Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

4장. Helm 차트를 사용하여 설치

4.1. Helm 차트를 사용하여 빠르게 설치
링크 복사

Kubernetes용 Red Hat Advanced Cluster Security는 OpenShift Container Platform 클러스터에 일련의 서비스를 설치합니다. 이 주제에서는 사용자 정의 없이 OpenShift Container Platform 클러스터에 Red Hat Advanced Cluster Security for Kubernetes를 설치하는 설치 절차에 대해 설명합니다.

다음 단계는 Kubernetes용 Red Hat Advanced Cluster Security를 신속하게 설치하기 위한 고급 설치 흐름을 보여줍니다.

  1. Red Hat Advanced Cluster Security for Kubernetes Helm 차트 리포지터리를 추가합니다.
  2. central-services Helm 차트를 설치하여 중앙 집중식 구성 요소 (Central 및 Scanner)를 설치합니다.
  3. init 번들을 생성합니다.
  4. secure -cluster-services Helm 차트를 설치하여 클러스터별노드별 구성 요소(Sensor, Admission Controller, Collector)를 설치합니다.

설치하기 전에 다음을 수행합니다.

4.1.1. Helm 차트 리포지터리 추가
링크 복사

절차

  • Red Hat Advanced Cluster Security for Kubernetes 차트 리포지터리를 추가합니다. 

    $ helm repo add rhacs https://mirror.openshift.com/pub/rhacs/charts/
    Copy to Clipboard Toggle word wrap

    Kubernetes용 Red Hat Advanced Cluster Security용 Helm 리포지토리에는 다른 구성 요소를 설치하기 위한 두 개의 Helm 차트가 포함되어 있습니다.

    • 중앙 집중식 구성 요소(Central 및 Scanner)를 설치하기 위한 중앙 서비스Helm 차트(중앙 서비스)입니다.

      참고

      중앙 집중식 구성 요소를 한 번만 배포하고 동일한 설치를 사용하여 여러 개의 개별 클러스터를 모니터링할 수 있습니다.

    • 클러스터당(Sensor 및 Admission 컨트롤러) 및 노드별(Collector) 구성 요소를 설치하기 위한 보안 클러스터 서비스 Helm 차트(secured-cluster-services)

      참고

      모니터링할 모든 노드에서 노드별 구성 요소를 모니터링하고 배포하려는 각 클러스터에 클러스터별 구성 요소를 배포합니다.

검증

  • 다음 명령을 실행하여 추가된 차트 리포지터리를 확인합니다. 

    $ helm search repo -l rhacs/
    Copy to Clipboard Toggle word wrap

4.1.2. 사용자 정의 없이 central-services Helm 차트 설치
링크 복사

다음 지침을 사용하여 중앙 서비스 Helm 차트를 설치하여 중앙 집중식 구성 요소(Central 및 Scanner)를 배포합니다.

절차

  • 다음 명령을 실행하여 중앙 서비스를 설치하고 경로를 사용하여 Central을 노출합니다. 

    $ helm install -n stackrox \
  --create-namespace stackrox-central-services rhacs/central-services \
  --set imagePullSecrets.allowNone=true \
  --set central.exposure.route.enabled=true
    Copy to Clipboard Toggle word wrap

  • 또는 다음 명령을 실행하여 중앙 서비스를 설치하고 로드 밸런서를 사용하여 Central을 노출합니다. 

    $ helm install -n stackrox \
  --create-namespace stackrox-central-services rhacs/central-services \
  --set imagePullSecrets.allowNone=true \
  --set central.exposure.loadBalancer.enabled=true
    Copy to Clipboard Toggle word wrap

  • 또는 다음 명령을 실행하여 중앙 서비스를 설치하고 포트 전달을 사용하여 Central을 노출합니다. 

    $ helm install -n stackrox \
  --create-namespace stackrox-central-services rhacs/central-services \
  --set imagePullSecrets.allowNone=true
    Copy to Clipboard Toggle word wrap
중요

외부 서비스에 연결하기 위해 프록시가 필요한 클러스터에 Red Hat Advanced Cluster Security for Kubernetes를 설치하는 경우 proxyConfig 매개변수를 사용하여 프록시 구성을 지정해야 합니다. 예를 들면 다음과 같습니다. 

env:
  proxyConfig: |
    url: http://proxy.name:port
    username: username
    password: password
    excludes:
    - some.domain
Copy to Clipboard Toggle word wrap

설치 명령 출력에는 다음이 포함됩니다.

  • 자동 생성된 관리자 암호입니다.
  • 모든 구성 값을 저장하는 지침입니다.
  • Helm이 생성하는 경고입니다.

4.1.3. init 번들 생성
링크 복사

클러스터에 SecuredCluster 리소스를 설치하기 전에 init 번들을 생성해야 합니다. SecuredCluster 가 설치되고 구성된 클러스터는 이 번들을 사용하여 중앙으로 인증합니다.

4.1.3.1. roxctl CLI를 사용하여 init 번들 생성
링크 복사

roxctl CLI를 사용하여 시크릿으로 init 번들을 생성할 수 있습니다.

사전 요구 사항

ROX_API_TOKENROX_CENTRAL_ADDRESS 환경 변수를 구성했습니다.

  • ROX_API_TOKENROX_CENTRAL_ADDRESS 환경 변수를 설정합니다. 

