검색

2.3. 정책 컨트롤러 소개

download PDF

정책 컨트롤러는 클러스터가 정책과 호환되는지 여부를 모니터링하고 보고합니다. 지원되는 정책 템플릿을 사용하여 이러한 컨트롤러에서 관리하는 정책을 적용하여 Kubernetes 정책 프레임워크용 Red Hat Advanced Cluster Management를 사용하십시오. 정책 컨트롤러는 Kubernetes 사용자 정의 리소스 정의 인스턴스를 관리합니다.

정책 컨트롤러는 정책 위반을 확인하고 컨트롤러가 시행 기능을 지원하는 경우 클러스터 상태를 준수하도록 할 수 있습니다. Kubernetes 정책 컨트롤러에 대한 다음 Red Hat Advanced Cluster Management에 대한 자세한 내용은 다음 주제를 참조하십시오.

중요: 구성 정책 컨트롤러 정책만 적용 기능을 지원합니다. 정책 컨트롤러에서 적용 기능을 지원하지 않는 정책을 수동으로 수정해야 합니다.

2.3.1. Kubernetes 구성 정책 컨트롤러

구성 정책 컨트롤러를 사용하여 Kubernetes 리소스를 구성하고 클러스터에 보안 정책을 적용할 수 있습니다. 구성 정책은 허브 클러스터에 있는 정책의 policy-templates 필드에 제공되며, 거버넌스 프레임워크를 통해 선택한 관리 클러스터에 전파됩니다.

Kubernetes 오브젝트는 구성 정책의 object-templates 배열에 정의되고 관리 클러스터의 오브젝트와 비교할 필드의 구성 정책 컨트롤러에 표시됩니다. 구성 정책 컨트롤러는 로컬 Kubernetes API 서버와 통신하여 클러스터에 있는 구성 목록을 가져옵니다.

구성 정책 컨트롤러는 설치 중에 관리 클러스터에 생성됩니다. 구성 정책 컨트롤러는 구성 정책이 준수하지 않을 때 수정하기 위해 시행InformOnly 기능을 지원합니다.

구성 정책의 수정 작업이 적용 되도록 설정된 경우 컨트롤러는 지정된 구성을 대상 관리 클러스터에 적용합니다.

구성 정책의 remediationActionInformOnly 로 설정된 경우 상위 정책에서 상위 정책의 remediationAction 이 적용되도록 설정되어 있어도 구성 정책을 적용하지 않습니다.

참고: 이름이 없는 오브젝트를 지정하는 구성 정책은 알림을 통해서만 알 수 있습니다.

구성 정책 내에서 템플릿 값을 사용할 수도 있습니다. 자세한 내용은 템플릿 처리를 참조하십시오.

정책에 추가하려는 기존 Kubernetes 매니페스트가 있는 경우 정책 생성기는 이 작업을 수행하는 데 유용한 도구입니다.

2.3.1.1. 구성 정책 샘플

apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: policy-config
spec:
  namespaceSelector:
    include: ["default"]
    exclude: []
    matchExpressions: []
    matchLabels: {}
  remediationAction: inform
  severity: low
  evaluationInterval:
    compliant:
    noncompliant:
  object-templates:
  - complianceType: musthave
    objectDefinition:
      apiVersion: v1
      kind: Pod
      metadata:
        name: pod
      spec:
        containers:
        - image: pod-image
          name: pod-name
          ports:
          - containerPort: 80
  - complianceType: musthave
    objectDefinition:
    apiVersion: v1
    kind: ConfigMap
    metadata:
      name: myconfig
      namespace: default
      data:
      testData: hello
    spec:
...

2.3.1.2. 구성 정책 YAML 테이블

표 2.2. 매개변수 테이블
필드선택 사항 또는 필수설명

apiVersion

필수 항목

값을 policy.open-cluster-management.io/v1 로 설정합니다.

kind

필수 항목

값을 ConfigurationPolicy 로 설정하여 정책 유형을 나타냅니다.

metadata.name

필수 항목

정책의 이름입니다.

spec.namespaceSelector

네임스페이스가 지정되지 않은 네임스페이스된 오브젝트에 필요합니다.

