Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

2.5. 지원되는 정책

Red Hat Advanced Cluster Management for Kubernetes에서 정책을 생성하고 관리할 때 hub 클러스터에서 규칙, 프로세스 및 제어를 정의하는 방법을 알아보려면 지원되는 정책을 확인하십시오.

2.5.1. 설정 정책 샘플
링크 복사

다음 샘플 구성 정책을 확인합니다.

Expand
표 2.7. 구성 정책 목록
정책 샘플설명

네임스페이스 정책

네임스페이스를 사용하여 일관된 환경 격리 및 이름 지정을 보장합니다. Kubernetes 네임스페이스 설명서를 참조하십시오.

Pod 정책

클러스터 워크로드 구성을 확인합니다. Kubernetes Pod 설명서를 참조하십시오.

메모리 사용량 정책

제한 범위를 사용하여 워크로드 리소스 사용량 제한. Limit Range 문서를 참조하십시오.

Pod 보안 정책 (더 이상 사용되지 않음)

일관된 워크로드 보안 보장. Kubernetes Pod 보안 정책 설명서를 참조하십시오.

역할 정책
역할 바인딩 정책

역할 및 역할 바인딩을 사용하여 역할 권한 및 바인딩을 관리합니다. Kubernetes RBAC 문서를 참조하십시오.

SCC(보안 콘텐츠 제약 조건) 정책

보안 컨텍스트 제약 조건으로 워크로드 권한을 관리합니다. Openshift 보안 컨텍스트 제약 조건 설명서를 참조하십시오.

ETCD 암호화 정책

etcd 암호화를 사용하여 데이터 보안을 확인하십시오. Openshift etcd 암호화 설명서를 참조하십시오.

컴플라이언스 Operator 정책

Compliance Operator를 배포하여 OpenSCAP을 활용하는 클러스터의 규정 준수 상태를 검사하고 시행합니다. Openshift Compliance Operator 설명서를 참조하십시오.

컴플라이언스 Operator E8 검사

Compliance Operator 정책을 적용한 후 Essential 8 (E8) 검사를 배포하여 E8 보안 프로필의 준수 여부를 확인합니다. Openshift Compliance Operator 설명서를 참조하십시오.

컴플라이언스 Operator CIS 검사

Compliance Operator 정책을 적용한 후 Center for Internet Security (CIS) 검사를 배포하여 CIS 보안 프로필의 준수 여부를 확인합니다. Openshift Compliance Operator 설명서를 참조하십시오.

이미지 취약점 정책

Container Security Operator를 배포하고 클러스터에서 실행되는 Pod의 알려진 이미지 취약점을 탐지합니다. Container Security Operator GitHub 를 참조하십시오.

게이트 키퍼 Operator 배포

Gatekeeper는OPA(Open Policy Agent) 정책 엔진에 의해 실행되는 CRD(사용자 정의 리소스 정의) 기반 정책을 적용하는 승인 Webhook입니다. Gatekeeper documentation을 참조하십시오.

게이트 키퍼 컴플라이언스 정책

클러스터에 Gatekeeper를 배포한 후 클러스터에서 생성된 네임스페이스가 지정된 대로 레이블이 지정되었는지 확인하는 이 샘플 Gatekeeper 정책을 배포합니다.

2.5.2. 즉시 사용 가능한 정책에 대한 지원 매트릭스
링크 복사

Expand
표 2.8. 지원 매트릭스
정책Red Hat OpenShift Container Platform 3.11Red Hat OpenShift Container Platform 4

메모리 사용량 정책

x

x

네임스페이스 정책

x

x

이미지 취약점 정책

x

x

Pod 정책

x

x

Pod 보안 정책(더 이상 사용되지 않음)

  

역할 정책

x

x

역할 바인딩 정책

x

x

SCC(보안 컨텍스트 제약 조건 정책)

x

x

ETCD 암호화 정책

 

x

게이트 키퍼 정책

 

x

컴플라이언스 Operator 정책

 

x

E8 검사 정책

 

x

OpenShift CIS 검사 정책

 

x

정책 세트

 

x

특정 정책이 적용되는 방법을 보려면 다음 정책 샘플을 확인합니다.

자세한 내용은 관리에서 참조하십시오.

2.5.3. 메모리 사용량 정책
링크 복사

Kubernetes 구성 정책 컨트롤러는 메모리 사용량 정책의 상태를 모니터링합니다. 메모리 사용 정책을 사용하여 메모리 및 컴퓨팅 사용량을 제한하거나 제한합니다. 자세한 내용은 Kubernetes 문서 의 제한 범위를 참조하십시오.

다음 섹션의 메모리 사용 정책 구조에 대해 자세히 알아보십시오.

