Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

구성

Red Hat Advanced Cluster Security for Kubernetes 3.74

Red Hat Advanced Cluster Security for Kubernetes 구성

Red Hat OpenShift Documentation Team

초록

이 문서에서는 인증서 구성, 자동 업그레이드 및 프록시 설정 등 일반적인 구성 작업을 수행하는 방법을 설명합니다. 모니터링 및 로깅 활성화에 대한 정보도 포함되어 있습니다.

1장. 사용자 정의 인증서 추가
링크 복사

Red Hat Advanced Cluster Security for Kubernetes에서 사용자 정의 TLS 인증서를 사용하는 방법을 알아봅니다. 인증서를 설정한 후 사용자와 API 클라이언트는 중앙에 연결할 때 인증서 보안 경고를 무시할 필요가 없습니다.

1.1. 사용자 정의 보안 인증서 추가
링크 복사

설치 중 또는 기존 Red Hat Advanced Cluster Security for Kubernetes 배포 중에 보안 인증서를 적용할 수 있습니다.

1.1.1. 사용자 정의 인증서를 추가하는 사전 요구 사항
링크 복사

사전 요구 사항

  • PEM 인코딩 개인 키와 인증서 파일이 이미 있어야 합니다.

  • 인증서 파일은 사람이 읽을 수 있는 블록으로 시작하고 끝나야 합니다. 예를 들면 다음과 같습니다. 

    -----BEGIN CERTIFICATE-----
MIICLDCCAdKgAwIBAgIBADAKBggqhkjOPQQDAjB9MQswCQYDVQQGEwJCRTEPMA0G
...
l4wOuDwKQa+upc8GftXE2C//4mKANBC6It01gUaTIpo=
-----END CERTIFICATE-----
    Copy to Clipboard Toggle word wrap

  • 인증서 파일은 단일(leaf) 인증서 또는 인증서 체인을 포함할 수 있습니다.

    주의
    • 신뢰할 수 있는 루트에서 인증서를 직접 서명하지 않은 경우 중간 인증서를 포함하여 전체 인증서 체인을 제공해야 합니다.
    • 리프 인증서가 첫 번째이고 루트 인증서가 체인의 마지막 인증서가 되도록 체인의 모든 인증서가 순서대로 있어야 합니다.
  • 전역적으로 신뢰할 수 없는 사용자 정의 인증서를 사용하는 경우 사용자 정의 인증서를 신뢰하도록 센서를 구성해야 합니다.

1.1.2. 새 설치 시 사용자 정의 인증서 추가
링크 복사

절차

  • Helm을 사용하여 Red Hat Advanced Cluster Security for Kubernetes를 설치하는 경우 다음을 수행합니다.

    1. 사용자 정의 인증서와 해당 키를 values-private.yaml 파일에 추가합니다. 

      central:
  # Configure a default TLS certificate (public cert + private key) for central
  defaultTLS:
    cert: |
      -----BEGIN CERTIFICATE-----
      EXAMPLE!MIIMIICLDCCAdKgAwIBAgIBADAKBggqhkjOPQQDAjB9MQswCQYDVQQGEwJCRTEPMA0G
      ...
      -----END CERTIFICATE-----
    key: |
      -----BEGIN EC PRIVATE KEY-----
      EXAMPLE!MHcl4wOuDwKQa+upc8GftXE2C//4mKANBC6It01gUaTIpo=
      ...
      -----END EC PRIVATE KEY-----
      Copy to Clipboard Toggle word wrap

    2. 설치 중에 구성 파일을 제공합니다. 

      $ helm install -n stackrox --create-namespace stackrox-central-services rhacs/central-services -f values-private.yaml
      Copy to Clipboard Toggle word wrap

  • roxctl CLI를 사용하여 Kubernetes용 Red Hat Advanced Cluster Security를 설치하는 경우 설치 프로그램을 실행할 때 인증서 및 키 파일을 제공합니다.

    • 비대화형 설치 프로그램의 경우 --default-tls-cert--default-tls-key 옵션을 사용합니다. 

      $ roxctl central generate --default-tls-cert "cert.pem" --default-tls-key "key.pem"
      Copy to Clipboard Toggle word wrap

    • 대화형 설치 프로그램의 경우 프롬프트에 대한 답변을 입력할 때 인증서 및 키 파일을 입력합니다. 

      ...
Enter PEM cert bundle file (optional): <cert.pem>
Enter PEM private key file (optional): <key.pem>
Enter administrator password (default: autogenerated):
Enter orchestrator (k8s, openshift): openshift
...
      Copy to Clipboard Toggle word wrap

1.1.3. 기존 인스턴스의 사용자 정의 인증서 추가
링크 복사

절차

  • Helm을 사용하여 Red Hat Advanced Cluster Security for Kubernetes를 설치한 경우 다음을 수행합니다.

    1. 사용자 정의 인증서와 해당 키를 values-private.yaml 파일에 추가합니다. 

      central:
  # Configure a default TLS certificate (public cert + private key) for central
  defaultTLS:
    cert: |
      -----BEGIN CERTIFICATE-----
      EXAMPLE!MIIMIICLDCCAdKgAwIBAgIBADAKBggqhkjOPQQDAjB9MQswCQYDVQQGEwJCRTEPMA0G
      ...
      -----END CERTIFICATE-----
    key: |
      -----BEGIN EC PRIVATE KEY-----
      EXAMPLE!MHcl4wOuDwKQa+upc8GftXE2C//4mKANBC6It01gUaTIpo=
      ...
      -----END EC PRIVATE KEY-----
      Copy to Clipboard Toggle word wrap

    2. helm upgrade 명령을 사용하여 업데이트된 구성 파일을 제공합니다. 

      $ helm upgrade -n stackrox --create-namespace stackrox-central-services rhacs/central-services -f values-private.yaml
      Copy to Clipboard Toggle word wrap

  • roxctl CLI를 사용하여 Kubernetes용 Red Hat Advanced Cluster Security를 설치한 경우 다음을 수행합니다.

    • PEM 인코딩 키 및 인증서 파일에서 TLS 보안을 생성하고 적용합니다. 

      $ oc -n stackrox create secret tls central-default-tls-cert \
  --cert <server_cert.pem> \
  --key <server_key.pem> \
  --dry-run -o yaml | oc apply -f -
      Copy to Clipboard Toggle word wrap

      이 명령을 실행하면 Central은 Pod를 다시 시작하지 않아도 새 키와 인증서를 자동으로 적용합니다. 변경 사항을 전파하는 데 최대 1분이 걸릴 수 있습니다.

1.1.4. 기존 인스턴스의 사용자 정의 인증서 업데이트
링크 복사

중앙에 사용자 정의 인증서를 사용하는 경우 다음 절차를 수행하여 인증서를 업데이트할 수 있습니다.

절차

  1. 기존 사용자 정의 인증서의 보안을 삭제합니다. 

    $ oc delete secret central-default-tls-cert
    Copy to Clipboard Toggle word wrap

  2. 새 보안을 생성합니다. 

    $ oc -n stackrox create secret tls central-default-tls-cert \
  --cert <server_cert.pem> \
  --key <server_key.pem> \
  --dry-run -o yaml | oc apply -f -
    Copy to Clipboard Toggle word wrap
  3. 중앙 컨테이너를 다시 시작합니다.
1.1.4.1. 중앙 컨테이너 다시 시작
링크 복사

중앙 컨테이너를 종료하거나 중앙 Pod를 삭제하여 중앙 컨테이너를 다시 시작할 수 있습니다.

절차

  • 다음 명령을 실행하여 Central 컨테이너를 종료합니다.

    참고

    OpenShift Container Platform이 변경 사항을 전파하고 중앙 컨테이너를 다시 시작할 때까지 1분 이상 기다려야 합니다. 

    $ oc -n stackrox exec deploy/central -c central -- kill 1
    Copy to Clipboard Toggle word wrap

  • 또는 다음 명령을 실행하여 중앙 Pod를 삭제합니다. 

    $ oc -n stackrox delete pod -lapp=central
    Copy to Clipboard Toggle word wrap

1.2. 사용자 정의 인증서를 신뢰하도록 센서 구성
링크 복사

전역에서 신뢰할 수 없는 사용자 정의 인증서를 사용하는 경우 사용자 정의 인증서를 신뢰하도록 센서를 구성해야 합니다. 그렇지 않으면 오류가 발생할 수 있습니다. 특정 유형의 오류는 설정 및 사용하는 인증서에 따라 다를 수 있습니다. 일반적으로 x509 유효성 검사 관련 오류입니다.

참고

전역적으로 신뢰할 수 있는 인증서를 사용하는 경우 사용자 정의 인증서를 신뢰하도록 센서를 구성할 필요가 없습니다.

1.2.1. 센서 번들 다운로드
링크 복사

센서 번들에는 센서를 설치하는 데 필요한 구성 파일과 스크립트가 포함되어 있습니다. RHACS 포털에서 센서 번들을 다운로드할 수 있습니다.

절차

  1. RHACS 포털로 이동합니다.
  2. 플랫폼 구성 → 클러스터로 이동합니다.
  3. New Cluster 를 클릭하고 클러스터 이름을 지정합니다.

  4. 동일한 클러스터에 센서를 배포하는 경우 모든 필드에 기본값을 수락합니다. 또는 다른 클러스터에 배포하는 경우 central.stackrox.svc:443 주소를 로드 밸런서, 노드 포트 또는 설치하려는 다른 클러스터에서 액세스할 수 있는 기타 주소(포트 번호 포함)로 교체합니다.

