Red Hat SummitThis documentation is for a release that is no longer maintained.
You can select a different version or view all RHACS documentation.4장. 승인 컨트롤러 적용 사용
Red Hat Advanced Cluster Security for Kubernetes는 Kubernetes 승인 컨트롤러 및 OpenShift Container Platform 승인 플러그인과 함께 작동하므로 Kubernetes 또는 OpenShift Container Platform에서 워크로드를 생성하기 전에 보안 정책을 적용할 수 있습니다(예: 배포, 데몬 세트 또는 작업). Red Hat Advanced Cluster Security for Kubernetes 승인 컨트롤러는 사용자가 Red Hat Advanced Cluster Security for Kubernetes에서 구성한 정책을 위반하는 워크로드를 생성하지 못하도록 합니다. Kubernetes 버전 3.0.41용 Red Hat Advanced Cluster Security부터 정책을 위반하는 워크로드 업데이트를 방지하도록 승인 컨트롤러를 구성할 수도 있습니다.
Red Hat Advanced Cluster Security for Kubernetes는 ValidatingAdmissionWebhook 컨트롤러를 사용하여 프로비저닝 중인 리소스가 지정된 보안 정책을 준수하는지 확인합니다. 이를 처리하기 위해 Red Hat Advanced Cluster Security for Kubernetes는 여러 웹 후크 규칙이 포함된 ValidatingWebhookConfiguration 을 생성합니다. Kubernetes 또는 OpenShift Container Platform API 서버에서 웹 후크 규칙 중 하나와 일치하는 요청을 수신하면 API 서버에서 AdmissionReview 요청을 Red Hat Advanced Cluster Security for Kubernetes에 보냅니다. Red Hat Advanced Cluster Security for Kubernetes는 구성된 보안 정책을 기반으로 요청을 수락하거나 거부합니다.
OpenShift Container Platform에서 승인 컨트롤러 적용을 사용하려면 Red Hat Advanced Cluster Security for Kubernetes 버전 3.0.49 이상이 필요합니다.
4.1. 승인 컨트롤러 적용 활성화
승인 컨트롤러 적용을 사용하려면 다음을 고려하십시오.
- API 대기 시간: 승인 컨트롤러 적용을 사용하면 추가 API 검증 요청이 포함되므로 Kubernetes 또는 OpenShift Container Platform API 대기 시간이 증가합니다. fabric8과 같은 많은 표준 Kubernetes 라이브러리에는 기본적으로 짧은 Kubernetes 또는 OpenShift Container Platform API 시간이 있습니다. 또한 사용 중인 사용자 지정 자동화에서 API 시간 초과를 고려하십시오.
이미지 스캔: 클러스터 구성 패널에서 연락처 이미지 스캐너 옵션을 설정하여 요청을 검토하면서 승인 컨트롤러가 이미지 를 스캔하는지 여부를 선택할 수 있습니다.
- 이 설정을 활성화하면 검사 결과를 사용할 수 없는 경우 Red Hat Advanced Cluster Security for Kubernetes contacts 이미지 스캐너를 사용하여 상당한 대기 시간을 추가합니다.
이 설정을 비활성화하면 캐시된 검사 결과를 사용할 수 있는 경우에만 시행 결정에서는 이미지 검사 기준만 고려합니다.
-
Red Hat Advanced Cluster Security for Kubernetes 버전 3.0.41 이상의 경우 캐시된 검사 결과는 이미지 다이제스트(
@sha256:...)에서 참조하는 이미지에만 사용할 수 있습니다.
-
Red Hat Advanced Cluster Security for Kubernetes 버전 3.0.41 이상의 경우 캐시된 검사 결과는 이미지 다이제스트(
다음을 위해 승인 컨트롤러 적용을 사용할 수 있습니다.
-
Pod
securityContext의 옵션. - 배포 구성.
- 이미지 구성 요소 및 취약점.
-
Pod
다음을 위해 허용 컨트롤러 적용을 사용할 수 없습니다.
- 프로세스와 같은 런타임 동작입니다.
- 포트 노출을 기반으로 하는 모든 정책입니다.