2.5.3.1. 메모리 사용량 정책 YAML 구조
링크 복사

메모리 사용량 정책은 다음 YAML 파일과 유사합니다. 

apiVersion: policy.open-cluster-management.io/v1
kind: Policy
metadata:
  name:
  namespace:
  annotations:
    policy.open-cluster-management.io/standards:
    policy.open-cluster-management.io/categories:
    policy.open-cluster-management.io/controls:
spec:
  remediationAction:
  disabled:
  policy-templates:
    - objectDefinition:
        apiVersion: policy.open-cluster-management.io/v1
        kind: ConfigurationPolicy
        metadata:
          name:
        spec:
          remediationAction:
          severity:
          namespaceSelector:
            exclude:
            include:
            matchLabels:
            matchExpressions:
          object-templates:
            - complianceType: mustonlyhave
              objectDefinition:
                apiVersion: v1
                kind: LimitRange
                metadata:
                  name:
                spec:
                  limits:
                  - default:
                      memory:
                    defaultRequest:
                      memory:
                    type:
        ...
Copy to Clipboard Toggle word wrap

2.5.3.2. 메모리 사용량 정책 테이블
링크 복사

Expand
표 2.9. 매개변수 테이블
필드선택적 또는 필수설명

apiVersion

필수 항목

값을 policy.open-cluster-management.io/v1 로 설정합니다.

kind

필수 항목

정책 유형을 나타내려면 값을 Policy 로 설정합니다.

metadata.name

필수 항목

정책 리소스를 식별하는 이름입니다.

metadata.namespace

필수 항목

정책의 네임스페이스입니다.

spec.remediationAction

선택 사항

정책 수정을 지정합니다. 매개변수 값은 강제 시행정보 입니다. 이 값은 spec.policy-templates 에 제공된 값을 덮어쓰므로 선택 사항입니다.

spec.disabled

필수 항목

값을 true 또는 false 로 설정합니다. disabled 매개변수는 정책을 활성화하고 비활성화하는 기능을 제공합니다.

spec.policy-templates[].objectDefinition

필수 항목

관리 클러스터에 적용되거나 평가되어야 하는 Kubernetes 오브젝트가 포함된 구성 정책을 나열하는 데 사용합니다.

2.5.3.3. 메모리 사용량 정책 샘플
링크 복사

정책 샘플을 보려면 policy-limitmemory.yaml 을 참조하십시오. 자세한 내용은 보안 정책 관리를 참조하십시오. 정책 개요 문서 및 Kubernetes 구성 정책 컨트롤러를 참조하여 컨트롤러 에서 모니터링하는 다른 구성 정책을 확인합니다.

2.5.4. 네임스페이스 정책
링크 복사

Kubernetes 구성 정책 컨트롤러는 네임스페이스 정책의 상태를 모니터링합니다. 네임스페이스 정책을 적용하여 네임스페이스에 대한 특정 규칙을 정의합니다.

다음 섹션에서 네임스페이스 정책 구조에 대한 자세한 내용을 확인하십시오.

2.5.4.1. 네임스페이스 정책 YAML 구조
링크 복사

apiVersion: policy.open-cluster-management.io/v1
kind: Policy
metadata:
  name:
  namespace:
  annotations:
    policy.open-cluster-management.io/standards:
    policy.open-cluster-management.io/categories:
    policy.open-cluster-management.io/controls:
spec:
  remediationAction:
  disabled:
  policy-templates:
    - objectDefinition:
        apiVersion: policy.open-cluster-management.io/v1
        kind: ConfigurationPolicy
        metadata:
          name:
        spec:
          remediationAction:
          severity:
          object-templates:
            - complianceType:
              objectDefinition:
                kind: Namespace
                apiVersion: v1
                metadata:
                  name:
                ...
Copy to Clipboard Toggle word wrap

2.5.4.2. 네임스페이스 정책 YAML 테이블
링크 복사

Expand
필드선택적 또는 필수설명

apiVersion

필수 항목

값을 policy.open-cluster-management.io/v1 로 설정합니다.

kind

필수 항목

정책 유형을 나타내려면 값을 Policy 로 설정합니다.

metadata.name

필수 항목

정책 리소스를 식별하는 이름입니다.

metadata.namespace

필수 항목

정책의 네임스페이스입니다.

spec.remediationAction

선택 사항

정책 수정을 지정합니다. 매개변수 값은 강제 시행정보 입니다. 이 값은 spec.policy-templates 에 제공된 값을 덮어쓰므로 선택 사항입니다.

spec.disabled

필수 항목

값을 true 또는 false 로 설정합니다. disabled 매개변수는 정책을 활성화하고 비활성화하는 기능을 제공합니다.

spec.policy-templates[].objectDefinition

필수 항목

관리 클러스터에 적용되거나 평가되어야 하는 Kubernetes 오브젝트가 포함된 구성 정책을 나열하는 데 사용합니다.

2.5.4.3. 네임스페이스 정책 샘플
링크 복사

정책 샘플을 보려면 policy-namespace.yaml 을 참조하십시오.

자세한 내용은 보안 정책 관리를 참조하십시오. 다른 구성 정책에 대한 자세한 내용은 정책 개요 문서 및 Kubernetes 구성 정책 컨트롤러를 참조하십시오.

2.5.5. 이미지 취약점 정책
링크 복사

컨테이너 보안 Operator를 활용하여 컨테이너 이미지에 취약점이 있는지 감지하기 위해 이미지 취약점 정책을 적용합니다. 이 정책은 설치되지 않은 경우 관리 클러스터에 Container Security Operator를 설치합니다.

이미지 취약점 정책은 Kubernetes 구성 정책 컨트롤러에서 확인합니다. Security Operator에 대한 자세한 내용은 Quay 리포지토리Container Security Operator 를 참조하십시오.

참고:

자세한 내용은 다음 섹션을 참조하십시오.

2.5.5.1. 이미지 취약점 정책 YAML 구조
링크 복사

컨테이너 보안 Operator 정책을 생성할 때 다음 정책이 포함됩니다.