    참고

    HAProxy, AWS Application Load Balancer(ALB) 또는 AWS Elastic Load Balancing(ELB)과 같은 비GRPC 가능 로드 밸런서를 사용하는 경우 WebSocket Secure (wss) 프로토콜을 사용합니다. wss 를 사용하려면 :

    1. 주소 앞에 wss://,
    2. 주소 뒤에 포트 번호를 추가합니다(예: wss://stackrox-central.example.com:443 ).
  5. 다음을 클릭하여 계속합니다.
  6. YAML 파일 및 키 다운로드를 클릭합니다.

사전 요구 사항

  • Sensor 번들을 다운로드했습니다.

절차

  • sensor.sh 스크립트를 사용하는 경우:

    1. 센서 번들의 압축을 풉니다. 

      $ unzip -d sensor sensor-<cluster_name>.zip
      Copy to Clipboard Toggle word wrap

    2. sensor.sh 스크립트를 실행합니다. 

      $ ./sensor/sensor.sh
      Copy to Clipboard Toggle word wrap

      인증서는 센서(./sensor/sensor.sh) 스크립트를 실행할 때 자동으로 적용됩니다. sensor.sh 스크립트를 실행하기 전에 센서/추가-cas/ 디렉터리에 추가 사용자 정의 인증서를 배치할 수도 있습니다.

  • sensor.sh 스크립트를 사용하지 않는 경우:

    1. 센서 번들의 압축을 풉니다. 

      $ unzip -d sensor sensor-<cluster_name>.zip
      Copy to Clipboard Toggle word wrap

    2. 다음 명령을 실행하여 보안을 생성합니다. 

      $ ./sensor/ca-setup-sensor.sh -d sensor/additional-cas/
      1
      Copy to Clipboard Toggle word wrap
      1
      -d 옵션을 사용하여 사용자 정의 인증서가 포함된 디렉터리를 지정합니다.
      참고

      "secret already exists" 오류 메시지가 표시되면 -u 옵션을 사용하여 스크립트를 다시 실행합니다. 

      $ ./sensor/ca-setup-sensor.sh -d sensor/additional-cas/ -u
      Copy to Clipboard Toggle word wrap
    3. YAML 파일을 사용하여 센서 배포를 계속합니다.

1.2.3. 사용자 정의 인증서를 신뢰하도록 기존 센서 구성
링크 복사

사전 요구 사항

  • Sensor 번들을 다운로드했습니다.

절차

  1. 센서 번들의 압축을 풉니다. 

    $ unzip -d sensor sensor-<cluster_name>.zip
    Copy to Clipboard Toggle word wrap

  2. 다음 명령을 실행하여 보안을 생성합니다. 

    $ ./sensor/ca-setup-sensor.sh -d sensor/additional-cas/
    1
    Copy to Clipboard Toggle word wrap
    1
    -d 옵션을 사용하여 사용자 정의 인증서가 포함된 디렉터리를 지정합니다.
    참고

    "secret already exists" 오류 메시지가 표시되면 -u 옵션을 사용하여 스크립트를 다시 실행합니다. 

    $ ./sensor/ca-setup-sensor.sh -d sensor/additional-cas/ -u
    Copy to Clipboard Toggle word wrap
  3. YAML 파일을 사용하여 센서 배포를 계속합니다.

기존 센서에 인증서를 추가한 경우 센서 컨테이너를 다시 시작해야 합니다.

1.2.3.1. 센서 컨테이너 다시 시작
링크 복사

컨테이너를 종료하거나 센서 Pod를 삭제하여 Sensor 컨테이너를 다시 시작할 수 있습니다.

절차

  • 다음 명령을 실행하여 센서 컨테이너를 종료합니다.

    참고

    OpenShift Container Platform 또는 Kubernetes가 변경 사항을 전파하고 센서 컨테이너를 다시 시작할 때까지 1분 이상 기다려야 합니다.

    • OpenShift Container Platform에서 다음을 수행합니다. 

      $ oc -n stackrox deploy/sensor -c sensor -- kill 1
      Copy to Clipboard Toggle word wrap

    • Kubernetes에서 다음을 수행합니다. 

      $ kubectl -n stackrox deploy/sensor -c sensor -- kill 1
      Copy to Clipboard Toggle word wrap

  • 또는 다음 명령을 실행하여 센서 Pod를 삭제합니다.

    • OpenShift Container Platform에서 다음을 수행합니다. 

      $ oc -n stackrox delete pod -lapp=sensor
      Copy to Clipboard Toggle word wrap

    • Kubernetes에서 다음을 수행합니다. 

      $ kubectl -n stackrox delete pod -lapp=sensor
      Copy to Clipboard Toggle word wrap

2장. 신뢰할 수 있는 인증 기관 추가
링크 복사

신뢰할 수 있는 사용자 정의 인증 기관을 Red Hat Advanced Cluster Security for Kubernetes에 추가하는 방법을 알아보십시오.

네트워크에서 CA(엔터프라이즈 인증 기관) 또는 자체 서명된 인증서를 사용하는 경우 CA의 루트 인증서를 신뢰할 수 있는 루트 CA로 Red Hat Advanced Cluster Security for Kubernetes에 추가해야 합니다.

신뢰할 수 있는 루트 CA를 추가하면 다음을 수행할 수 있습니다.

  • 다른 도구와 통합할 때 원격 서버를 신뢰하기 위한 중앙 및 스캐너.
  • 중앙에 사용하는 사용자 정의 인증서를 신뢰할 수 있는 센서입니다.

설치 중 또는 기존 배포에 CA를 추가할 수 있습니다.

참고

먼저 Central을 배포한 클러스터에서 신뢰할 수 있는 CA를 구성한 다음 scanner 및 Sensor로 변경 사항을 전파해야 합니다.

2.1. 추가 CA 구성
링크 복사

사용자 정의 CA를 추가하려면 다음을 수행합니다.

절차

  1. ca-setup.sh 스크립트를 다운로드합니다.

    참고
    • 새 설치를 수행하는 경우 central-bundle/central/ scripts / ca-setup.sh .sh 디렉터리의 ca-setup.sh 스크립트를 찾을 수 있습니다.
    • OpenShift Container Platform 클러스터에 로그인한 것과 동일한 터미널에서 ca-setup.sh 스크립트를 실행해야 합니다.

  2. ca-setup.sh 스크립트를 실행 가능하게 합니다. 

    $ chmod +x ca-setup.sh
    Copy to Clipboard Toggle word wrap

  3. 다음을 추가하려면 다음을 추가합니다.

    1. 단일 인증서로 -f (파일) 옵션을 사용합니다. 

      $ ./ca-setup.sh -f <certificate>
      Copy to Clipboard Toggle word wrap
      참고
      • PEM 인코딩 인증서 파일(확장 포함)을 사용해야 합니다.
      • -u (update) 옵션과 함께 -f 옵션을 사용하여 이전에 추가한 인증서를 업데이트할 수도 있습니다.

    2. 한 번에 여러 개의 인증서로 디렉터리의 모든 인증서를 이동한 다음 -d (디렉터리) 옵션을 사용합니다. 

      $ ./ca-setup.sh -d <directory_name>
      Copy to Clipboard Toggle word wrap
      참고
      • .crt 확장자로 PEM 인코딩 인증서 파일을 사용해야 합니다.
      • 각 파일에는 하나의 인증서만 포함되어야 합니다.
      • -u (update) 옵션과 함께 -d 옵션을 사용하여 이전에 추가한 인증서를 업데이트할 수도 있습니다.

2.2. 변경 사항 전파
링크 복사

신뢰할 수 있는 CA를 구성한 후 Red Hat Advanced Cluster Security for Kubernetes 서비스를 신뢰해야 합니다.

  • 설치 후 신뢰할 수 있는 CA를 구성한 경우 Central을 다시 시작해야 합니다.
  • 또한 이미지 레지스트리 통합에 필요한 인증서를 추가하는 경우 Central과 Scanner를 모두 다시 시작해야 합니다.

2.2.1. 중앙 컨테이너 다시 시작
링크 복사

중앙 컨테이너를 종료하거나 중앙 Pod를 삭제하여 중앙 컨테이너를 다시 시작할 수 있습니다.

절차

  • 다음 명령을 실행하여 Central 컨테이너를 종료합니다.

    참고

    OpenShift Container Platform이 변경 사항을 전파하고 중앙 컨테이너를 다시 시작할 때까지 1분 이상 기다려야 합니다. 

    $ oc -n stackrox exec deploy/central -c central -- kill 1
    Copy to Clipboard Toggle word wrap

  • 또는 다음 명령을 실행하여 중앙 Pod를 삭제합니다. 

    $ oc -n stackrox delete pod -lapp=central
    Copy to Clipboard Toggle word wrap

2.2.2. scanner 컨테이너 다시 시작
링크 복사

Pod를 삭제하여 scanner 컨테이너를 다시 시작할 수 있습니다.

절차

  • 다음 명령을 실행하여 scanner Pod를 삭제합니다.

    • OpenShift Container Platform에서 다음을 수행합니다. 

      $ oc delete pod -n stackrox -l app=scanner
      Copy to Clipboard Toggle word wrap

    • Kubernetes에서 다음을 수행합니다. 

      $ kubectl delete pod -n stackrox -l app=scanner
      Copy to Clipboard Toggle word wrap
중요

신뢰할 수 있는 CA를 추가하고 중앙을 구성한 후에는 생성한 새로운 센서 배포 번들에 CA가 포함됩니다.

