2.7. 관리 거버넌스 대시보드
Governance 대시보드를 사용하여 리소스를 생성, 보기 및 편집하여 보안 정책 및 정책 위반을 관리합니다. 명령줄 및 콘솔에서 정책에 대한 YAML 파일을 생성할 수 있습니다. 콘솔에서 Governance 대시보드에 대한 자세한 내용은 계속 읽습니다.
2.7.1. 거버넌스 페이지
다음 탭은 Governance 페이지 개요,정책 세트 및 정책에 표시됩니다. 다음 설명을 읽고 표시되는 정보를 확인합니다.
개요
개요 탭에서 다음 요약 카드가 표시됩니다. 정책 세트 위반,정책 위반 ,클러스터, 범주 ,제어 및 표준.
정책 세트
허브 클러스터 정책 세트를 생성하고 관리합니다.
Policies
- 보안 정책을 생성 및 관리합니다. 정책 테이블에는 다음과 같은 정책 세부 정보가 나열됩니다. 이름 , 네임스페이스 및 클러스터 위반이 표시됩니다.
- 작업 아이콘을 선택하여 정책을 편집, 활성화 또는 비활성화, 알리거나 적용하도록 수정을 설정할 수 있습니다. 드롭다운 화살표를 선택하여 특정 정책의 카테고리 및 표준을 보고 행을 확장할 수 있습니다.
- 열 관리 대화 상자에서 테이블 열을 다시 정렬합니다. 표시할 대화 상자의 열 관리 아이콘을 선택합니다. 열 순서를 다시 정렬하려면 순서 아이콘을 선택하고 열 이름을 이동합니다.To reorder your columns, select the Reorder icon and move the column name. 테이블에 표시할 열의 경우 특정 열 이름에 대한 확인란을 클릭하고 저장 버튼을 선택합니다.
여러 정책을 선택하고 작업 버튼을 클릭하여 대량 작업을 완료합니다. 필터 버튼을 클릭하여 정책 테이블을 사용자 지정할 수도 있습니다.
테이블 목록에서 정책을 선택하면 다음 정보 탭이 콘솔에 표시됩니다.
- Details: 정책 세부 정보 및 배치 세부 정보를 보려면 세부 정보 탭을 선택합니다. 배치 테이블에서 규정 준수 열에는 표시되는 클러스터의 규정 준수를 볼 수 있는 링크가 있습니다.
- 결과: 정책과 연결된 모든 클러스터의 테이블 목록을 보려면 결과 탭을 선택합니다.
- Message 열에서 View details 링크를 클릭하여 템플릿 세부 정보, 템플릿 YAML 및 관련 리소스를 확인합니다. 관련 리소스도 볼 수 있습니다. 보기 기록 링크를 클릭하여 위반 메시지와 마지막 보고서의 시간을 확인합니다.
2.7.2. 거버넌스 자동화 구성
특정 정책에 맞게 구성된 자동화가 있는 경우 자동화를 선택하여 세부 정보를 볼 수 있습니다. 자동화를 위한 스케줄 빈도 옵션에 대한 다음 설명을 확인합니다.
-
수동 실행: 수동으로 이 자동화를 한 번 실행하도록 설정합니다. 자동화가 실행된 후
disabled로 설정됩니다. 참고: 일정 빈도가 비활성화된 경우에만 수동 실행 모드를 선택할 수 있습니다. -
Run once mode: 정책을 위반하면 자동화가 한 번 실행됩니다. 자동화가 실행된 후
disabled로 설정됩니다. 자동화가disabled로 설정된 후에는 자동화를 수동으로 계속 실행해야 합니다. 한 번 모드를 실행하면target_clusters의 추가 변수가 정책을 위반하는 클러스터 목록과 자동으로 제공됩니다. Ansible Automation Platform 작업 템플릿에는EXTRA VARIABLES섹션(extra_vars라고도 함)에 대해 PROMPT ONCryostat가 활성화되어 있어야 합니다. -
모든Event 모드 실행: 정책이 위반되면 관리 클러스터당 각 고유한 정책 위반에 대해 자동화가 실행될 때마다 실행됩니다. 동일한 클러스터에서 자동화를 다시 시작하기 전에
DelayAfterRunSeconds매개변수를 사용하여 최소 초를 설정합니다. 정책이 지연 기간 동안 여러 번 위반되고 위반된 상태로 유지되는 경우 자동화는 지연 기간 후에 한 번 실행됩니다. 기본값은 0초이며everyEvent모드에만 적용됩니다.everyEvent모드를 실행하면target_clusters및 Ansible Automation Platform 작업 템플릿의 추가 변수는 한 모드와 동일합니다. -
자동화 비활성화: 예약된 자동화가
disabled로 설정된 경우 설정이 업데이트될 때까지 자동화가 실행되지 않습니다.
다음 변수는 Ansible Automation Platform 작업의 extra_vars 에 자동으로 제공됩니다.
-
policy_name: hub 클러스터에서 Ansible Automation Platform 작업을 시작하는 비호환 루트 정책의 이름입니다. -
policy_namespace: 루트 정책의 네임스페이스입니다. -
hub_cluster: 클러스터DNS오브젝트의 값에 따라 결정되는 허브클러스터의 이름입니다. -
policy_sets: 이 매개변수에는 루트 정책의 모든 관련 정책 세트 이름이 포함됩니다. 정책이 정책 세트에 없는 경우policy_set매개변수가 비어 있습니다. -
policy_violations: 이 매개변수에는 호환되지 않는 클러스터 이름 목록이 포함되어 있으며 값은 호환되지 않는 각 클러스터의 정책상태필드입니다.
2.7.3. 추가 리소스
보안 정책 생성 및 업데이트에 대한 자세한 내용은 다음 주제를 검토하십시오.