  • 이름과 채널을 참조하는 서브스크립션(container-security-operator)을 생성하는 정책입니다. 이 구성 정책에는 리소스를 생성하기 위해 적용되는 spec.remediationAction 이 설정되어 있어야 합니다. 서브스크립션은 서브스크립션이 지원하는 컨테이너로 프로필을 가져옵니다. 다음 예제를 확인합니다. 

    apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: policy-imagemanifestvuln-example-sub
spec:
  remediationAction: enforce  # will be overridden by remediationAction in parent policy
  severity: high
  object-templates:
    - complianceType: musthave
      objectDefinition:
        apiVersion: operators.coreos.com/v1alpha1
        kind: Subscription
        metadata:
          name: container-security-operator
          namespace: openshift-operators
        spec:
          # channel: quay-v3.3 # specify a specific channel if desired
          installPlanApproval: Automatic
          name: container-security-operator
          source: redhat-operators
          sourceNamespace: openshift-marketplace
    Copy to Clipboard Toggle word wrap

  • 컨테이너 보안 Operator 설치에 성공했는지 확인하기 위해 ClusterServiceVersion 을 감사하는 정보 구성 정책입니다. 다음 예제를 확인합니다. 

    apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: policy-imagemanifestvuln-status
spec:
  remediationAction: inform  # will be overridden by remediationAction in parent policy
  severity: high
  object-templates:
    - complianceType: musthave
      objectDefinition:
        apiVersion: operators.coreos.com/v1alpha1
        kind: ClusterServiceVersion
        metadata:
          namespace: openshift-operators
        spec:
          displayName: Red Hat Quay Container Security Operator
        status:
          phase: Succeeded   # check the CSV status to determine if operator is running or not
    Copy to Clipboard Toggle word wrap

  • 이미지 취약점 검사에 의해 ImageManifestVuln 오브젝트가 생성되었는지 여부를 감사하는 정보 구성 정책입니다. 다음 예제를 확인합니다. 

    apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: policy-imagemanifestvuln-example-imv
spec:
  remediationAction: inform  # will be overridden by remediationAction in parent policy
  severity: high
  namespaceSelector:
    exclude: ["kube-*"]
    include: ["*"]
  object-templates:
    - complianceType: mustnothave # mustnothave any ImageManifestVuln object
      objectDefinition:
        apiVersion: secscan.quay.redhat.com/v1alpha1
        kind: ImageManifestVuln # checking for a Kind
    Copy to Clipboard Toggle word wrap

2.5.5.2. 이미지 취약점 정책 샘플
링크 복사

policy-imagemanifestvuln.yaml 을 참조하십시오. 자세한 내용은 보안 정책 관리를 참조하십시오. 구성 컨트롤러에서 모니터링하는 다른 구성 정책을 보려면 Kubernetes 구성 정책 컨트롤러를 참조하십시오.

2.5.6. Pod 정책
링크 복사

Kubernetes 구성 정책 컨트롤러는 Pod 정책의 상태를 모니터링합니다. Pod 정책을 적용하여 Pod의 컨테이너 규칙을 정의합니다. 이 정보를 사용하려면 클러스터에 Pod가 있어야 합니다.

다음 섹션의 Pod 정책 구조에 대한 자세한 내용을 확인하십시오.

2.5.6.1. Pod 정책 YAML 구조
링크 복사

apiVersion: policy.open-cluster-management.io/v1
kind: Policy
metadata:
  name:
  namespace:
  annotations:
    policy.open-cluster-management.io/standards:
    policy.open-cluster-management.io/categories:
    policy.open-cluster-management.io/controls:
spec:
  remediationAction:
  disabled:
  policy-templates:
    - objectDefinition:
        apiVersion: policy.open-cluster-management.io/v1
        kind: ConfigurationPolicy
        metadata:
          name:
        spec:
          remediationAction:
          severity:
          namespaceSelector:
            exclude:
            include:
            matchLabels:
            matchExpressions:
          object-templates:
            - complianceType:
              objectDefinition:
                apiVersion: v1
                kind: Pod
                metadata:
                  name:
                spec:
                  containers:
                  - image:
                    name:
                ...
Copy to Clipboard Toggle word wrap

2.5.6.2. Pod 정책 테이블
링크 복사

Expand
표 2.10. 매개변수 테이블
필드선택적 또는 필수설명

apiVersion

필수 항목

값을 policy.open-cluster-management.io/v1 로 설정합니다.

kind

필수 항목

정책 유형을 나타내려면 값을 Policy 로 설정합니다.

metadata.name

필수 항목

정책 리소스를 식별하는 이름입니다.

metadata.namespace

필수 항목

정책의 네임스페이스입니다.

spec.remediationAction

선택 사항

정책 수정을 지정합니다. 매개변수 값은 강제 시행정보 입니다. 이 값은 spec.policy-templates 에 제공된 값을 덮어쓰므로 선택 사항입니다.

spec.disabled

필수 항목

값을 true 또는 false 로 설정합니다. disabled 매개변수는 정책을 활성화하고 비활성화하는 기능을 제공합니다.

spec.policy-templates[].objectDefinition

필수 항목

관리 클러스터에 적용되거나 평가되어야 하는 Kubernetes 오브젝트가 포함된 구성 정책을 나열하는 데 사용합니다.

2.5.6.3. Pod 정책 샘플
링크 복사

정책 샘플을 보려면 policy-pod.yaml 을 참조하십시오.