  • 중앙에 연결하는 동안 기존 센서에서 문제를 보고하는 경우 Sensor 배포 YAML 파일을 생성하고 기존 클러스터를 업데이트해야 합니다.

  • sensor.sh 스크립트를 사용하여 새 센서를 배포하는 경우 sensor.sh 스크립트를 실행하기 전에 다음 명령을 실행합니다. 

    $ ./ca-setup-sensor.sh -d ./additional-cas/
    Copy to Clipboard Toggle word wrap
  • Helm을 사용하여 새 센서를 배포하는 경우 추가 스크립트를 실행할 필요가 없습니다.

3장. 내부 인증서 복구
링크 복사

Red Hat Advanced Cluster Security for Kubernetes의 각 구성 요소는 X.509 인증서를 사용하여 다른 구성 요소에 자체 인증합니다. 이러한 인증서는 만료 날짜가 있으며 만료되기 전에 다시 발행해야 합니다. RHACS 포털에서 플랫폼 구성클러스터 보기에서 인증서 만료 날짜를 볼 수 있습니다.

3.1. 중앙에 대한 내부 인증서 복구
링크 복사

Central은 Kubernetes 서비스용 다른 Red Hat Advanced Cluster Security와 통신할 때 인증을 위해 내장된 서버 인증서를 사용합니다. 이 인증서는 중앙 설치에 고유합니다. RHACS 포털은 중앙 인증서가 만료될 때 정보 배너를 보여줍니다.

참고

정보 배너는 인증서 만료일 15일 전에만 표시됩니다.

사전 요구 사항

  • 인증서를 다시 발급하려면 ServiceIdentity 리소스에 대한 쓰기 권한이 있어야 합니다.

절차

  1. 배너의 링크를 클릭하여 인증서 및 키 값을 포함하여 새 OpenShift Container Platform 시크릿이 포함된 YAML 구성 파일을 다운로드합니다.

  2. 새 YAML 구성 파일을 Central을 설치한 클러스터에 적용합니다. 

    $ oc apply -f <secret_file.yaml>
    Copy to Clipboard Toggle word wrap
  3. 변경 사항을 적용하려면 Central을 다시 시작하십시오.

3.1.1. 중앙 컨테이너 다시 시작
링크 복사

중앙 컨테이너를 종료하거나 중앙 Pod를 삭제하여 중앙 컨테이너를 다시 시작할 수 있습니다.

절차

  • 다음 명령을 실행하여 Central 컨테이너를 종료합니다.

    참고

    OpenShift Container Platform이 변경 사항을 전파하고 중앙 컨테이너를 다시 시작할 때까지 1분 이상 기다려야 합니다. 

    $ oc -n stackrox exec deploy/central -c central -- kill 1
    Copy to Clipboard Toggle word wrap

  • 또는 다음 명령을 실행하여 중앙 Pod를 삭제합니다. 

    $ oc -n stackrox delete pod -lapp=central
    Copy to Clipboard Toggle word wrap

3.2. 스캐너용 내부 인증서 복구
링크 복사

Scanner에는 중앙과 통신하는 데 사용하는 기본 제공 인증서가 있습니다.

RHACS 포털은 스캐너 인증서가 만료될 때 정보 배너를 보여줍니다.

참고

정보 배너는 인증서 만료일 15일 전에만 표시됩니다.

사전 요구 사항

  • 인증서를 다시 발급하려면 ServiceIdentity 리소스에 대한 쓰기 권한이 있어야 합니다.

절차

  1. 배너의 링크를 클릭하여 인증서 및 키 값을 포함하여 새 OpenShift Container Platform 시크릿이 포함된 YAML 구성 파일을 다운로드합니다.

  2. scanner를 설치한 클러스터에 새 YAML 구성 파일을 적용합니다. 

    $ oc apply -f <secret_file.yaml>
    Copy to Clipboard Toggle word wrap
  3. 스캐너를 다시 시작하여 변경 사항을 적용합니다.

3.2.1. Scanner 및 Scanner DB 컨테이너 다시 시작
링크 복사

Pod를 삭제하여 Scanner 및 Scanner DB 컨테이너를 다시 시작할 수 있습니다.

절차

  • Scanner 및 Scanner DB Pod를 삭제하려면 다음 명령을 실행합니다.

    • OpenShift Container Platform에서 다음을 수행합니다. 

      $ oc delete pod -n stackrox -l app=scanner; oc -n stackrox delete pod -l app=scanner-db
      Copy to Clipboard Toggle word wrap

    • Kubernetes에서 다음을 수행합니다. 

      $ kubectl delete pod -n stackrox -l app=scanner; kubectl -n stackrox delete pod -l app=scanner-db
      Copy to Clipboard Toggle word wrap

3.3. Sensor, Collector, Admission Controller에 대한 내부 인증서 reissuing
링크 복사

센서, 수집기 및 Admission Controller는 인증서를 사용하여 서로 및 중앙 통신합니다.

인증서를 교체하려면 다음 방법 중 하나를 사용하십시오.

  • 보안 클러스터에 init 번들을 생성, 다운로드 및 설치합니다. init 번들을 생성하려면 Admin 사용자 역할이 있어야 합니다.
  • 자동 업그레이드 기능을 사용합니다. 자동 업그레이드는 roxctl CLI를 사용하는 정적 매니페스트 배포에서만 사용할 수 있습니다.

3.3.1. init 번들을 사용하여 Secured 클러스터의 내부 인증서 재구성
링크 복사

보안 클러스터에는 Collector, 센서 및 Admission Control 구성 요소가 포함되어 있습니다. 이러한 구성 요소는 Kubernetes 구성 요소용 다른 Red Hat Advanced Cluster Security와 통신할 때 인증을 위해 내장된 서버 인증서를 사용합니다.

RHACS 포털은 중앙 인증서가 만료될 때 정보 배너를 보여줍니다.

참고

정보 배너는 인증서 만료일 15일 전에만 표시됩니다.

사전 요구 사항

  • 인증서를 다시 발급하려면 ServiceIdentity 리소스에 대한 쓰기 권한이 있어야 합니다.
중요

시크릿이 포함되어 있으므로 이 번들을 안전하게 저장합니다. 여러 보안 클러스터에서 동일한 번들을 사용할 수 있습니다. init 번들을 생성하려면 Admin 사용자 역할이 있어야 합니다.

절차

  • RHACS 포털을 사용하여 init 번들을 생성하려면 다음을 수행합니다.

    1. 플랫폼 구성클러스터를 선택합니다.
    2. 토큰 관리를 클릭합니다.
    3. 인증 토큰 섹션으로 이동하여 Cluster Init Bundle 을 클릭합니다.
    4. 번들 생성을 클릭합니다.
    5. 클러스터 init 번들의 이름을 입력하고 생성을 클릭합니다.
    6. 생성된 번들을 다운로드하려면 Kubernetes 시크릿 파일 다운로드를 클릭합니다.

  • roxctl CLI를 사용하여 init 번들을 생성하려면 다음 명령을 실행합니다. 

    $ roxctl -e <endpoint> -p <admin_password> central init-bundle generate <bundle_name> --output-secrets init-bundle.yaml
    Copy to Clipboard Toggle word wrap

다음 단계

  • 보안된 각 클러스터에서 필요한 리소스를 생성하려면 다음 명령을 실행합니다. 

    $ oc -n stackrox apply -f <init-bundle.yaml>
    Copy to Clipboard Toggle word wrap

자동 업그레이드를 사용하여 센서, 수집기, Admission 컨트롤러에 대한 내부 인증서를 다시 실행할 수 있습니다.

참고

자동 업그레이드는 roxctl CLI를 사용하는 정적 매니페스트 기반 배포에만 적용됩니다. 설치 장의 "Roxctl CLI를 사용하여 설치" 섹션의 " Installing Central"을 참조하십시오.

사전 요구 사항

  • 모든 클러스터에 대해 자동 업그레이드를 활성화해야 합니다.
  • 인증서를 다시 발급하려면 ServiceIdentity 리소스에 대한 쓰기 권한이 있어야 합니다.

절차

  1. RHACS 포털에서 플랫폼 구성 → 클러스터로 이동합니다.
  2. 클러스터 보기에서 클러스터를 선택하여 세부 정보를 확인합니다.
  3. 클러스터 세부 정보 패널에서 자동 업그레이드를 사용하여 인증 정보 적용 링크를 선택합니다.
참고

자동 업그레이드를 적용하면 Red Hat Advanced Cluster Security for Kubernetes가 선택한 클러스터에 새 인증 정보를 생성합니다. 그러나 알림은 계속 표시됩니다. 서비스를 다시 시작한 후 각 Red Hat Advanced Cluster Security for Kubernetes 서비스가 새 인증 정보를 사용하기 시작하면 알림이 사라집니다.

4장. 보안 알림 추가
링크 복사

Red Hat Advanced Cluster Security for Kubernetes를 사용하면 사용자가 로그인할 때 확인할 수 있는 보안 알림을 추가할 수 있습니다. RHACS 포털의 상단 또는 하단에서 조직 전체 메시지 또는 거부 메시지를 설정할 수도 있습니다.

이 메시지는 기업 정책을 통지하고 적절한 정책을 고객에게 알리는 역할을 할 수 있습니다. 또는 적법한 이유로 이러한 메시지를 표시하여 사용자에게 해당 작업이 감사됨을 경고할 수 있습니다.

4.1. 사용자 정의 로그인 메시지 추가
링크 복사

로그인하기 전에 경고 메시지가 표시되면 해당 작업의 결과에 대해 악의적인 또는 형식화되지 않은 사용자에게 경고 메시지가 표시됩니다.