관리 클러스터에서 오브젝트가 적용되는 네임스페이스를 결정합니다. includeexclude 매개 변수는 파일 경로 표현식을 허용하여 이름별로 네임스페이스를 포함 및 제외합니다. matchExpressionsmatchLabels 매개변수는 레이블별로 포함할 네임스페이스를 지정합니다. Kubernetes 라벨 및 선택기 설명서를 참조하십시오. 결과 목록은 모든 매개변수의 결과 교집합을 사용하여 컴파일됩니다.

spec.remediationAction

필수 항목

정책이 준수하지 않을 때 수행할 작업을 지정합니다. 다음 매개변수 값을 사용합니다. ,InformOnly 또는 enforce.

spec.severity

필수 항목

정책이 준수하지 않을 때 심각도를 지정합니다. 다음과 같은 매개변수 값( 낮은,중간,높음 또는 중요 )을 사용합니다.

spec.evaluationInterval.compliant

선택 사항

규정 준수 상태에 있을 때 정책이 평가되는 빈도를 정의하는 데 사용됩니다. 값은 시간 단위 접미사가 있는 숫자 시퀀스인 기간 형식이어야 합니다. 예를 들어 12h30m5s 는 12 시간, 30 분 및 5 초를 나타냅니다. 정책 사양 을 업데이트하지 않는 한 정책이 규정 준수 클러스터에서 재평가되지 않도록 never 로 설정할 수도 있습니다.

기본적으로 구성 정책에 대한 평가 사이의 최소 시간은 evaluationInterval.compliant 가 설정되거나 비어 있지 않은 경우 약 10초입니다. 구성 정책 컨트롤러가 관리 클러스터에 포화되면 더 길 수 있습니다.

spec.evaluationInterval.noncompliant

선택 사항

비호환 상태에 있을 때 정책이 평가되는 빈도를 정의하는 데 사용됩니다. evaluationInterval.compliant 매개변수와 유사하게 값은 시간 단위 접미사가 있는 숫자 시퀀스인 기간 형식이어야 합니다. 정책 사양 을 업데이트하지 않는 한 정책을 준수하지 않는 클러스터에서 재평가하지 않도록 never 로 설정할 수도 있습니다.

spec.object-templates

선택 사항

컨트롤러가 관리되는 클러스터의 오브젝트와 비교할 수 있는 Kubernetes 오브젝트의 배열(완전히 정의되거나 필드 서브 세트 포함)입니다. 참고: spec.object-templatesspec.object-templates-raw 는 선택 사항으로 나열되지만 두 매개변수 필드 중 하나만 설정해야 합니다.

spec.object-templates-raw

선택 사항

원시 YAML 문자열로 오브젝트 템플릿을 설정하는 데 사용됩니다. 오브젝트 템플릿에 대한 조건을 지정합니다. 여기서 if-else 문 및 range 함수와 같은 고급 함수가 지원되는 값입니다. 예를 들어 object-templates 정의에서 중복을 방지하기 위해 다음 값을 추가합니다.

{{- if eq .metadata.name "policy-grc-your-meta-data-name" }} replicas: 2 {{- else }} replicas: 1 {{-end }}

참고: spec.object-templatesspec.object-templates-raw 는 선택 사항으로 나열되지만 두 매개변수 필드 중 하나만 설정해야 합니다.

spec.object-templates[].complianceType

필수 항목

관리 클러스터에서 원하는 Kubernetes 오브젝트 상태를 정의하는 데 사용됩니다. 다음 동사 중 하나를 매개변수 값으로 사용해야 합니다.

mustonlyhave: objectDefinition 에 정의된 정확한 필드 및 값을 사용하여 오브젝트가 있어야 함을 나타냅니다.