-
Kubernetes 또는 OpenShift Container Platform API 서버와 Red Hat Advanced Cluster Security for Kubernetes Sensor 간에 연결 문제가 있는 경우 허용 컨트롤러가 실패할 수 있습니다. 이 문제를 해결하려면 승인 컨트롤러 적용 섹션에 설명된 대로
ValidatingWebhookConfiguration오브젝트를 삭제합니다. - 정책에 대한 배포 시간 적용이 활성화되고 승인 컨트롤러를 활성화하면 Red Hat Advanced Cluster Security for Kubernetes가 정책을 위반하는 배포를 차단하려고 합니다. 예를 들어 시간 제한이 있는 경우 Red Hat Advanced Cluster Security for Kubernetes는 비호환 배포가 허용 컨트롤러 (예: 0개 복제본으로 스케일링)와 같은 기타 배포 시간 적용 메커니즘을 계속 적용합니다.
4.1.1. Red Hat Advanced Cluster Security for Kubernetes 버전 3.0.55 이상에서 허용 컨트롤러 적용 활성화
Sensor를 설치하거나 기존 클러스터 구성 을 편집할 때 클러스터 보기에서 승인 컨트롤러 적용을 활성화할 수 있습니다.
Kubernetes 버전 3.0.55.0용 Red Hat Advanced Cluster Security부터 승인 컨트롤러 웹 후크가 기본적으로 클러스터에 배포됩니다.
절차
-
RHACS 포털에서 플랫폼 구성
클러스터 로 이동합니다. - 목록에서 기존 클러스터를 선택하거나 + New Cluster 를 선택합니다.
- 클러스터 구성 패널에서 클러스터의 세부 정보를 입력합니다.
- 허용 컨트롤러를 사용하여 오브젝트 생성 이벤트에 적용하려는 경우 Configure Admission Controller Webhook가 생성 토글만 수신 대기하도록 설정하는 것이 좋습니다.
- 승인 컨트롤러를 사용하여 업데이트 이벤트에 적용하려는 경우 Configure Admission Controller Webhook에서 업데이트 토글만 수신하도록 설정하는 것이 좋습니다.
- 허용 컨트롤러를 사용하여 Pod 실행 및 Pod 포트 전달 이벤트를 적용하려면 Enable Admission Controller Webhook에서 exec 및 port- forward 이벤트 토글만 사용하도록 설정하는 것이 좋습니다.
다음 옵션을 설정합니다.
- Object Creates: 이 토글은 허용 제어 서비스의 동작을 제어합니다. 이 작업이 작동하려면 Configure Admission Controller webhook to listen on create toggle가 설정되어 있어야 합니다.
- Object Updates에서 적용:이 토글은 허용 제어 서비스의 동작을 제어합니다. 이 기능이 작동하려면 업데이트를 수신하려면 Configure Admission Controller Webhook 가 설정되어 있어야 합니다.
- 다음 을 선택합니다.
파일 다운로드 섹션에서 YAML 파일 및 키 다운로드 를 선택합니다.
참고기존 클러스터에 대해 승인 컨트롤러를 활성화하면 다음을 변경합니다.
- 정적 구성 섹션에서는 YAML 파일을 다운로드하고 Sensor를 재배포해야 합니다.
- 동적 구성 섹션에서는 Kubernetes용 Red Hat Advanced Cluster Security가 자동으로 Sensor를 동기화하고 변경 사항을 적용할 때 파일 및 배포 다운로드를 건너뛸 수 있습니다.
- 완료 를 선택합니다.
검증
생성된 YAML로 새 클러스터를 프로비저닝한 후 다음 명령을 실행하여 승인 컨트롤러 적용이 올바르게 구성되었는지 확인합니다.
oc get ValidatingWebhookConfiguration
$ oc get ValidatingWebhookConfiguration1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- Kubernetes를 사용하는 경우
oc대신kubectl을 입력합니다.
출력 예
NAME CREATED AT stackrox 2019-09-24T06:07:34Z
NAME CREATED AT stackrox 2019-09-24T06:07:34ZCopy to Clipboard Copied! Toggle word wrap Toggle overflow
4.1.2. Red Hat Advanced Cluster Security for Kubernetes 버전 3.0.54 및 이전 버전의 승인 컨트롤러 적용 활성화
Sensor를 설치하거나 기존 클러스터 구성 을 편집할 때 클러스터 보기에서 승인 컨트롤러 적용을 활성화할 수 있습니다.