사전 요구 사항

  • 로그인 메시지 구성 옵션을 보려면 읽기 권한이 있는 Config 역할이 있어야 합니다.
  • 로그인 메시지를 수정, 활성화 또는 비활성화할 수 있는 쓰기 권한이 있는 Config 역할이 있어야 합니다.

절차

  1. RHACS 포털에서 플랫폼 구성시스템 구성으로 이동합니다.
  2. 시스템 구성 보기 헤더에서 편집 을 클릭합니다.
  3. 로그인 구성 섹션에 로그인 메시지를 입력합니다.
  4. 로그인 메시지를 활성화하려면 로그인 구성 섹션에서 토글을 켭니다.
  5. 저장을 클릭합니다.

5장. 오프라인 모드 활성화
링크 복사

오프라인 모드를 활성화하여 인터넷에 연결되지 않은 클러스터에 대해 Red Hat Advanced Cluster Security for Kubernetes를 사용할 수 있습니다. 오프라인 모드에서 Red Hat Advanced Cluster Security for Kubernetes 구성 요소는 인터넷의 주소 또는 호스트에 연결되지 않습니다.

참고

Red Hat Advanced Cluster Security for Kubernetes는 사용자가 제공하는 호스트 이름, IP 주소 또는 기타 리소스가 인터넷에 있는지 여부를 확인하지 않습니다. 예를 들어 인터넷에서 호스팅되는 Docker 레지스트리와 통합하려는 경우 Kubernetes용 Red Hat Advanced Cluster Security는 이 요청을 차단하지 않습니다.

오프라인 모드에서 Red Hat Advanced Cluster Security for Kubernetes를 배포하고 운영하려면 다음을 수행합니다.

  1. RHACS 이미지를 다운로드하여 클러스터에 설치합니다. OpenShift Container Platform을 사용하는 경우 OLM(Operator Lifecycle Manager) 및 OperatorHub를 사용하여 인터넷에 연결된 워크스테이션에 이미지를 다운로드할 수 있습니다. 그런 다음 워크스테이션이 보안 클러스터에 연결된 미러 레지스트리로 이미지를 푸시합니다. 다른 플랫폼의 경우 Skopeo 또는 Docker와 같은 프로그램을 사용하여 원격 레지스트리에서 이미지를 가져오고 이미지를 직접 다운로드에 설명된 대로 개인 레지스트리로 푸시할 수 있습니다.
  2. 설치 중에 오프라인 모드를 활성화합니다.
  3. (선택 사항) 새 정의 파일을 업로드하여 scanner의 취약점 목록을 업데이트하십시오.
  4. (선택 사항) 필요한 경우 새 커널 지원 패키지를 업로드하여 더 많은 커널 버전에서 런타임 컬렉션에 대한 지원을 추가합니다.
중요

설치 중에는 오프라인 모드만 활성화할 수 있으며 업그레이드하는 동안에는 사용할 수 없습니다.

5.1. 오프라인 사용을 위한 이미지 다운로드
링크 복사

5.1.1. 이미지를 직접 다운로드
링크 복사

Kubernetes 이미지의 Red Hat Advanced Cluster Security를 수동으로 풀, 다시 태그하고, 레지스트리로 내보낼 수 있습니다. 이미지 번들의 현재 버전에 포함된 이미지는 다음과 같습니다.

  • registry.redhat.io/advanced-cluster-security/rhacs-main-rhel8:3.74.9
  • registry.redhat.io/advanced-cluster-security/rhacs-scanner-rhel8:3.74.9
  • registry.redhat.io/advanced-cluster-security/rhacs-scanner-db-rhel8:3.74.9
  • registry.redhat.io/advanced-cluster-security/rhacs-collector-rhel8:3.74.9
  • registry.redhat.io/advanced-cluster-security/rhacs-collector-slim-rhel8:3.74.9
5.1.1.1. 이미지 교체
링크 복사

Docker 명령줄 인터페이스를 사용하여 이미지를 다운로드하고 다시 태그할 수 있습니다.

중요

이미지를 다시 태그할 때 이미지 이름과 태그를 유지 관리해야 합니다. 예를 들어 다음을 사용합니다. 

$ docker tag registry.redhat.io/advanced-cluster-security/rhacs-main-rhel8:3.74.9 <your_registry>/rhacs-main-rhel8:3.74.9
Copy to Clipboard Toggle word wrap

다음 예와 같이 반복하지 마십시오. 

$ docker tag registry.redhat.io/advanced-cluster-security/rhacs-main-rhel8:3.74.9 <your_registry>/other-name:latest
Copy to Clipboard Toggle word wrap

절차

  1. 레지스트리에 로그인합니다. 

    $ docker login registry.redhat.io
    Copy to Clipboard Toggle word wrap

  2. 이미지를 가져옵니다. 

    $ docker pull <image>
    Copy to Clipboard Toggle word wrap

  3. 이미지를 다시 태그합니다. 

    $ docker tag <image> <new_image>
    Copy to Clipboard Toggle word wrap

  4. 업데이트된 이미지를 레지스트리로 푸시합니다. 

    $ docker push <new_image>
    Copy to Clipboard Toggle word wrap

5.2. 설치 중 오프라인 모드 활성화
링크 복사

Red Hat Advanced Cluster Security for Kubernetes를 설치하는 동안 오프라인 모드를 활성화할 수 있습니다.

5.2.1. Helm 구성을 사용하여 오프라인 모드 활성화
링크 복사

Helm 차트를 사용하여 Kubernetes용 Red Hat Advanced Cluster Security를 설치할 때 설치 중에 오프라인 모드를 활성화할 수 있습니다.

절차

  1. central-services Helm 차트를 설치할 때 values-public.yaml 구성 파일에서 env.offlineMode 환경 변수 값을 true 로 설정합니다.
  2. secured-cluster-services Helm 차트를 설치할 때 values-public.yaml 구성 파일에서 config.offlineMode 매개변수 값을 true 로 설정합니다.

5.2.2. roxctl CLI를 사용하여 오프라인 모드 활성화
링크 복사

roxctl CLI를 사용하여 Red Hat Advanced Cluster Security for Kubernetes를 설치할 때 오프라인 모드를 활성화할 수 있습니다.

절차

  1. 기본 인터넷 연결 레지스트리(registry.redhat.io) 이외의 레지스트리를 사용하는 경우 프롬프트를 사용하도록 이미지에 응답할 때 Red Hat Advanced Cluster Security for Kubernetes 이미지를 푸시한 위치를 제공합니다. 

    Enter main image to use (if unset, the default will be used): <your_registry>/rhacs-main-rhel8:3.74.9
    Copy to Clipboard Toggle word wrap
    참고

    기본 이미지는 프롬프트에 대한 답변에 따라 달라집니다. 기본 컨테이너 이미지 설정 입력:. rhacs, 기본 옵션을 입력하면 기본 이미지는 registry.redhat.io/advanced-cluster-security/rhacs-main-rhel8:3.74.9 입니다. 

    Enter Scanner DB image to use (if unset, the default will be used): <your_registry>/rhacs-scanner-db-rhel8:3.74.9
    Copy to Clipboard Toggle word wrap 
    Enter Scanner image to use (if unset, the default will be used): <your_registry>/rhacs-scanner-rhel8:3.74.9
    Copy to Clipboard Toggle word wrap

  2. 오프라인 모드를 활성화하려면 StackRox를 오프라인 모드에서 실행할지 여부 Enter에 응답할 때 true 를 입력합니다. 

    Enter whether to run StackRox in offline mode, which avoids reaching out to the internet (default: "false"): true
    Copy to Clipboard Toggle word wrap
  3. 나중에 RHACS 포털의 플랫폼 구성 → 클러스터 보기에서 원격 클러스터에 센서를 추가할 때 수집기 이미지 리포지토리 필드에 수집기 이미지 이름을 지정해야 합니다.

5.3. 스캐너 정의를 오프라인 모드에서 업데이트
링크 복사

Scanner에는 로컬 취약점 정의 데이터베이스가 포함되어 있습니다. Red Hat Advanced Cluster Security for Kubernetes가 일반 모드(인터넷에 연결됨)로 실행되면 scanner는 인터넷에서 새로운 취약점 정의를 가져와서 데이터베이스를 업데이트합니다.

그러나 오프라인 모드에서 Red Hat Advanced Cluster Security for Kubernetes를 사용할 때는 스캐너 정의를 중앙에 업로드하여 수동으로 업데이트해야 합니다.

Red Hat Advanced Cluster Security for Kubernetes가 오프라인 모드에서 실행되면 scanner는 중앙에서 새 정의를 확인합니다. 새로운 정의가 사용 가능한 경우 스캐너는 중앙에서 새 정의를 다운로드하고 기본값으로 표시한 다음 업데이트된 정의를 스캔에 사용합니다.

정의를 오프라인 모드로 업데이트하려면 다음을 수행합니다.

  1. 정의를 다운로드합니다.
  2. 정의를 중앙에 업로드합니다.

5.3.1. 스캐너 정의 다운로드
링크 복사

Red Hat Advanced Cluster Security for Kubernetes를 오프라인 모드에서 실행하는 경우 scanner가 사용하는 취약점 정의 데이터베이스를 다운로드하여 중앙에 업로드할 수 있습니다.

사전 요구 사항

  • 스캐너 정의를 다운로드하려면 인터넷에 액세스할 수있는 시스템이 필요합니다.