musthave: objectDefinition 에 지정된 것과 동일한 필드를 사용하여 오브젝트가 있어야 함을 나타냅니다. object-template 에 지정되지 않은 오브젝트의 기존 필드는 무시됩니다. 일반적으로 배열 값이 추가됩니다. 패치할 배열에 대한 예외는 항목에 기존 항목과 일치하는 값이 있는 name 키가 포함된 경우입니다. 배열을 교체하려는 경우 mustonlyhave compliance 유형을 사용하여 완전히 정의된 objectDefinition 을 사용합니다.

mustnothave: objectDefinition 에 지정된 것과 동일한 필드를 가진 오브젝트가 존재할 수 없음을 나타냅니다.

spec.object-templates[].metadataComplianceType

선택 사항

매니페스트의 metadata 섹션을 클러스터의 오브젝트("musthave", "mustonlyhave")와 비교할 때 spec.object-templates[].complianceType 을 재정의합니다. 메타데이터의 complianceType 을 재정의하지 않도록 기본값은 설정되지 않습니다.

spec.object-templates[].recordDiff

선택 사항

정책에서 클러스터의 오브젝트와 오브젝트Definition 간의 차이점을 로깅할지 여부와 위치를 지정합니다. 차이를 기록하지 않으려면 컨트롤러 로그 또는 None 의 차이를 기록하려면 Log 로 설정합니다. 기본적으로 이 매개변수는 차이를 기록하지 않기 위해 비어 있습니다.

spec.object-templates[].objectDefinition

필수 항목

컨트롤러에서 관리 클러스터의 오브젝트와 비교할 수 있는 Kubernetes 오브젝트(완전히 정의되거나 하위 집합 포함)입니다.

spec.pruneObjectBehavior

선택 사항

정책을 관리 클러스터에서 제거할 때 정책과 관련된 리소스를 정리할지 여부를 결정합니다.

2.3.1.3. 추가 리소스

자세한 내용은 다음 항목을 참조하십시오.

2.3.2. 인증서 정책 컨트롤러

인증서 정책 컨트롤러를 사용하여 만료 시간(시간)에 가까운 인증서를 검색하거나 지정된 패턴과 일치하지 않는 DNS 이름을 포함할 수 있습니다. 거버넌스 프레임워크를 사용하여 선택한 관리 클러스터에 전파되는 허브 클러스터의 policy-templates 필드에 인증서 정책을 추가할 수 있습니다. hub 클러스터 정책에 대한 자세한 내용은 정책 개요 설명서를 참조하십시오.

컨트롤러 정책에서 다음 매개변수를 업데이트하여 인증서 정책 컨트롤러를 구성하고 사용자 지정합니다.

  • minimumDuration
  • minimumCADuration
  • maximumDuration
  • maximumCADuration
  • 허용되는SANPattern
  • disallowedSANPattern

다음 시나리오 중 하나로 인해 정책을 준수하지 않을 수 있습니다.

  • 인증서가 최소 기간 미만으로 만료되거나 최대 시간이 초과되는 경우입니다.
  • DNS 이름이 지정된 패턴과 일치하지 않는 경우

인증서 정책 컨트롤러가 관리 클러스터에 생성됩니다. 컨트롤러는 로컬 Kubernetes API 서버와 통신하여 인증서가 포함된 보안 목록을 가져오고 모든 비호환 인증서를 결정합니다.

인증서 정책 컨트롤러는 적용 기능을 지원하지 않습니다.

참고: 인증서 정책 컨트롤러는 tls.crt 키에서만 시크릿에서 인증서를 자동으로 찾습니다. 보안이 다른 키에 저장된 경우 키로 설정된 certificate_key_name 이라는 레이블을 추가하여 인증서 정책 컨트롤러에서 다른 키를 찾도록 알립니다. 예를 들어 보안에 sensor-cert.pem 이라는 키에 저장된 인증서가 포함된 경우 secret: certificate_key_name: sensor-cert.pem 에 다음 라벨을 추가합니다.

