry.access.redhat.com/ubi9/ubi:latest command: - sleep - "36000" securityContext: privileged: false seccompProfile: type: RuntimeDefault다음 명령을 실행하여 Pod를 생성합니다.
$ oc create -f my-pod.yaml
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}