Kubernetes 구성 정책 컨트롤러를 참조하여 구성 컨트롤러에서 모니터링하는 다른 구성 정책을 확인하고 정책 개요 설명서를 참조하여 정책 YAML 구조 및 추가 필드에 대한 전체 설명을 참조하십시오. 다른 정책을 관리하려면 구성 정책 관리 문서로 돌아갑니다.

2.5.7. Pod 보안 정책(더 이상 사용되지 않음)
링크 복사

Kubernetes 구성 정책 컨트롤러는 Pod 보안 정책의 상태를 모니터링합니다. Pod 보안 정책을 적용하여 Pod 및 컨테이너를 보호합니다.

다음 섹션의 Pod 보안 정책 구조에 대해 자세히 알아보십시오.

2.5.7.1. Pod 보안 정책 YAML 구조
링크 복사

apiVersion: policy.open-cluster-management.io/v1
kind: Policy
metadata:
  name:
  namespace:
  annotations:
    policy.open-cluster-management.io/standards:
    policy.open-cluster-management.io/categories:
    policy.open-cluster-management.io/controls:
spec:
  remediationAction:
  disabled:
  policy-templates:
    - objectDefinition:
        apiVersion: policy.open-cluster-management.io/v1
        kind: ConfigurationPolicy
        metadata:
          name:
        spec:
          remediationAction:
          severity:
          namespaceSelector:
            exclude:
            include:
            matchLabels:
            matchExpressions:
          object-templates:
            - complianceType:
              objectDefinition:
                apiVersion: policy/v1beta1
                kind: PodSecurityPolicy
                metadata:
                  name:
                  annotations:
                    seccomp.security.alpha.kubernetes.io/allowedProfileNames:
                spec:
                  privileged:
                  allowPrivilegeEscalation:
                  allowedCapabilities:
                  volumes:
                  hostNetwork:
                  hostPorts:
                  hostIPC:
                  hostPID:
                  runAsUser:
                  seLinux:
                  supplementalGroups:
                  fsGroup:
                ...
Copy to Clipboard Toggle word wrap

2.5.7.2. Pod 보안 정책 테이블
링크 복사

Expand
표 2.11. 매개변수 테이블
필드선택적 또는 필수설명

apiVersion

필수 항목

값을 policy.open-cluster-management.io/v1 로 설정합니다.

kind

필수 항목

정책 유형을 나타내려면 값을 Policy 로 설정합니다.

metadata.name

필수 항목

정책 리소스를 식별하는 이름입니다.

metadata.namespace

필수 항목

정책의 네임스페이스입니다.

spec.remediationAction

선택 사항

정책 수정을 지정합니다. 매개변수 값은 강제 시행정보 입니다. 이 값은 spec.policy-templates 에 제공된 값을 덮어쓰므로 선택 사항입니다.

spec.disabled

필수 항목

값을 true 또는 false 로 설정합니다. disabled 매개변수는 정책을 활성화하고 비활성화하는 기능을 제공합니다.

spec.policy-templates[].objectDefinition

필수 항목

관리 클러스터에 적용되거나 평가되어야 하는 Kubernetes 오브젝트가 포함된 구성 정책을 나열하는 데 사용합니다.

2.5.7.3. Pod 보안 정책 샘플
링크 복사

Pod 보안 정책은 OpenShift Container Platform 4.12 이상에서 및 Kubernetes v1.25 이상에서 제거됩니다. PodSecurityPolicy 리소스를 적용하면 다음과 같은 비호환 메시지가 표시될 수 있습니다. 

violation - couldn't find mapping resource with kind PodSecurityPolicy, please check if you have CRD deployed
Copy to Clipboard Toggle word wrap

2.5.8. 역할 정책
링크 복사

Kubernetes 구성 정책 컨트롤러는 역할 정책의 상태를 모니터링합니다. object-template 에서 역할을 정의하여 클러스터의 특정 역할에 대한 규칙과 권한을 설정합니다.

다음 섹션의 역할 정책 구조에 대해 자세히 알아보십시오.

2.5.8.1. 역할 정책 YAML 구조
링크 복사

apiVersion: policy.open-cluster-management.io/v1
kind: Policy
metadata:
  name:
  namespace:
  annotations:
    policy.open-cluster-management.io/standards:
    policy.open-cluster-management.io/categories:
    policy.open-cluster-management.io/controls:
spec:
  remediationAction:
  disabled:
  policy-templates:
    - objectDefinition:
        apiVersion: policy.open-cluster-management.io/v1
        kind: ConfigurationPolicy
        metadata:
          name:
        spec:
          remediationAction:
          severity:
          namespaceSelector:
            exclude:
            include:
            matchLabels:
            matchExpressions:
          object-templates:
            - complianceType:
              objectDefinition:
                apiVersion: rbac.authorization.k8s.io/v1
                kind: Role
                metadata:
                  name:
                rules:
                  - apiGroups:
                    resources:
                    verbs:
                ...
---
apiVersion: policy.open-cluster-management.io/v1
kind: PlacementBinding
metadata:
  name: binding-policy-role
  namespace:
placementRef:
  name: placement-policy-role
  kind: PlacementRule
  apiGroup: apps.open-cluster-management.io
subjects:
- name: policy-role
  kind: Policy
  apiGroup: policy.open-cluster-management.io
---
apiVersion: apps.open-cluster-management.io/v1
kind: PlacementRule
metadata:
  name: placement-policy-role
  namespace:
spec:
  clusterConditions:
    - type: ManagedClusterConditionAvailable
      status: "True"
  clusterSelector:
    matchExpressions:
      []