2.3.2.1. 인증서 정책 컨트롤러 YAML 구조

인증서 정책의 다음 예제를 보고 YAML 테이블의 요소를 검토합니다.

apiVersion: policy.open-cluster-management.io/v1
kind: CertificatePolicy
metadata:
  name: certificate-policy-example
spec:
  namespaceSelector:
    include: ["default"]
    exclude: []
    matchExpressions: []
    matchLabels: {}
  labelSelector:
    myLabelKey: myLabelValue
  remediationAction:
  severity:
  minimumDuration:
  minimumCADuration:
  maximumDuration:
  maximumCADuration:
  allowedSANPattern:
  disallowedSANPattern:
2.3.2.1.1. 인증서 정책 컨트롤러 YAML 테이블
표 2.3. 매개변수 테이블
필드선택 사항 또는 필수설명

apiVersion

필수 항목

값을 policy.open-cluster-management.io/v1 로 설정합니다.

kind

필수 항목

값을 CertificatePolicy 로 설정하여 정책 유형을 나타냅니다.

metadata.name

필수 항목

정책을 식별하는 이름입니다.

metadata.labels

선택 사항

인증서 정책에서 category=system-and-information-integrity 레이블은 정책을 분류하고 인증서 정책을 쿼리할 수 있습니다. 인증서 정책에 category 키에 다른 값이 있는 경우 인증서 컨트롤러에서 값을 덮어씁니다.

spec.namespaceSelector

필수 항목

관리 클러스터에서 보안이 모니터링되는 네임스페이스를 결정합니다. includeexclude 매개 변수는 파일 경로 표현식을 허용하여 이름별로 네임스페이스를 포함 및 제외합니다. matchExpressionsmatchLabels 매개변수는 라벨에 포함할 네임스페이스를 지정합니다. Kubernetes 라벨 및 선택기 설명서를 참조하십시오. 결과 목록은 모든 매개변수의 결과 교집합을 사용하여 컴파일됩니다.

참고: 인증서 정책 컨트롤러의 namespaceSelector 가 네임스페이스와 일치하지 않으면 정책을 준수하는 것으로 간주됩니다.

spec.labelSelector

선택 사항

오브젝트의 특성 식별을 지정합니다. Kubernetes 라벨 및 선택기 설명서를 참조하십시오.

spec.remediationAction

필수 항목

정책 수정을 지정합니다. 매개 변수 값을 설정하여 알립니다. 인증서 정책 컨트롤러는 정보 기능만 지원합니다.

spec.severity

선택 사항

정책이 준수하지 않는 경우 심각도에 대해 사용자에게 알립니다. 다음과 같은 매개변수 값( 낮은,중간,높음 또는 중요 )을 사용합니다.

spec.minimumDuration

필수 항목

값을 지정하지 않으면 기본값은 100h 입니다. 이 매개변수는 인증서가 비준수로 간주되기 전에 가장 작은 기간(시간)을 지정합니다. 매개변수 값은 Golang의 시간 기간 형식을 사용합니다. 자세한 내용은 Golang Parse Duration 을 참조하십시오.

spec.minimumCADuration

선택 사항

다른 인증서와 다른 값으로 만료될 수 있는 서명 인증서를 식별하도록 값을 설정합니다. 매개변수 값을 지정하지 않으면 CA 인증서 expiration은 minimumDuration 에 사용된 값입니다. 자세한 내용은 Golang Parse Duration 을 참조하십시오.

spec.maximumDuration

선택 사항

원하는 제한을 초과하는 기간으로 생성된 인증서를 식별하도록 값을 설정합니다. 매개변수는 Golang의 시간 기간 형식을 사용합니다. 자세한 내용은 Golang Parse Duration 을 참조하십시오.

spec.maximumCADuration

선택 사항

정의된 제한을 초과하는 기간으로 생성된 서명 인증서를 식별하도록 값을 설정합니다. 매개변수는 Golang의 시간 기간 형식을 사용합니다. 자세한 내용은 Golang Parse Duration 을 참조하십시오.

spec.allowedSANPattern

선택 사항

인증서에 정의된 모든 SAN 항목과 일치해야 하는 정규식입니다. 이 매개변수는 패턴에 대해 DNS 이름을 확인합니다. 자세한 내용은 Golang 정규식 구문을 참조하십시오.

spec.disallowedSANPattern

선택 사항

인증서에 정의한 SAN 항목과 일치하지 않아야 하는 정규식입니다. 이 매개변수는 패턴에 대해 DNS 이름을 확인합니다.