절차

5.3.2. 중앙에 정의 업로드
링크 복사

스캐너 정의를 중앙에 업로드하려면 API 토큰 또는 관리자 암호를 사용할 수 있습니다. 각 토큰에는 특정 액세스 제어 권한이 할당되므로 프로덕션 환경에서 인증 토큰을 사용하는 것이 좋습니다.

5.3.2.1. API 토큰을 사용하여 중앙에 정의 업로드
링크 복사

API 토큰을 사용하여 scanner가 중앙에 사용하는 취약점 정의 데이터베이스를 업로드할 수 있습니다.

사전 요구 사항

  • 관리자 역할이 있는 API 토큰이 있어야 합니다.
  • roxctl CLI(명령줄 인터페이스)를 설치해야 합니다.

절차

  1. ROX_API_TOKENROX_CENTRAL_ADDRESS 환경 변수를 설정합니다. 

    $ export ROX_API_TOKEN=<api_token>
    Copy to Clipboard Toggle word wrap 
    $ export ROX_CENTRAL_ADDRESS=<address>:<port_number>
    Copy to Clipboard Toggle word wrap

  2. 다음 명령을 실행하여 정의 파일을 업로드합니다. 

    $ roxctl scanner upload-db \
  -e "$ROX_CENTRAL_ADDRESS" \
  --scanner-db-file=<compressed_scanner_definitions.zip>
    Copy to Clipboard Toggle word wrap
5.3.2.2. 관리자 암호를 사용하여 중앙에 정의 업로드
링크 복사

Red Hat Advanced Cluster Security for Kubernetes 관리자 암호를 사용하여 scanner가 중앙에 사용하는 취약점 정의 데이터베이스를 업로드할 수 있습니다.

사전 요구 사항

  • 관리자 암호가 있어야 합니다.
  • roxctl CLI(명령줄 인터페이스)를 설치해야 합니다.

절차

  1. ROX_CENTRAL_ADDRESS 환경 변수를 설정합니다. 

    $ export ROX_CENTRAL_ADDRESS=<address>:<port_number>
    Copy to Clipboard Toggle word wrap

  2. 다음 명령을 실행하여 정의 파일을 업로드합니다. 

    $ roxctl scanner upload-db \
  -p <your_administrator_password> \
  -e "$ROX_CENTRAL_ADDRESS" \
  --scanner-db-file=<compressed_scanner_definitions.zip>
    Copy to Clipboard Toggle word wrap

5.4. 오프라인 모드에서 커널 지원 패키지 업데이트
링크 복사

수집기는 보안 클러스터의 각 노드의 런타임 활동을 모니터링합니다. 활동을 모니터링하려면 Collector에 프로브가 필요합니다. 이러한 프로브는 호스트에 설치된 Linux 커널 버전과 관련된 eBPF 프로그램 또는 커널 모듈입니다. 수집기 이미지에는 기본 제공 프로브 세트가 포함되어 있습니다.

Red Hat Advanced Cluster Security for Kubernetes가 정상 모드(인터넷에 연결됨)로 실행되면 필요한 프로브가 빌드되지 않은 경우 수집기는 새 프로브를 자동으로 다운로드합니다.

오프라인 모드에서는 최근 및 지원되는 모든 Linux 커널 버전에 대한 프로브가 포함된 패키지를 수동으로 다운로드하여 중앙에 업로드할 수 있습니다. 그런 다음 수집기는 중앙에서 이러한 프로브를 다운로드합니다.

수집기는 다음 순서로 새 프로브를 확인합니다. 확인 사항:

  1. 기존 수집기 이미지입니다.
  2. 커널 지원 패키지(중부에 업로드한 경우).
  3. 인터넷에서 사용할 수 있는 Red Hat 운영 서버. 수집기는 중앙의 네트워크 연결을 사용하여 프로브를 확인하고 다운로드합니다.

검사 후 수집기가 새 프로브를 얻지 못하면 CrashLoopBackoff 이벤트를 보고합니다.

네트워크 구성이 아웃바운드 트래픽을 제한하는 경우 최근 지원되는 모든 Linux 커널 버전에 대한 프로브가 포함된 패키지를 수동으로 다운로드하여 중앙에 업로드할 수 있습니다. 그런 다음 수집기는 중앙에서 이러한 프로브를 다운로드하여 아웃바운드 인터넷 액세스를 방지합니다.

5.4.1. 커널 지원 패키지 다운로드
링크 복사

Red Hat Advanced Cluster Security for Kubernetes를 오프라인 모드에서 실행하는 경우 최근 지원되는 모든 Linux 커널 버전에 대한 프로브가 포함된 패키지를 다운로드한 다음 중앙에 업로드할 수 있습니다.

절차

5.4.2. 중앙에 커널 지원 패키지 업로드
링크 복사

최근 및 지원되는 모든 Linux 커널 버전에 대한 프로브가 포함된 커널 지원 패키지를 Central에 업로드할 수 있습니다.

사전 요구 사항

  • 관리자 역할이 있는 API 토큰이 있어야 합니다.
  • roxctl CLI(명령줄 인터페이스)를 설치해야 합니다.

절차

  1. ROX_API_TOKENROX_CENTRAL_ADDRESS 환경 변수를 설정합니다. 

    $ export ROX_API_TOKEN=<api_token>
    Copy to Clipboard Toggle word wrap 
    $ export ROX_CENTRAL_ADDRESS=<address>:<port_number>
    Copy to Clipboard Toggle word wrap

  2. 다음 명령을 실행하여 커널 지원 패키지를 업로드합니다. 

    $ roxctl collector support-packages upload <package_file> \
  -e "$ROX_CENTRAL_ADDRESS"
    Copy to Clipboard Toggle word wrap
참고
  • 이전에 Central에 업로드된 콘텐츠가 포함된 새 지원 패키지를 업로드할 때 새 파일만 업로드됩니다.

  • 동일한 이름의 파일이 있지만 중앙에 존재하는 내용과 다른 내용이 포함된 새 지원 패키지를 업로드하면 roxctl 에 경고 메시지가 표시되고 파일을 덮어쓰지 않습니다.

    • upload 명령과 함께 --overwrite 옵션을 사용하여 파일을 덮어쓸 수 있습니다.
  • 필요한 프로브가 포함된 지원 패키지를 업로드할 때 Central은 이 프로브를 다운로드하기 위해 아웃바운드 요청을 하지 않습니다. Central은 지원 패키지의 프로브를 사용합니다.

6장. 경고 데이터 보존 활성화
링크 복사

Red Hat Advanced Cluster Security for Kubernetes 경고의 보존 기간을 구성하는 방법을 알아보십시오.

Red Hat Advanced Cluster Security for Kubernetes를 사용하면 기록 알림을 보관하기 위해 시간을 구성할 수 있습니다. 그런 다음 Kubernetes용 Red Hat Advanced Cluster Security는 지정된 시간 후에 이전 경고를 삭제합니다.

더 이상 필요하지 않은 경고를 자동으로 삭제하여 스토리지 비용을 절약할 수 있습니다.

보존 기간을 구성할 수 있는 경고는 다음과 같습니다.

  • 런타임 경고는 해결되지 않은(활성) 및 확인된 것입니다.
  • 현재 배포에 적용되지 않는 오래된 배포 시간 경고입니다.
참고
  • 데이터 보존 설정은 기본적으로 활성화되어 있습니다. 설치 후 이러한 설정을 변경할 수 있습니다.
  • Kubernetes용 Red Hat Advanced Cluster Security를 업그레이드하면 이전에 활성화하지 않은 경우 데이터 보존 설정이 적용되지 않습니다.
  • RHACS 포털 또는 API를 사용하여 경고 보존 설정을 구성할 수 있습니다.
  • 삭제 프로세스는 매시간 실행됩니다. 현재는 이를 변경할 수 없습니다.

6.1. 경고 데이터 보존 구성
링크 복사

RHACS 포털을 사용하여 경고 보존 설정을 구성할 수 있습니다.

사전 요구 사항

  • 데이터 보존을 구성하려면 읽기쓰기 권한이 있는 Config 역할이 있어야 합니다.

절차

  1. RHACS 포털에서 플랫폼 구성시스템 구성으로 이동합니다.
  2. 시스템 구성 보기 헤더에서 편집 을 클릭합니다.

  3. 데이터 보존 구성 섹션에서 데이터 유형마다 일 수를 업데이트합니다.

    • 모든 Runtime Violations
    • Deploy-Phase Violations 해결
    • 삭제된 배포를 위한 Runtime Violations

    • 더 이상 배포되지 않은 이미지

      참고

      데이터 유형을 영구적으로 저장하려면 보존 기간을 0 일로 설정합니다.

  4. 저장을 클릭합니다.
참고

Kubernetes API용 Red Hat Advanced Cluster Security를 사용하여 경고 데이터 보존을 구성하려면 API 참조 설명서의 ConfigService 그룹에서 PutConfig API 및 관련 API를 확인하십시오.

7장. HTTP를 통해 RHACS 포털 노출
링크 복사

암호화되지 않은 HTTP 서버를 활성화하여 Ingress 컨트롤러, 계층 7 로드 밸런서, Istio 또는 기타 솔루션을 통해 RHACS 포털을 노출합니다.

암호화되지 않은 HTTP 백엔드를 선호하는 Ingress 컨트롤러, Istio 또는 Layer 7 로드 밸런서를 사용하는 경우 HTTP를 통한 RHACS 포털을 노출하도록 Kubernetes용 Red Hat Advanced Cluster Security를 구성할 수 있습니다. 이렇게 하면 일반 텍스트 백엔드를 통해 RHACS 포털을 사용할 수 있습니다.