         ...
Copy to Clipboard Toggle word wrap

2.5.8.2. 역할 정책 테이블
링크 복사

Expand
표 2.12. 매개변수 테이블
필드선택적 또는 필수설명

apiVersion

필수 항목

값을 policy.open-cluster-management.io/v1 로 설정합니다.

kind

필수 항목

정책 유형을 나타내려면 값을 Policy 로 설정합니다.

metadata.name

필수 항목

정책 리소스를 식별하는 이름입니다.

metadata.namespace

필수 항목

정책의 네임스페이스입니다.

spec.remediationAction

선택 사항

정책 수정을 지정합니다. 매개변수 값은 강제 시행정보 입니다. 이 값은 spec.policy-templates 에 제공된 값을 덮어쓰므로 선택 사항입니다.

spec.disabled

필수 항목

값을 true 또는 false 로 설정합니다. disabled 매개변수는 정책을 활성화하고 비활성화하는 기능을 제공합니다.

spec.policy-templates[].objectDefinition

필수 항목

관리 클러스터에 적용되거나 평가되어야 하는 Kubernetes 오브젝트가 포함된 구성 정책을 나열하는 데 사용합니다.

2.5.8.3. 역할 정책 샘플
링크 복사

클러스터의 특정 역할에 대한 규칙과 권한을 설정하기 위해 역할 정책을 적용합니다. 역할에 대한 자세한 내용은 역할 기반 액세스 제어를 참조하십시오. 역할 정책의 샘플을 확인합니다. policy-role.yaml 을 참조하십시오.

역할 정책을 관리하는 방법에 대한 자세한 내용은 구성 정책 관리를 참조하십시오. 컨트롤러를 모니터링하는 다른 구성 정책을 보려면 Kubernetes 구성 정책 컨트롤러를 참조하십시오.

2.5.9. 역할 바인딩 정책
링크 복사

Kubernetes 구성 정책 컨트롤러는 역할 바인딩 정책의 상태를 모니터링합니다. 관리 클러스터의 네임스페이스에 정책을 바인딩하려면 역할 바인딩 정책을 적용합니다.

다음 섹션에서 네임스페이스 정책 구조에 대한 자세한 내용을 확인하십시오.

2.5.9.1. 역할 바인딩 정책 YAML 구조
링크 복사

apiVersion: policy.open-cluster-management.io/v1
kind: Policy
metadata:
  name:
  namespace:
  annotations:
    policy.open-cluster-management.io/standards:
    policy.open-cluster-management.io/categories:
    policy.open-cluster-management.io/controls:
spec:
  remediationAction:
  disabled:
  policy-templates:
    - objectDefinition:
        apiVersion: policy.open-cluster-management.io/v1
        kind: ConfigurationPolicy
        metadata:
          name:
        spec:
          remediationAction:
          severity:
          namespaceSelector:
            exclude:
            include:
            matchLabels:
            matchExpressions:
          object-templates:
            - complianceType:
              objectDefinition:
                kind: RoleBinding # role binding must exist
                apiVersion: rbac.authorization.k8s.io/v1
                metadata:
                  name:
                subjects:
                - kind:
                  name:
                  apiGroup:
                roleRef:
                  kind:
                  name:
                  apiGroup:
                ...
Copy to Clipboard Toggle word wrap

2.5.9.2. 역할 바인딩 정책 테이블
링크 복사

Expand
필드선택적 또는 필수설명

apiVersion

필수 항목

값을 policy.open-cluster-management.io/v1 로 설정합니다.

kind

필수 항목

정책 유형을 나타내려면 값을 Policy 로 설정합니다.

metadata.name

필수 항목

정책 리소스를 식별하는 이름입니다.

metadata.namespace

필수 항목

정책의 네임스페이스입니다.

spec.remediationAction

선택 사항

정책 수정을 지정합니다. 매개변수 값은 강제 시행정보 입니다. 이 값은 spec.policy-templates 에 제공된 값을 덮어쓰므로 선택 사항입니다.

spec.disabled

필수 항목

값을 true 또는 false 로 설정합니다. disabled 매개변수는 정책을 활성화하고 비활성화하는 기능을 제공합니다.

spec.policy-templates[].objectDefinition

필수 항목

관리 클러스터에 적용되거나 평가되어야 하는 Kubernetes 오브젝트가 포함된 구성 정책을 나열하는 데 사용합니다.

2.5.9.3. 역할 바인딩 정책 샘플
링크 복사

정책 샘플을 보려면 policy-rolebinding.yaml 을 참조하십시오. 정책 YAML 구조 및 추가 필드에 대한 자세한 내용은 정책 개요 설명서 를 참조하십시오. 기타 구성 정책에 대한 자세한 내용은 Kubernetes 구성 정책 컨트롤러 설명서를 참조하십시오.

2.5.10. 보안 컨텍스트 제약 조건 정책
링크 복사

Kubernetes 구성 정책 컨트롤러는 SCC(보안 컨텍스트 제약 조건) 정책의 상태를 모니터링합니다. 정책에서 조건을 정의하여 Pod에 대한 권한을 제어하는 SCC(보안 컨텍스트 제약 조건) 정책을 적용합니다.

다음 섹션에서 SCC 정책에 대해 자세히 알아보십시오.