참고: 와일드카드 인증서를 감지하려면 다음 SAN 패턴을 사용하십시오. disallowedSANPattern: "[\\*]"

자세한 내용은 Golang 정규식 구문을 참조하십시오.

2.3.2.2. 인증서 정책 샘플

허브 클러스터에서 인증서 정책 컨트롤러가 생성되면 관리 클러스터에 복제 정책이 생성됩니다. 인증서 정책 샘플을 보려면 policy-certificate.yaml 을 참조하십시오.

2.3.2.3. 추가 리소스

2.3.3. IAM 정책 컨트롤러(더 이상 사용되지 않음)

IAM(Identity and Access Management) 정책 컨트롤러를 사용하여 준수하지 않는 IAM 정책에 대한 알림을 받을 수 있습니다. 규정 준수 검사는 IAM 정책에서 구성하는 매개변수를 기반으로 합니다. IAM 정책은 허브 클러스터에 있는 정책의 policy-templates 필드에 제공되며 거버넌스 프레임워크를 통해 선택한 관리 클러스터로 전파됩니다. hub 클러스터 정책에 대한 자세한 내용은 Policy YAML 구조 설명서를 참조하십시오.

IAM 정책 컨트롤러는 클러스터에서 특정 클러스터 역할(예: ClusterRole)을 사용하는 원하는 최대 사용자 수를 모니터링합니다. 모니터링할 기본 클러스터 역할은 cluster-admin 입니다. IAM 정책 컨트롤러는 로컬 Kubernetes API 서버와 통신합니다.

IAM 정책 컨트롤러는 관리 클러스터에서 실행됩니다. 자세한 내용은 다음 섹션을 확인하십시오.

2.3.3.1. IAM 정책 YAML 구조

IAM 정책의 다음 예제를 보고 YAML 테이블의 매개변수를 검토합니다.

apiVersion: policy.open-cluster-management.io/v1
kind: IamPolicy
metadata:
  name:
spec:
  clusterRole:
  severity:
  remediationAction:
  maxClusterRoleBindingUsers:
  ignoreClusterRoleBindings:

2.3.3.2. IAM 정책 YAML 테이블

설명을 위해 다음 매개변수 표를 확인하십시오.

표 2.4. 매개변수 테이블
필드선택 사항 또는 필수설명

apiVersion

필수 항목

값을 policy.open-cluster-management.io/v1 로 설정합니다.

kind

필수 항목

정책 유형을 나타내려면 값을 Policy 로 설정합니다.

metadata.name

필수 항목

정책 리소스를 식별하는 이름입니다.

spec.clusterRole

선택 사항

모니터링할 클러스터 역할(예: ClusterRole)입니다. 지정하지 않는 경우 기본값은 cluster-admin 입니다.

spec.severity

선택 사항

정책이 준수하지 않는 경우 심각도에 대해 사용자에게 알립니다. 다음과 같은 매개변수 값( 낮은,중간,높음 또는 중요 )을 사용합니다.

spec.remediationAction

선택 사항

정책 수정을 지정합니다. 정보를 입력합니다. IAM 정책 컨트롤러는 정보 기능만 지원합니다.

spec.ignoreClusterRoleBindings

선택 사항

무시할 클러스터 역할 바인딩 이름을 나타내는 정규식(regex) 값 목록입니다. 이러한 정규식 값은 Go regexp 구문을 따라야 합니다. 기본적으로 system: 으로 시작하는 이름이 있는 모든 클러스터 역할 바인딩은 무시됩니다. 이 값을 더 엄격한 값으로 설정하는 것이 좋습니다. 클러스터 역할 바인딩 이름을 무시하지 않으려면 목록을 일치하는 단일 값 .^ 또는 기타 정규식으로 설정합니다.

spec.maxClusterRoleBindingUsers

필수 항목

정책을 준수하지 않기 전에 사용할 수 있는 최대 IAM 역할 바인딩 수입니다.