중요

HTTP를 통해 RHACS 포털을 노출하려면 Ingress 컨트롤러, 계층 7 로드 밸런서 또는 Istio를 사용하여 외부 트래픽을 HTTPS로 암호화해야 합니다. 일반 HTTP를 사용하여 RHACS 포털을 외부 클라이언트에 직접 노출하는 것은 안전하지 않습니다.

설치 중 또는 기존 배포에서 HTTP를 통해 RHACS 포털을 노출할 수 있습니다.

7.1. 사전 요구 사항
링크 복사

  • HTTP 끝점을 지정하려면 < endpoints_spec>을 사용해야 합니다. < type>@<addr>:<port > 형식으로 된 쉼표로 구분된 단일 끝점 사양 목록입니다.

    • typegrpc 또는 http 입니다. 유형으로 http 를 사용하는 것은 대부분의 사용 사례에서 작동합니다. 고급 사용 사례의 경우 grpc 를 사용하거나 해당 값을 생략할 수 있습니다. 유형 의 값을 생략하면 프록시에서 두 끝점을 구성할 수 있습니다. 하나는 gRPC이고 다른 하나는 HTTP에 대한 끝점입니다. 이 두 끝점 모두 중앙에서 동일한 노출된 HTTP 포트를 가리킵니다. 그러나 대부분의 프록시는 동일한 외부 포트에서 gRPC 및 HTTP 트래픽을 모두 수행하는 것을 지원하지 않습니다.
    • Add r Central을 노출할 IP 주소입니다. 포트 전달을 사용하여 액세스할 수 있는 HTTP 끝점이 필요한 경우 이를 생략하거나 localhost 또는 127.0.0.1 을 사용할 수 있습니다.
    • port 는 Central을 노출하는 포트입니다.

    • 다음은 몇 가지 유효한 &lt ;endpoints_spec> 값입니다.

      • 8080
      • http@8080
      • :8081
      • grpc@:8081
      • localhost:8080
      • http@localhost:8080
      • http@8080,grpc@8081
      • 8080, grpc@:8081, http@0.0.0.0:8082

7.2. 설치 중 HTTP를 통해 RHACS 포털 노출
링크 복사

roxctl CLI를 사용하여 Kubernetes용 Red Hat Advanced Cluster Security를 설치하는 경우 --plaintext-endpoints 옵션을 roxctl central generate interactive 명령과 함께 사용하여 설치 중에 HTTP 서버를 활성화합니다.

절차

  • 다음 명령을 실행하여 대화형 설치 프로세스 중에 HTTP 끝점을 지정합니다. 

    $ roxctl central generate interactive \
  --plaintext-endpoints=<endpoints_spec>
    1
    Copy to Clipboard Toggle word wrap
    1
    < type>@<addr>:<port> 형식의 끝점 사양. 자세한 내용은 사전 요구 사항 섹션을 참조하십시오.

7.3. 기존 배포를 위해 HTTP를 통해 RHACS 포털 노출
링크 복사

기존 Red Hat Advanced Cluster Security for Kubernetes 배포에서 HTTP 서버를 활성화할 수 있습니다.

절차

  1. 패치를 생성하고 ROX_PLAINTEXT_ENDPOINTS 환경 변수를 정의합니다. 

    $ CENTRAL_PLAINTEXT_PATCH='
spec:
  template:
    spec:
      containers:
      - name: central
        env:
        - name: ROX_PLAINTEXT_ENDPOINTS
          value: <endpoints_spec>
    1 
    
'
    Copy to Clipboard Toggle word wrap
    1
    < type>@<addr>:<port> 형식의 끝점 사양. 자세한 내용은 사전 요구 사항 섹션을 참조하십시오.

  2. ROX_PLAINTEXT_ENDPOINTS 환경 변수를 중앙 배포에 추가합니다. 

    $ oc -n stackrox patch deploy/central -p "$CENTRAL_PLAINTEXT_PATCH"
    Copy to Clipboard Toggle word wrap

8장. 보안 클러스터에 대한 자동 업그레이드 구성
링크 복사

각 보안 클러스터의 업그레이드 프로세스를 자동화하고 RHACS 포털에서 업그레이드 상태를 확인할 수 있습니다.

자동 업그레이드를 사용하면 보안 클러스터의 수동 업그레이드 작업을 자동화하여 최신 상태를 보다 쉽게 유지할 수 있습니다.

자동 업그레이드를 사용하면 Central을 업그레이드한 후 모든 보안 클러스터에서 센서, 수집기 및 규정 준수 서비스가 자동으로 최신 버전으로 업그레이드됩니다.

Red Hat Advanced Cluster Security for Kubernetes를 사용하면 RHACS 포털에서 모든 보안 클러스터를 중앙 집중식으로 관리할 수 있습니다. 새 클러스터 보기에는 모든 보안 클러스터, 모든 클러스터의 센서 버전, 업그레이드 상태 메시지가 표시됩니다. 이 보기를 사용하여 보안 클러스터를 선택적으로 업그레이드하거나 구성을 변경할 수도 있습니다.

참고
  • 자동 업그레이드 기능은 기본적으로 활성화되어 있습니다.
  • 프라이빗 이미지 레지스트리를 사용하는 경우 먼저 센서 및 수집기 이미지를 프라이빗 레지스트리로 푸시해야 합니다.
  • 센서는 기본 RBAC 권한으로 실행해야 합니다.
  • 자동 업그레이드는 클러스터에서 실행되는 Kubernetes 서비스용 Red Hat Advanced Cluster Security에 대한 패치는 유지하지 않습니다. 그러나 Kubernetes 오브젝트용 Red Hat Advanced Cluster Security에 추가한 모든 레이블 및 주석을 유지합니다.
  • 기본적으로 Red Hat Advanced Cluster Security for Kubernetes는 보안된 각 클러스터에서 sensor-upgrader 라는 서비스 계정을 생성합니다. 이 계정은 권한이 높지만 업그레이드 중에만 사용됩니다. 이 계정을 제거하면 센서에 충분한 권한이 없으며 향후 업그레이드를 수동으로 완료해야 합니다.

8.1. 자동 업그레이드 활성화
링크 복사

모든 보안 클러스터에 대해 자동 업그레이드를 통해 모든 보안 클러스터에서 수집기 및 규정 준수 서비스를 최신 버전으로 자동 업그레이드할 수 있습니다.

절차

  1. RHACS 포털에서 플랫폼 구성 → 클러스터로 이동합니다.

  2. 자동 업그레이드 보안 클러스터 토글을 켭니다.

    참고

    새 설치의 경우 자동 업그레이드 보안 클러스터 토글은 기본적으로 활성화되어 있습니다.

8.2. 자동 업그레이드 비활성화
링크 복사

보안 클러스터 업그레이드를 수동으로 관리하려면 자동 업그레이드를 비활성화할 수 있습니다.

절차

  1. RHACS 포털에서 플랫폼 구성 → 클러스터로 이동합니다.

  2. 자동 업그레이드 보안 클러스터 토글을 끕니다.

    참고

    새 설치의 경우 자동 업그레이드 보안 클러스터 토글은 기본적으로 활성화되어 있습니다.

8.3. 자동 업그레이드 상태
링크 복사

클러스터 뷰에는 모든 클러스터 및 해당 업그레이드 상태가 나열됩니다.

Expand
업그레이드 상태설명

중앙 버전으로 최신 정보

보안 클러스터는 중앙과 동일한 버전을 실행하고 있습니다.

업그레이드 사용 가능

센서 및 수집기에서 새 버전을 사용할 수 있습니다.

업그레이드에 실패했습니다. 재시도 업그레이드.

이전 자동 업그레이드에 실패했습니다.

수동 업그레이드 필요

센서 및 수집기 버전은 버전 2.5.29.0보다 오래되었습니다. 보안 클러스터를 수동으로 업그레이드해야 합니다.

사전 진행 중 검사 완료

업그레이드가 진행 중입니다. 자동 업그레이드를 수행하기 전에 업그레이드 설치 관리자에서 사전 실행 검사를 실행합니다. 사전 진행 중에 설치 프로그램은 특정 조건이 충족되는지 확인한 다음 업그레이드 프로세스만 시작합니다.

8.4. 자동 업그레이드 실패
링크 복사

경우에 따라 Kubernetes 자동 업그레이드용 Red Hat Advanced Cluster Security가 설치되지 않을 수 있습니다. 업그레이드가 실패하면 보안 클러스터의 상태 메시지가 Upgrade failed로 변경됩니다. Retry upgrade 입니다. 오류에 대한 자세한 내용과 업그레이드가 실패한 이유를 이해하려면 클러스터 보기에서 보안 클러스터 행을 확인할 수 있습니다.

오류에 대한 몇 가지 일반적인 원인은 다음과 같습니다.

  • sensor-upgrader 배포가 누락되었거나 예약할 수 없는 이미지로 인해 실행되지 않았을 수 있습니다.
  • RBAC 권한이 부족하거나 클러스터 상태를 인식할 수 없기 때문에 사전 진행 상태 점검이 실패할 수 있습니다. 이 문제는 Red Hat Advanced Cluster Security for Kubernetes 서비스 구성을 편집하거나 auto-upgrade.stackrox.io/component 라벨이 누락된 경우 발생할 수 있습니다.

  • 업그레이드를 실행할 때 오류가 있을 수 있습니다. 이 경우 업그레이드 설치 관리자는 업그레이드를 자동으로 롤백합니다.

    참고

    롤백도 실패할 수 있습니다. 이러한 경우 클러스터 로그를 확인하여 문제를 식별하거나 지원에 문의하십시오.