2.7.4. 거버넌스를 위한 Ansible Automation Platform 구성
Red Hat Advanced Cluster Management for Kubernetes 거버넌스를 Red Hat Ansible Automation Platform과 통합하여 정책 위반 자동화를 생성할 수 있습니다. Red Hat Advanced Cluster Management 콘솔에서 자동화를 구성할 수 있습니다.
2.7.4.1. 사전 요구 사항
- 지원되는 OpenShift Container Platform 버전
- Ansible Automation Platform 버전 3.7.3 또는 이후 버전이 설치되어 있어야 합니다. 지원되는 최신 버전의 Ansible Automation Platform을 설치하는 것이 좋습니다. 자세한 내용은 Red Hat Ansible Automation Platform 설명서 를 참조하십시오.
Operator Lifecycle Manager에서 Ansible Automation Platform Resource Operator를 설치합니다. Update Channel 섹션에서
stable-2.x-cluster-scoped를 선택합니다. 클러스터(기본값) 설치 모드에서 모든 네임스페이스를 선택합니다.참고: Ansible Automation Platform 작업 템플릿을 실행할 때 멱등인지 확인합니다. Ansible Automation Platform Resource Operator가 없는 경우 Red Hat OpenShift Container Platform OperatorHub 페이지에서 찾을 수 있습니다.
Red Hat Ansible Automation Platform 설치 및 구성에 대한 자세한 내용은 Ansible 작업 설정을 참조하십시오.
2.7.4.2. 콘솔에서 정책 위반 자동화 생성
Red Hat Advanced Cluster Management Hub 클러스터에 로그인한 후 탐색 메뉴에서 Governance 를 선택한 다음 Policies 탭을 클릭하여 정책 테이블을 확인합니다.
자동화 열에서 구성을 클릭하여 특정 정책에 대한 자동화 를 구성합니다. 정책 자동화 패널이 표시되면 자동화를 생성할 수 있습니다. Ansible Credential 섹션에서 드롭다운 메뉴를 클릭하여 Ansible 자격 증명을 선택합니다. 인증 정보를 추가해야 하는 경우 인증 정보 관리 개요 를 참조하십시오.
참고: 이 인증 정보는 정책과 동일한 네임스페이스에 복사됩니다. 인증 정보는 자동화를 시작하기 위해 생성된 AnsibleJob 리소스에서 사용합니다. 콘솔의 Credentials 섹션에서 Ansible 자격 증명 변경 사항이 자동으로 업데이트됩니다.
인증 정보를 선택한 후 Ansible 작업 드롭다운 목록을 클릭하여 작업 템플릿을 선택합니다. Extra variables 섹션에서 PolicyAutomation 의 extra_vars 섹션에서 매개변수 값을 추가합니다. 자동화 빈도를 선택합니다. 한 번 모드 실행,everyEvent 모드를 실행 또는 자동화 비활성화 를 선택할 수 있습니다.
Submit 을 선택하여 정책 위반 자동화를 저장합니다. Ansible 작업 세부 정보 패널에서 작업 보기 링크를 선택하면 링크가 검색 페이지의 작업 템플릿으로 이동합니다. 자동화를 성공적으로 생성하면 자동화 열에 표시됩니다.
참고: 관련 정책 자동화가 있는 정책을 삭제하면 정리의 일부로 정책 자동화가 자동으로 삭제됩니다.
정책 위반 자동화는 콘솔에서 생성됩니다.
2.7.4.3. CLI에서 정책 위반 자동화 생성
CLI에서 정책 위반 자동화를 구성하려면 다음 단계를 완료합니다.
-
터미널에서
oc login명령을 사용하여 Red Hat Advanced Cluster Management Hub 클러스터에 로그인합니다. - 자동화를 추가할 정책을 검색하거나 생성합니다. 정책 이름과 네임스페이스를 확인합니다.
다음 샘플을 가이드로 사용하여
PolicyAutomation리소스를 생성합니다.apiVersion: policy.open-cluster-management.io/v1beta1 kind: PolicyAutomation metadata: name: policyname-policy-automation spec: automationDef: extra_vars: your_var: your_value name: Policy Compliance Template secret: ansible-tower type: AnsibleJob mode: disabled policyRef: policyname-
이전 샘플의 자동화 템플릿 이름은
정책 준수 템플릿입니다. 작업 템플릿 이름과 일치하도록 해당 값을 변경합니다. -
extra_vars섹션에서 자동화 템플릿에 전달하는 데 필요한 매개변수를 추가합니다. -
모드를
한 번,everyEvent또는disabled로 설정합니다. -
policyRef를 정책 이름으로 설정합니다. -
Ansible Automation Platform 인증 정보가 포함된 이
PolicyAutomation리소스와 동일한 네임스페이스에 보안을 생성합니다. 이전 예에서 시크릿 이름은ansible-tower입니다. 애플리케이션 라이프사이클의 샘플을 사용하여 시크릿을 생성하는 방법을 확인합니다. PolicyAutomation리소스를 만듭니다.참고:
PolicyAutomation리소스에 다음 주석을 추가하여 정책 자동화를 즉시 실행할 수 있습니다.metadata: annotations: policy.open-cluster-management.io/rerun: "true"-
정책이 한
번이면 정책을 준수하지 않을 때 자동화가 실행됩니다.target_clusters라는extra_vars변수가 추가되고 이 값은 정책이 준수하지 않는 각 관리 클러스터 이름의 배열입니다. -
정책이
everyEvent모드에 있고DelayAfterRunSeconds가 정의된 시간 값을 초과하면 정책을 준수하지 않고 모든 정책 위반에 대해 자동화가 실행됩니다.