2.5.10.1. SCC 정책 YAML 구조
링크 복사

apiVersion: policy.open-cluster-management.io/v1
kind: Policy
metadata:
  name:
  namespace:
  annotations:
    policy.open-cluster-management.io/standards:
    policy.open-cluster-management.io/categories:
    policy.open-cluster-management.io/controls:
spec:
  remediationAction:
  disabled:
  policy-templates:
    - objectDefinition:
        apiVersion: policy.open-cluster-management.io/v1
        kind: ConfigurationPolicy
        metadata:
          name:
        spec:
          remediationAction:
          severity:
          namespaceSelector:
            exclude:
            include:
            matchLabels:
            matchExpressions:
          object-templates:
            - complianceType:
              objectDefinition:
                apiVersion: security.openshift.io/v1
                kind: SecurityContextConstraints
                metadata:
                  name:
                allowHostDirVolumePlugin:
                allowHostIPC:
                allowHostNetwork:
                allowHostPID:
                allowHostPorts:
                allowPrivilegeEscalation:
                allowPrivilegedContainer:
                fsGroup:
                readOnlyRootFilesystem:
                requiredDropCapabilities:
                runAsUser:
                seLinuxContext:
                supplementalGroups:
                users:
                volumes:
                ...
Copy to Clipboard Toggle word wrap

2.5.10.2. SCC 정책 테이블
링크 복사

Expand
필드선택적 또는 필수설명

apiVersion

필수 항목

값을 policy.open-cluster-management.io/v1 로 설정합니다.

kind

필수 항목

정책 유형을 나타내려면 값을 Policy 로 설정합니다.

metadata.name

필수 항목

정책 리소스를 식별하는 이름입니다.

metadata.namespace

필수 항목

정책의 네임스페이스입니다.

spec.remediationAction

선택 사항

정책 수정을 지정합니다. 매개변수 값은 강제 시행정보 입니다. 이 값은 spec.policy-templates 에 제공된 값을 덮어쓰므로 선택 사항입니다.

spec.disabled

필수 항목

값을 true 또는 false 로 설정합니다. disabled 매개변수는 정책을 활성화하고 비활성화하는 기능을 제공합니다.

spec.policy-templates[].objectDefinition

필수 항목

관리 클러스터에 적용되거나 평가되어야 하는 Kubernetes 오브젝트가 포함된 구성 정책을 나열하는 데 사용합니다.

SCC 정책의 콘텐츠에 대한 자세한 내용은 OpenShift Container Platform 설명서에서 보안 컨텍스트 제약 조건 관리를 참조하십시오.

2.5.10.3. SCC 정책 샘플
링크 복사

정책에서 조건을 정의하여 Pod에 대한 권한을 제어하는 SCC(보안 컨텍스트 제약 조건) 정책을 적용합니다. 자세한 내용은 Managing Security Context Constraints (SCC) 에서 참조하십시오.

정책 샘플을 보려면 policy-scc.yaml 을 참조하십시오. 정책 YAML 구조 및 추가 필드에 대한 자세한 내용은 정책 개요 설명서를 참조하십시오. 기타 구성 정책에 대한 자세한 내용은 Kubernetes 구성 정책 컨트롤러 설명서를 참조하십시오.

2.5.11. ETCD 암호화 정책
링크 복사

etcd 암호화 정책을 적용하여 ETCD 데이터 저장소에서 중요한 데이터의 암호화를 감지하거나 활성화합니다. Kubernetes 구성 정책 컨트롤러는 etcd-encryption 정책의 상태를 모니터링합니다. 자세한 내용은 OpenShift Container Platform 설명서의 etcd 데이터 암호화 를 참조하십시오. 참고: ETCD 암호화 정책은 Red Hat OpenShift Container Platform 4 이상만 지원합니다.

다음 섹션에서 etcd-encryption 정책 구조에 대한 자세한 내용을 확인하십시오.

2.5.11.1. ETCD 암호화 정책 YAML 구조
링크 복사

etcd-encryption 정책은 다음 YAML 파일과 유사합니다. 

apiVersion: policy.open-cluster-management.io/v1
kind: Policy
metadata:
  name:
  namespace:
  annotations:
    policy.open-cluster-management.io/standards:
    policy.open-cluster-management.io/categories:
    policy.open-cluster-management.io/controls:
spec:
  remediationAction:
  disabled:
  policy-templates:
    - objectDefinition:
        apiVersion: policy.open-cluster-management.io/v1
        kind: ConfigurationPolicy
        metadata:
          name:
        spec:
          remediationAction:
          severity:
          object-templates:
            - complianceType:
              objectDefinition:
                apiVersion: config.openshift.io/v1
                kind: APIServer
                metadata:
                  name:
                spec:
                  encryption:
                ...
Copy to Clipboard Toggle word wrap

2.5.11.2. ETCD 암호화 정책 테이블
링크 복사

Expand
표 2.13. 매개변수 테이블
필드선택적 또는 필수설명

apiVersion

필수 항목

값을 policy.open-cluster-management.io/v1 로 설정합니다.

kind

필수 항목

정책 유형을 나타내려면 값을 Policy 로 설정합니다.

metadata.name

필수 항목

정책 리소스를 식별하는 이름입니다.

metadata.namespace

필수 항목

정책의 네임스페이스입니다.

spec.remediationAction

선택 사항

정책 수정을 지정합니다. 매개변수 값은 강제 시행정보 입니다. 이 값은 spec.policy-templates 에 제공된 값을 덮어쓰므로 선택 사항입니다.

spec.disabled

필수 항목

값을 true 또는 false 로 설정합니다. disabled 매개변수는 정책을 활성화하고 비활성화하는 기능을 제공합니다.

spec.policy-templates[].objectDefinition

필수 항목

관리 클러스터에 적용되거나 평가되어야 하는 Kubernetes 오브젝트가 포함된 구성 정책을 나열하는 데 사용합니다.