업그레이드 실패의 근본 원인을 식별하고 수정한 후 Retry Upgrade 옵션을 사용하여 보안 클러스터를 업그레이드할 수 있습니다.

8.5. RHACS 포털에서 수동으로 보안 클러스터 업그레이드
링크 복사

자동 업그레이드를 활성화하지 않으려면 클러스터 보기를 사용하여 보안 클러스터 업그레이드를 관리할 수 있습니다.

보안 클러스터의 업그레이드를 수동으로 트리거하려면 다음을 수행합니다.

절차

  1. RHACS 포털에서 플랫폼 구성 → 클러스터로 이동합니다.
  2. 업그레이드하려는 클러스터의 Upgrade status 열에서 사용 가능한 업그레이드 옵션을 선택합니다.
  3. 한 번에 여러 클러스터를 업그레이드하려면 업데이트하려는 클러스터의 Cluster 열에서 확인란을 선택합니다.
  4. 업그레이드를 클릭합니다.

9장. RHACS에서 비활성 클러스터 자동 제거 구성
링크 복사

RHACS(Advanced Cluster Security for Kubernetes)는 활성 클러스터만 모니터링할 수 있도록 RHACS에서 비활성 클러스터를 자동으로 제거하도록 시스템을 구성하는 옵션을 제공합니다. 처음에 중앙에서 하나 이상의 핸드셰이크를 설치 및 수행한 클러스터만 모니터링됩니다. 이 기능을 활성화하면 중앙에서 Decomissioned cluster age 필드에 구성된 기간 동안 클러스터의 Sensor에 도달할 수 없는 경우 클러스터는 RHACS에서 비활성으로 간주됩니다. 그러면 중앙에서 비활성 클러스터를 더 이상 모니터링하지 않습니다. 플랫폼 구성 → 시스템 구성 페이지에서 해제된 클러스터 사용 기간 필드를 구성할 수 있습니다. 이 기능을 구성할 때 RHACS가 활성 상태가 아닌 경우에도 클러스터를 계속 모니터링하도록 클러스터의 레이블을 추가할 수 있습니다.

RHACS에서 비활성 클러스터 제거는 기본적으로 비활성화되어 있습니다. 이 설정을 활성화하려면 다음 절차에 설명된 대로 Decommissioned cluster age 필드에 0이 아닌 번호를 입력합니다. Decommissioned cluster age 필드는 클러스터가 비활성 상태로 간주되기 전에 클러스터에 연결할 수 없는 일 수를 나타냅니다. 클러스터가 비활성 상태이면 클러스터 페이지에 클러스터 상태가 표시됩니다. 비활성 클러스터는 비정상 라벨을 사용하여 표시되며, 창에는 비활성 상태로 유지되는 경우 클러스터가 RHACS에서 제거되는 일 수가 표시됩니다. RHACS에서 클러스터가 제거되면 해당 작업은 중앙 로그에 info 로그에 설명되어 있습니다.

참고

이 설정을 활성화한 후 클러스터를 제거하기 전에 24시간 유예 기간이 있습니다. Central을 호스팅하는 클러스터는 제거되지 않습니다.

9.1. 클러스터 해제 구성
링크 복사

RHACS에서 비활성 클러스터를 자동으로 제거하도록 RHACS를 구성할 수 있습니다. 비활성 클러스터는 중앙에서 한 번 이상 설치 및 수행되었지만 지정된 기간 동안 Sensor에 의해 연결할 수 없는 핸드셰이크입니다. 연결할 수 없을 때 제거되지 않도록 클러스터에 레이블을 지정할 수도 있습니다.

절차

  1. RHACS 포털에서 플랫폼 구성시스템 구성으로 이동합니다.
  2. 시스템 구성 헤더에서 편집 을 클릭합니다.

  3. 클러스터 삭제 섹션에서 다음 필드를 구성할 수 있습니다.

    • Decommissioned cluster age: RHACS에서 제거될 것으로 간주되기 전에 클러스터에 연결할 수 없는 일 수입니다. 중앙에서 이 기간 동안 클러스터의 Sensor에 도달할 수 없는 경우 클러스터와 모든 리소스가 RHACS에서 제거됩니다. 기본 동작인 이 기능을 비활성화 상태로 유지하려면 이 필드에 0 을 입력합니다. 이 기능을 활성화하려면 90 과 같은 0이 아닌 번호를 입력하여 연결할 수 없는 일 수를 구성합니다.

    • 레이블이 있는 클러스터 무시: 클러스터가 제거되지 않도록하려면 이 섹션에 키와 값을 입력하여 라벨을 구성할 수 있습니다. Decommissioned cluster age 필드에 설정된 일 수에 대해 연결할 수 없는 경우에도 이 레이블이 있는 클러스터는 제거되지 않습니다.

      • key: 클러스터에 사용할 레이블을 입력합니다.

      • value: 키와 연결된 값을 입력합니다.

        예를 들어 프로덕션 클러스터가 제거되지 않도록 유지하기 위해 cluster-type 키와 production 값을 구성할 수 있습니다.

        참고

        클러스터 삭제 섹션에서 Sensor Status: Unhealthy가 있는 클러스터를 클릭하여 클러스터 목록 페이지로 이동합니다. 이 페이지는 제거할 수 있는 비활성 클러스터와 RHACS에서 제거하는 기간을 표시하도록 필터링됩니다.

  4. 저장을 클릭합니다.
참고

API를 사용하여 이 옵션을 보고 구성하려면 /v1/config 및 / v1/config /private 엔드포인트에 대한 요청 페이로드에서 해제된ClusterRetention 설정을 사용합니다. 자세한 내용은 RHACS 포털에서 Help → API 참조로 이동하여 ConfigService 오브젝트의 API 설명서를 참조하십시오.

9.2. 비활성 클러스터 보기
링크 복사

비활성 클러스터는 중앙에서 한 번 이상 설치 및 수행되었지만 지정된 기간 동안 Sensor에 의해 연결할 수 없는 클러스터입니다. 이러한 클러스터 목록을 보려면 다음 절차를 사용하십시오.

절차

  1. RHACS 포털에서 플랫폼 구성시스템 구성으로 이동합니다.

  2. 클러스터 삭제 섹션에서 Sensor Status: Unhealthy가 있는 클러스터를 클릭하여 클러스터 목록 페이지로 이동합니다. 이 페이지는 RHACS에서 제거할 수 있는 비활성 클러스터와 제거 기간을 표시하도록 필터링됩니다.

    참고

    클러스터가 비활성으로 간주된 후 이 기능을 활성화하면 기능이 활성화된 시간이 아니라 클러스터가 비활성 상태가 되는 시점부터 며칠이 계산됩니다. 제거하지 않는 비활성 클러스터가 있는 경우 "클러스터 제거" 섹션에 설명된 대로 라벨을 구성할 수 있습니다. 시스템이 비활성 클러스터를 제거하면 해당 라벨이 있는 클러스터는 무시됩니다.

10장. 외부 네트워크 액세스를 위한 프록시 구성
링크 복사

네트워크 구성이 프록시를 통해 아웃바운드 트래픽을 제한하는 경우 프록시를 통해 트래픽을 라우팅하도록 Red Hat Advanced Cluster Security for Kubernetes에서 프록시 설정을 구성할 수 있습니다.

Kubernetes용 Red Hat Advanced Cluster Security와 함께 프록시를 사용하는 경우:

  • 중앙 및 스캐너에서 나가는 모든 HTTP, HTTPS 및 기타 TCP 트래픽은 프록시를 통과합니다.
  • Central과 Scanner 사이의 트래픽은 프록시를 통과하지 않습니다.
  • 프록시 구성은 다른 Red Hat Advanced Cluster Security for Kubernetes 구성 요소에는 영향을 미치지 않습니다.

  • 오프라인 모드를 사용하지 않는 경우 보안 클러스터에서 실행되는 수집기는 런타임 시 추가 eBPF 프로브 또는 커널 모듈을 다운로드해야 합니다.

    • 컬렉터는 센서에 연락하여 이를 다운로드하려고 합니다.
    • 그런 다음 Sensor는 이 요청을 중앙으로 전달합니다.
    • Central은 프록시를 사용하여 https://collector-modules.stackrox.io 에서 모듈 또는 프로브를 찾습니다.

10.1. 기존 배포에서 프록시 구성
링크 복사

기존 배포에서 프록시를 구성하려면 proxy-config 시크릿을 YAML 파일로 내보내고 해당 파일에서 프록시 구성을 업데이트하고 시크릿으로 업로드해야 합니다.

참고

OpenShift Container Platform 클러스터에서 글로벌 프록시를 구성한 경우 OLM(Operator Lifecycle Manager)은 클러스터 전체 프록시로 관리하는 Operator를 자동으로 구성합니다. 그러나 설치된 Operator를 글로벌 프록시를 덮어쓰거나 사용자 정의 CA(인증 기관) 인증서를 삽입하도록 구성할 수도 있습니다.

자세한 내용은 Operator Lifecycle Manager에서 프록시 지원 구성을 참조하십시오.

절차

  1. 기존 보안을 YAML 파일로 저장합니다. 

    $ oc -n stackrox get secret proxy-config \
  -o go-template='{{index .data "config.yaml" | \
  base64decode}}{{"\n"}}' > /tmp/proxy-config.yaml
    Copy to Clipboard Toggle word wrap
  2. 설치 중 프록시 구성 섹션에 지정된 대로 YAML 구성 파일에서 수정할 필드를 편집합니다.

  3. 변경 사항을 저장한 후 다음 명령을 실행하여 보안을 교체합니다. 