    $ export ROX_API_TOKEN=<api_token>
    Copy to Clipboard Toggle word wrap 
    $ export ROX_CENTRAL_ADDRESS=<address>:<port_number>
    Copy to Clipboard Toggle word wrap

절차

  • 다음 명령을 실행하여 보안이 포함된 클러스터 init 번들을 생성합니다. 

    $ roxctl -e "$ROX_CENTRAL_ADDRESS" \
  central init-bundles generate <cluster_init_bundle_name> \
  --output cluster_init_bundle.yaml
    Copy to Clipboard Toggle word wrap 
$ roxctl -e "$ROX_CENTRAL_ADDRESS" \
  central init-bundles generate <cluster_init_bundle_name> \
  --output-secrets cluster_init_bundle.yaml
Copy to Clipboard Toggle word wrap
중요

시크릿이 포함되어 있으므로 이 번들을 안전하게 저장해야 합니다. 동일한 번들을 사용하여 여러 개의 보안 클러스터를 설정할 수 있습니다.

4.1.4. 사용자 정의 없이 보안-cluster-services Helm 차트 설치
링크 복사

다음 지침을 사용하여 secure -cluster-services Helm 차트를 설치하여 클러스터별 및 노드별 구성 요소(Sensor, Admission Controller, Collector)를 배포합니다.

Important

UEFI(Unified Extensible Firmware Interface)가 있고 Secure Boot가 활성화된 시스템에 수집기를 설치하려면 커널 모듈이 서명되지 않고 UEFI 펌웨어가 서명되지 않은 패키지를 로드할 수 없기 때문에 eBPF 프로브를 사용해야 합니다. 수집기는 시작시 Secure Boot 상태를 확인하고 필요한 경우 eBPF 프로브로 전환합니다.

사전 요구 사항

  • 중앙 서비스를 노출하는 주소와 포트 번호가 있어야 합니다.

절차

  • 다른 Kubernetes 기반 클러스터에서 다음 명령을 실행합니다. 

    $ helm install -n stackrox --create-namespace \
    stackrox-secured-cluster-services rhacs/secured-cluster-services \
    -f <path_to_cluster_init_bundle.yaml> \
    1 
    
    --set clusterName=<name_of_the_secured_cluster> \
    --set centralEndpoint=<endpoint_of_central_service>
    2
    Copy to Clipboard Toggle word wrap
    1
    -f 옵션을 사용하여 init 번들의 경로를 지정합니다.
    2
    Central의 주소 및 포트 번호를 지정합니다. 예를 들어 acs.domain.com:443.

  • OpenShift Container Platform 클러스터에서 다음 명령을 실행합니다. 

    $ helm install -n stackrox --create-namespace \
    stackrox-secured-cluster-services rhacs/secured-cluster-services \
    -f <path_to_cluster_init_bundle.yaml> \
    1 
    
    --set clusterName=<name_of_the_secured_cluster> \
    --set centralEndpoint=<endpoint_of_central_service>
    2 
    
    --set scanner.disable=false
    Copy to Clipboard Toggle word wrap
    1
    -f 옵션을 사용하여 init 번들의 경로를 지정합니다.
    2
    Central의 주소 및 포트 번호를 지정합니다. 예를 들어 acs.domain.com:443.

4.1.5. 설치 확인
링크 복사

설치를 완료한 후 몇 가지 취약한 애플리케이션을 실행하고 RHACS 포털로 이동하여 보안 평가 및 정책 위반 결과를 평가합니다.

참고

다음 섹션에 나열된 샘플 애플리케이션에는 중요한 취약점이 포함되어 있으며 특별히 Red Hat Advanced Cluster Security for Kubernetes의 빌드 및 배포 평가 기능을 확인하도록 설계되었습니다.

설치를 확인하려면 다음을 수행합니다.

  1. 노출 방법에 따라 RHACS 포털의 주소를 찾습니다.

    1. 경로의 경우: 

      $ oc get route central -n stackrox
      Copy to Clipboard Toggle word wrap

    2. 로드 밸런서의 경우: 

      $ oc get service central-loadbalancer -n stackrox
      Copy to Clipboard Toggle word wrap

    3. 포트 전달의 경우:

      1. 다음 명령을 실행합니다. 

        $ oc port-forward svc/central 18443:443 -n stackrox
        Copy to Clipboard Toggle word wrap
      2. https://localhost:18443/ 으로 이동합니다.

  2. OpenShift Container Platform CLI를 사용하여 새 프로젝트를 생성합니다. 

    $ oc new-project test
    Copy to Clipboard Toggle word wrap

  3. 중요한 취약점이 있는 일부 애플리케이션을 시작합니다. 

    $ oc run shell --labels=app=shellshock,team=test-team \
  --image=vulnerables/cve-2014-6271 -n test
$ oc run samba --labels=app=rce \
  --image=vulnerables/cve-2017-7494 -n test
    Copy to Clipboard Toggle word wrap

Red Hat Advanced Cluster Security for Kubernetes는 이러한 배포를 클러스터에 제출되는 즉시 보안 위험 및 정책 위반에 대해 자동으로 검사합니다. RHACS 포털로 이동하여 위반 사항을 확인합니다. 기본 사용자 이름 admin 과 생성된 암호를 사용하여 RHACS 포털에 로그인할 수 있습니다.

맨 위로 이동
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2025 Red Hat