2.5.11.3. ETCD 암호화 정책 샘플
링크 복사

정책 샘플은 policy-etcdencryption.yaml 을 참조하십시오. 정책 및 구성 정책 필드에 대한 자세한 내용은 정책 개요 문서 및 Kubernetes 구성 정책 컨트롤러를 참조하십시오.

2.5.12. 컴플라이언스 Operator 정책
링크 복사

Compliance Operator는 OpenSCAP을 실행하는 Operator이며 필요한 보안 벤치마크와 함께 Red Hat OpenShift Container Platform 클러스터를 계속 준수할 수 있습니다. Compliance Operator 정책을 사용하여 관리 클러스터에 규정 준수 Operator를 설치할 수 있습니다.

규정 준수 Operator 정책은 Red Hat Advanced Cluster Management에서 Kubernetes 구성 정책으로 생성됩니다. OpenShift Container Platform 4.7 및 4.6은 규정 준수 Operator 정책을 지원합니다. 자세한 내용은 OpenShift Container Platform 설명서 의 Compliance Operator 이해를 참조하십시오.

참고: Compliance Operator 정책은 IBM Power 또는 IBM Z 아키텍처에서 지원되지 않는 OpenShift Container Platform Compliance Operator를 사용합니다. Compliance Operator에 대한 자세한 내용은 OpenShift Container Platform 설명서의 Compliance Operator 이해를 참조하십시오.

2.5.12.1. Compliance Operator 리소스
링크 복사

규정 준수 Operator 정책을 생성하면 다음 리소스가 생성됩니다.

  • Operator 설치를 위한 컴플라이언스 Operator 네임스페이스(openshift-compliance) 
apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: comp-operator-ns
spec:
  remediationAction: inform # will be overridden by remediationAction in parent policy
  severity: high
  object-templates:
    - complianceType: musthave
      objectDefinition:
        apiVersion: v1
        kind: Namespace
        metadata:
          name: openshift-compliance
Copy to Clipboard Toggle word wrap
  • 대상 네임스페이스를 지정하는 Operator 그룹(compliance-operator)입니다. 
apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: comp-operator-operator-group
spec:
  remediationAction: inform # will be overridden by remediationAction in parent policy
  severity: high
  object-templates:
    - complianceType: musthave
      objectDefinition:
        apiVersion: operators.coreos.com/v1
        kind: OperatorGroup
        metadata:
          name: compliance-operator
          namespace: openshift-compliance
        spec:
          targetNamespaces:
            - openshift-compliance
Copy to Clipboard Toggle word wrap
  • 이름과 채널을 참조하는 서브스크립션(comp-operator-subscription)입니다. 서브스크립션은 다음을 지원하는 컨테이너로 프로필을 가져옵니다. 
apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: comp-operator-subscription
spec:
  remediationAction: inform  # will be overridden by remediationAction in parent policy
  severity: high
  object-templates:
    - complianceType: musthave
      objectDefinition:
        apiVersion: operators.coreos.com/v1alpha1
        kind: Subscription
        metadata:
          name: compliance-operator
          namespace: openshift-compliance
        spec:
          channel: "4.7"
          installPlanApproval: Automatic
          name: compliance-operator
          source: redhat-operators
          sourceNamespace: openshift-marketplace
Copy to Clipboard Toggle word wrap

컴플라이언스 운영자 정책을 설치하면 compliance-operator,ocp4rhcos4 의 포드가 생성됩니다. policy-compliance-operator-install.yaml 샘플을 참조하십시오.

규정 준수 Operator를 설치한 후 E8 검사 정책 및 OpenShift CIS 검사 정책을 생성하고 적용할 수도 있습니다. 자세한 내용은 E8 검사 정책OpenShift CIS 스캔 정책을 참조하십시오.

규정 준수 운영자 정책 관리에 대한 자세한 내용은 보안 정책 관리를 참조하십시오. 구성 정책에 대한 자세한 내용은 Kubernetes 구성 정책 컨트롤러를 참조하십시오.

2.5.13. E8 검사 정책
링크 복사

Essential 8 (E8) 검사 정책은 마스터 및 작업자 노드에서 E8 보안 프로필을 준수하는지 확인하는 검사를 배포합니다. E8 검사 정책을 적용하려면 규정 준수 Operator를 설치해야 합니다.

E8 검사 정책은 Red Hat Advanced Cluster Management에서 Kubernetes 구성 정책으로 생성됩니다. OpenShift Container Platform 4.7 및 4.6에서는 E8 검사 정책을 지원합니다. 자세한 내용은 OpenShift Container Platform 설명서 의 Compliance Operator 이해를 참조하십시오.

2.5.13.1. E8 검사 정책 리소스
링크 복사

E8 검사 정책을 생성하면 다음 리소스가 생성됩니다.