2.3.3.3. IAM 정책 샘플

IAM 정책 샘플을 보려면 policy-limitclusteradmin.yaml 을 참조하십시오. 자세한 내용은 보안 정책 관리를 참조하십시오. 자세한 내용은 정책 컨트롤러 를 참조하십시오.

2.3.4. 정책 세트 컨트롤러

정책 세트 컨트롤러는 동일한 네임스페이스에 정의된 정책에 대한 정책 상태 범위를 집계합니다. 동일한 네임스페이스에 있는 정책을 그룹화할 정책 세트(PolicySet)를 생성합니다. PolicySet의 모든 정책은 PolicySet 및 배치를 바인딩하는 Placement Binding 을 생성하여 선택한 클러스터에 함께 배치됩니다. 정책 세트는 hub 클러스터에 배포됩니다.

또한 정책이 여러 정책 세트의 일부인 경우 기존 및 새 배치 리소스는 정책에 남아 있습니다. 사용자가 정책 세트에서 정책을 제거하면 정책 세트에서 선택한 클러스터에는 정책이 적용되지 않지만 배치는 그대로 유지됩니다. 정책 세트 컨트롤러는 정책 세트 배치를 포함하는 클러스터의 위반만 확인합니다.

참고:

  • Red Hat Advanced Cluster Management 샘플 정책 세트는 클러스터 배치를 사용합니다. 클러스터 배치를 사용하는 경우 정책이 포함된 네임스페이스를 관리 클러스터 세트에 바인딩합니다. 클러스터 배치 사용에 대한 자세한 내용은 클러스터에 정책 배포를 참조하십시오.
  • 배치 리소스를 사용하려면 ManagedClusterSet 리소스를 ManagedClusterSetBinding 리소스를 사용하여 배치 리소스의 네임스페이스에 바인딩해야 합니다. 자세한 내용은 Creating a ManagedClusterSetBinding 리소스 를 참조하십시오.

다음 섹션에서 정책 세트 구조에 대한 자세한 내용을 알아보십시오.

2.3.4.1. 정책 세트 YAML 구조

정책 세트는 다음 YAML 파일과 유사할 수 있습니다.

apiVersion: policy.open-cluster-management.io/v1beta1
kind: PolicySet
metadata:
  name: demo-policyset
spec:
  policies:
  - policy-demo

---
apiVersion: policy.open-cluster-management.io/v1
kind: PlacementBinding
metadata:
  name: demo-policyset-pb
placementRef:
  apiGroup: cluster.open-cluster-management.io
  kind: Placement
  name: demo-policyset-pr
subjects:
- apiGroup: policy.open-cluster-management.io
  kind: PolicySet
  name: demo-policyset
---
apiVersion: cluster.open-cluster-management.io/v1beta1
kind: Placement
metadata:
  name: demo-policyset-pr
spec:
  predicates:
  - requiredClusterSelector:
      labelSelector:
        matchExpressions:
          - key: name
            operator: In
            values:
              - local-cluster

2.3.4.2. 정책 세트 테이블

설명을 위해 다음 매개변수 표를 확인하십시오.

표 2.5. 매개변수 테이블
필드선택 사항 또는 필수설명

apiVersion

필수 항목

값을 policy.open-cluster-management.io/v1beta1 로 설정합니다.

kind

필수 항목

값을 PolicySet 으로 설정하여 정책 유형을 나타냅니다.

metadata.name

필수 항목

정책 리소스를 식별하는 이름입니다.

spec

필수 항목

정책에 대한 구성 세부 정보를 추가합니다.

spec.policies

선택 사항

정책 세트에서 함께 그룹화할 정책 목록입니다.