절차
-
RHACS 포털에서 플랫폼 구성
클러스터 로 이동합니다. - 목록에서 기존 클러스터를 선택하거나 + New Cluster 를 선택합니다.
- 클러스터 구성 패널에서 클러스터의 세부 정보를 입력합니다.
-
정적 구성 섹션에서 Create Admission Controller Webhook 토글을 켭 니다. 이 설정은 Kubernetes 또는 OpenShift Container Platform이
AdmissionReview요청을 사용하여 Red Hat Advanced Cluster Security for Kubernetes에 문의하도록 구성되어 있는지 여부를 제어합니다. 승인 컨트롤러를 사용하여 업데이트에 적용하려는 경우 Configure Admission Controller Webhook에서 업데이트 토글만 수신하도록 설정하는 것이 좋습니다.
참고업데이트에서 수신 대기하도록 Configure Admission Controller Webhook 에서 Red Hat Advanced Cluster Security for Kubernetes 버전 3.0.41 이상에서만 사용할 수 있습니다.
이를 해제하면 Red Hat Advanced Cluster Security for Kubernetes는 Kubernetes 또는 OpenShift Container Platform API 서버가 오브젝트 업데이트 이벤트를 보내지 않도록 하는 방식으로
ValidatingWebhookConfiguration을 생성합니다. 오브젝트 업데이트 볼륨이 생성되는 오브젝트보다 일반적으로 높기 때문에 이 설정은 허용 제어 서비스의 부하를 제한합니다.-
동적 구성 섹션에서 Enable Admission Controller 토글을 켭니다. 이 설정은 Red Hat Advanced Cluster Security for Kubernetes가 정책을 평가하는지 여부를 제어합니다. 비활성화된 경우 모든
AdmissionReview요청이 자동으로 허용됩니다. 다음 옵션을 설정합니다.
Updates에서 적용:이 토글은 승인 제어 서비스의 동작을 제어합니다. 이 기능이 작동하려면 업데이트를 수신하려면 Configure Admission Controller Webhook 가 설정되어 있어야 합니다.
참고Enforce on Updates 옵션은 Red Hat Advanced Cluster Security for Kubernetes version 3.0.41 이상에서만 사용할 수 있습니다.
- timeout - 최대 시간(초)으로, 승인 검토 요청을 평가하는 동안 Red Hat Advanced Cluster Security for Kubernetes가 대기해야 합니다. 이미지 스캔을 활성화할 때 이를 사용하여 요청 시간 초과를 설정합니다. 이미지 검사가 지정된 시간보다 오래 실행되는 경우 Red Hat Advanced Cluster Security for Kubernetes는 요청을 수락합니다. 이미지가 적용 가능한 정책을 위반하는 경우에도 배포를 0개 복제본으로 스케일링하는 등의 기타 적용 옵션은 나중에도 적용됩니다.
- contact Image Scanners: 이미지 스캔을 활성화하려면 이 토글을 켜십시오. 이 토글을 활성화하기 전에 이미지 검사에 대한 정보를 참조하십시오.
- Use of Bypass Annotation:이 토글을 설정하여 승인 컨트롤러 우회를 비활성화합니다.
- 다음 을 선택합니다.
파일 다운로드 섹션에서 YAML 파일 및 키 다운로드 를 선택합니다.
참고기존 클러스터에 대해 승인 컨트롤러를 활성화하면 다음을 변경합니다.
- 정적 구성 섹션에서는 YAML 파일을 다운로드하고 Sensor를 재배포해야 합니다.
- 동적 구성 섹션은 Kubernetes용 Red Hat Advanced Cluster Security가 Sensor를 자동으로 동기화하고 변경 사항을 적용하므로 파일 및 배포 다운로드를 건너뛸 수 있습니다.
- 완료 를 선택합니다.
검증
생성된 YAML로 새 클러스터를 프로비저닝한 후 다음 명령을 실행하여 승인 컨트롤러 적용이 설정되었는지 확인합니다.
oc get ValidatingWebhookConfiguration
$ oc get ValidatingWebhookConfiguration1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- Kubernetes를 사용하는 경우
oc대신kubectl을 입력합니다.
출력 예
NAME CREATED AT stackrox 2019-09-24T06:07:34Z
NAME CREATED AT stackrox 2019-09-24T06:07:34ZCopy to Clipboard Copied! Toggle word wrap Toggle overflow
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}