  • 검사할 프로필을 식별하는 ScanSettingBinding 리소스(e8)입니다. 

    apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: compliance-suite-e8
spec:
  remediationAction: inform
  severity: high
  object-templates:
    - complianceType: musthave # this template checks if scan has completed by checking the status field
      objectDefinition:
        apiVersion: compliance.openshift.io/v1alpha1
        kind: ScanSettingBinding
        metadata:
          name: e8
          namespace: openshift-compliance
        profiles:
        - apiGroup: compliance.openshift.io/v1alpha1
          kind: Profile
          name: ocp4-e8
        - apiGroup: compliance.openshift.io/v1alpha1
          kind: Profile
          name: rhcos4-e8
        settingsRef:
          apiGroup: compliance.openshift.io/v1alpha1
          kind: ScanSetting
          name: default
    Copy to Clipboard Toggle word wrap

  • status 필드를 확인하여 검사가 완료되었는지 확인하는 ComplianceSuite 리소스(compliance-suite-e8)입니다. 

    apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: compliance-suite-e8
spec:
  remediationAction: inform
  severity: high
  object-templates:
    - complianceType: musthave # this template checks if scan has completed by checking the status field
      objectDefinition:
        apiVersion: compliance.openshift.io/v1alpha1
        kind: ComplianceSuite
        metadata:
          name: e8
          namespace: openshift-compliance
        status:
          phase: DONE
    Copy to Clipboard Toggle word wrap

  • ComplianceCheckResult CR(사용자 정의 리소스)을 확인하여 검사 모음의 결과를 보고하는 ComplianceCheckResult 리소스(compliance-suite-e8-results)입니다. 

    apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: compliance-suite-e8-results
spec:
  remediationAction: inform
  severity: high
  object-templates:
    - complianceType: mustnothave # this template reports the results for scan suite: e8 by looking at ComplianceCheckResult CRs
      objectDefinition:
        apiVersion: compliance.openshift.io/v1alpha1
        kind: ComplianceCheckResult
        metadata:
          namespace: openshift-compliance
          labels:
            compliance.openshift.io/check-status: FAIL
            compliance.openshift.io/suite: e8
    Copy to Clipboard Toggle word wrap

참고: 자동 수정이 지원됩니다. ScanSettingBinding 리소스를 생성하기 위해 적용 되도록 수정 작업을 설정합니다.

policy-compliance-operator-e8-scan.yaml 샘플을 참조하십시오. 자세한 내용은 보안 정책 관리를 참조하십시오. 참고: E8 정책이 삭제되면 대상 클러스터 또는 클러스터에서 제거됩니다.

2.5.14. OpenShift CIS 검사 정책
링크 복사

OpenShift CIS 검사 정책은 마스터 및 작업자 노드를 확인하여 OpenShift CIS 보안 벤치마크를 준수하는 검사를 배포합니다. OpenShift CIS 정책을 적용하려면 규정 준수 Operator를 설치해야 합니다.

OpenShift CIS 검사 정책은 Red Hat Advanced Cluster Management에서 Kubernetes 구성 정책으로 생성됩니다. OpenShift Container Platform 4.9, 4.7 및 4.6은 OpenShift CIS 검사 정책을 지원합니다. 자세한 내용은 OpenShift Container Platform 설명서 의 Compliance Operator 이해를 참조하십시오.

2.5.14.1. OpenShift CIS 리소스
링크 복사

OpenShift CIS 검사 정책을 생성하면 다음 리소스가 생성됩니다.

  • 검사할 프로필을 식별하는 ScanSettingBinding 리소스(cis)입니다. 

    apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: compliance-cis-scan
spec:
  remediationAction: inform
  severity: high
  object-templates:
    - complianceType: musthave # this template creates ScanSettingBinding:cis
      objectDefinition:
        apiVersion: compliance.openshift.io/v1alpha1
        kind: ScanSettingBinding
        metadata:
          name: cis
          namespace: openshift-compliance
        profiles:
        - apiGroup: compliance.openshift.io/v1alpha1
          kind: Profile
          name: ocp4-cis
        - apiGroup: compliance.openshift.io/v1alpha1
          kind: Profile
          name: ocp4-cis-node
        settingsRef:
          apiGroup: compliance.openshift.io/v1alpha1
          kind: ScanSetting
          name: default
    Copy to Clipboard Toggle word wrap

  • status 필드를 확인하여 검사가 완료되었는지 확인하는 ComplianceSuite 리소스(compliance-suite-cis) 

    apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: compliance-suite-cis
spec:
  remediationAction: inform
  severity: high
  object-templates:
    - complianceType: musthave # this template checks if scan has completed by checking the status field
      objectDefinition:
        apiVersion: compliance.openshift.io/v1alpha1
        kind: ComplianceSuite
        metadata:
          name: cis
          namespace: openshift-compliance
        status:
          phase: DONE
    Copy to Clipboard Toggle word wrap

  • ComplianceCheckResult CR(사용자 정의 리소스)을 확인하여 검사 모음의 결과를 보고하는 ComplianceCheckResult 리소스(compliance-suite-cis-results)입니다. 

    apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: compliance-suite-cis-results
spec:
  remediationAction: inform
  severity: high
  object-templates:
    - complianceType: mustnothave # this template reports the results for scan suite: cis by looking at ComplianceCheckResult CRs
      objectDefinition:
        apiVersion: compliance.openshift.io/v1alpha1
        kind: ComplianceCheckResult
        metadata:
          namespace: openshift-compliance
          labels:
            compliance.openshift.io/check-status: FAIL
            compliance.openshift.io/suite: cis
    Copy to Clipboard Toggle word wrap

policy-compliance-operator-cis-scan.yaml 파일의 샘플을 참조하십시오. 정책 생성에 대한 자세한 내용은 보안 정책 관리를 참조하십시오.

Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2026 Red Hat맨 위로 이동