2.3.4.3. 정책 세트 샘플

apiVersion: policy.open-cluster-management.io/v1beta1
kind: PolicySet
metadata:
  name: pci
  namespace: default
spec:
  description: Policies for PCI compliance
  policies:
  - policy-pod
  - policy-namespace
status:
  compliant: NonCompliant
  placement:
  - placementBinding: binding1
    placement: placement1
    policySet: policyset-ps

2.3.4.4. 추가 리소스

2.3.5. Operator 정책 컨트롤러 (기술 프리뷰)

Operator 정책 컨트롤러를 사용하면 클러스터 전체에서 OLM(Operator Lifecycle Manager) Operator를 모니터링하고 설치할 수 있습니다. Operator 정책 컨트롤러를 사용하여 Operator의 다양한 부분을 모니터링하고 Operator에 대한 업데이트를 자동으로 처리하는 방법을 지정합니다. 또한 거버넌스 프레임워크를 사용하고 허브 클러스터의 정책 -templates 필드에 정책을 추가하여 운영자 정책을 관리 클러스터에 배포할 수도 있습니다.

2.3.5.1. 사전 요구 사항

  • 관리 클러스터에서 OLM을 사용할 수 있어야 합니다. 이는 Red Hat OpenShift Container Platform에서 기본적으로 활성화되어 있습니다.
  • 필수 액세스: 클러스터 관리자

2.3.5.2. Operator 정책 YAML 테이블

필드선택 사항 또는 필수설명

apiVersion

필수 항목

값을 policy.open-cluster-management.io/v1beta1 로 설정합니다.

kind

필수 항목

값을 OperatorPolicy 로 설정하여 정책 유형을 나타냅니다.

metadata.name

필수 항목

정책 리소스를 식별하는 이름입니다.

spec.remediationAction

필수 항목

Operator 정책에 대한 remediationAction적용 되도록 설정된 경우 컨트롤러는 대상 관리 클러스터에 리소스를 생성하여 Operator를 설치하고 정책에 지정된 버전을 기반으로 업데이트를 승인합니다. + remediationAction 이 설정된 경우 컨트롤러는 업그레이드를 사용할 수 있는 경우를 포함하여 Operator의 상태만 보고합니다.

spec.operatorGroup

선택 사항

기본적으로 operatorGroup 필드가 지정되지 않은 경우 컨트롤러는 지원되는 경우 서브스크립션과 동일한 네임스페이스에 AllNamespaces 유형 OperatorGroup을 생성합니다. 이 리소스는 Operator 정책 컨트롤러에서 생성합니다.

spec.subscription

필수 항목

운영자 서브스크립션을 생성할 구성을 정의합니다. Operator 서브스크립션을 생성하려면 다음 필드에 정보를 추가해야 합니다.

  • channel
  • name
  • 네임스페이스
  • 소스
  • sourceNamespace

subscriptions.installPlanApproval

필수 항목

installPlanApproval 필드가 Manual 로 설정되어 있고 spec.versions 필드가 비어 있으면 설치 프로세스를 진행하기 위해 관련 InstallPlan 리소스의 .spec.approved 필드를 수동으로 패치해야 합니다. Operator의 InstallPlan 리소스는 컨트롤러에서 서브스크립션을 생성한 후 생성되며 원하는 Operator의 특정 버전을 설치하려는 의도를 나타냅니다.

spec.versions

선택 사항

호환되는 Operator 버전을 선언합니다. 필드가 비어 있으면 클러스터에서 실행 중인 모든 버전이 준수로 간주됩니다. 필드가 비어 있지 않은 경우 관리 클러스터의 버전이 정책을 준수하려면 목록의 버전 중 하나와 일치해야 합니다. 정책을 적용 하도록 설정되어 있고 목록이 비어 있지 않은 경우 여기에 나열된 버전은 클러스터의 컨트롤러에서 승인합니다.

2.3.5.3. 추가 리소스

Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.