    $ oc -n stackrox create secret generic proxy-config \
  --from-file=config.yaml=/tmp/proxy-config.yaml -o yaml --dry-run | \
  oc label -f - --local -o yaml app.kubernetes.io/name=stackrox | \
  oc apply -f -
    Copy to Clipboard Toggle word wrap
    중요
    • OpenShift Container Platform이 중앙 및 스캐너에 변경 사항을 전달할 때까지 1분 이상 기다려야 합니다.
    • 프록시 구성을 변경한 후 발신 연결에 문제가 표시되면 중앙 및 스캐너 Pod를 다시 시작해야 합니다.

10.2. 설치 중 프록시 구성
링크 복사

roxctl CLI(명령줄 인터페이스) 또는 Helm을 사용하여 Kubernetes용 Red Hat Advanced Cluster Security를 설치하는 경우 설치 중에 프록시 구성을 지정할 수 있습니다.

roxctl central generate 명령을 사용하여 설치 프로그램을 실행하면 설치 프로그램이 환경에 대한 시크릿 및 배포 구성 파일을 생성합니다. 생성된 구성 시크릿(YAML) 파일을 편집하여 프록시를 구성할 수 있습니다. 현재 roxctl CLI를 사용하여 프록시를 구성할 수 없습니다. 구성은 쿠버네티스 시크릿에 저장되고 중앙과 스캐너 둘 다에서 공유합니다.

절차

  1. 배포 번들 디렉터리에서 구성 파일 central/proxy-config-secret.yaml 을 엽니다.

    참고

    Helm을 사용하는 경우 구성 파일은 central/templates/proxy-config-secret.yaml 에 있습니다.

  2. 구성 파일에서 수정할 필드를 편집합니다. 

    apiVersion: v1
kind: Secret
metadata:
  namespace: stackrox
  name: proxy-config
type: Opaque
stringData:
  config.yaml: |-
    1 
    
    # # NOTE: Both central and scanner should be restarted if this secret is changed.
    # # While it is possible that some components will pick up the new proxy configuration
    # # without a restart, it cannot be guaranteed that this will apply to every possible
    # # integration etc.
    # url: http://proxy.name:port
    2 
    
    # username: username
    3 
    
    # password: password
    4 
    
    # # If the following value is set to true, the proxy wil NOT be excluded for the default hosts:
    # # - *.stackrox, *.stackrox.svc
    # # - localhost, localhost.localdomain, 127.0.0.0/8, ::1
    # # - *.local
    # omitDefaultExcludes: false
    # excludes:  # hostnames (may include * components) for which you do not
    5 
    
    # # want to use a proxy, like in-cluster repositories.
    # - some.domain
    # # The following configuration sections allow specifying a different proxy to be used for HTTP(S) connections.
    # # If they are omitted, the above configuration is used for HTTP(S) connections as well as TCP connections.
    # # If only the `http` section is given, it will be used for HTTPS connections as well.
    # # Note: in most cases, a single, global proxy configuration is sufficient.
    # http:
    #   url: http://http-proxy.name:port
    6 
    
    #   username: username
    7 
    
    #   password: password
    8 
    
    # https:
    #   url: http://https-proxy.name:port
    9 
    
    #   username: username
    10 
    
    #   password: password
    11
    Copy to Clipboard Toggle word wrap
    3 4 7 8 10 11
    사용자 이름과 암호 를 추가하는 것은 시작과 httphttps 섹션의 선택 사항입니다.
    2 6 9
    url 옵션은 다음 URL 스키마를 지원합니다.
    • HTTP 프록시의 경우 HTTP :// 입니다.
    • TLS 사용 HTTP 프록시의 경우 HTTPS :// 입니다.
    • socks5:// for a#177KS5 proxy.
    5
    excludes 목록에는 CIDR 표기법(예: 10.0.0.0/8)의 DNS 이름( * 와일드카드 포함), IP 주소 또는 IP 블록이 포함될 수 있습니다. 이 목록의 값은 프로토콜에 관계없이 모든 발신 연결에 적용됩니다.
    1
    stringData 섹션의 |- 행은 구성 데이터의 시작을 나타냅니다.
    참고
    • 파일을 처음 열면 모든 값이 주석 처리됩니다(행 시작 부분에 # 기호를 사용하여). 이중 해시 기호로 시작하는 줄 # # 에는 구성 키에 대한 설명이 포함되어 있습니다.
    • 필드를 편집할 때 config.yaml: |- 행과 관련된 들여쓰기 수준을 두 개의 공백으로 유지합니다.
  3. 구성 파일을 편집한 후 일반적인 설치를 진행할 수 있습니다. 업데이트된 구성은 제공된 주소와 포트 번호에서 실행되는 프록시를 사용하도록 Red Hat Advanced Cluster Security for Kubernetes에 지시합니다.

11장. 진단 번들 생성
링크 복사

진단 번들을 생성하고 해당 데이터를 보내 지원 팀에서 Kubernetes 구성 요소에 대한 Red Hat Advanced Cluster Security의 상태 및 상태에 대한 인사이트를 제공할 수 있습니다.

Red Hat은 Kubernetes용 Red Hat Advanced Cluster Security 관련 문제를 조사하는 동안 진단 번들을 보내도록 요청할 수 있습니다. 진단 번들을 생성하고 전송하기 전에 해당 데이터를 검사할 수 있습니다.

참고

진단 번들은 암호화되지 않으며 사용자 환경의 클러스터 수에 따라 번들 크기는 100KB에서 1MB 사이입니다. 항상 암호화된 채널을 사용하여 이 데이터를 Red Hat으로 다시 전송합니다.

11.1. 진단 번들 데이터
링크 복사

진단 번들을 생성할 때 다음 데이터가 포함됩니다.

  • 중앙 힙 프로필.
  • 시스템 로그: Kubernetes 구성 요소에 대한 모든 Red Hat Advanced Cluster Security 로그(최근 20분 동안)와 최근 충돌한 구성 요소 로그(하드 충돌 전 최대 20분)의 로그입니다. 시스템 로그는 환경 크기에 따라 다릅니다. 대규모 배포의 경우 데이터에 심각한 오류가 있는 구성 요소에 대한 로그 파일(예: 재시작 횟수)이 포함됩니다.
  • Red Hat Advanced Cluster Security for Kubernetes 구성 요소에 대한 YAML 정의: 이 데이터에는 Kubernetes 시크릿이 포함되어 있지 않습니다.
  • OpenShift Container Platform 또는 Kubernetes 이벤트: stackrox 네임스페이스의 오브젝트와 관련된 이벤트에 대한 세부 정보입니다.

  • 다음을 포함하는 온라인 Telemetry 데이터

    • 스토리지 정보: 데이터베이스 크기 및 연결된 볼륨에서 사용 가능한 여유 공간에 대한 세부 정보입니다.
    • Red Hat Advanced Cluster Security for Kubernetes 구성 요소 상태 정보: Kubernetes 구성 요소 버전, 메모리 사용량 및 보고된 오류에 대한 세부 정보.
    • Coarse-grained 사용 통계: API 끝점 호출 수에 대한 세부 정보 및 오류 상태 보고. API 요청으로 전송된 실제 데이터는 포함되지 않습니다.
    • 노드 정보: 보안된 각 클러스터의 노드에 대한 세부 정보입니다. 여기에는 커널 및 운영 체제 버전, 리소스 부족 및 테인트가 포함됩니다.
    • 환경 정보: Kubernetes 또는 OpenShift Container Platform 버전, Istio 버전(해당되는 경우), 클라우드 공급자 유형 및 기타 유사한 정보를 포함하여 보안된 각 클러스터에 대한 세부 정보입니다.

11.2. RHACS 포털을 사용하여 진단 번들 생성
링크 복사

RHACS 포털에서 시스템 상태 대시보드를 사용하여 진단 번들을 생성할 수 있습니다.

사전 요구 사항

  • 진단 번들을 생성하려면 DebugLogs 리소스에 대한 읽기 권한이 필요합니다.

절차

  1. RHACS 포털에서 플랫폼 구성시스템 상태를 선택합니다.
  2. System Health View 헤더에서 진단 번들 생성을 클릭합니다.
  3. Filter by clusters 드롭다운 메뉴의 경우 진단 데이터를 생성할 클러스터를 선택합니다.
  4. Filter by starting time 의 경우 진단 데이터를 포함하려는 날짜 및 시간 (UTC 형식으로)을 지정합니다.
  5. 진단 번들 다운로드를 클릭합니다.

11.3. roxctl CLI를 사용하여 진단 번들 생성
링크 복사

roxctl CLI를 사용하여 RHACS(Red Hat Advanced Cluster Security for Kubernetes) 관리자 암호 또는 API 토큰 및 중앙 주소를 사용하여 진단 번들을 생성할 수 있습니다.

사전 요구 사항

  • 진단 번들을 생성하려면 Administration 리소스에 대한 읽기 권한이 필요합니다. 이는 버전 3.73.0 이전의 DebugLogs 리소스 버전에 필요합니다.
  • RHACS 관리자 암호 또는 API 토큰 및 중앙 주소를 구성해야 합니다.

절차

  • RHACS 관리자 암호를 사용하여 진단 번들을 생성하려면 다음 단계를 수행합니다.

    1. 다음 명령을 실행하여 ROX_PASSWORDROX_CENTRAL_ADDRESS 환경 변수를 구성합니다. 

      $ export ROX_PASSWORD=<rox_password> && export ROX_CENTRAL_ADDRESS=<address>:<port_number>
      1
      Copy to Clipboard Toggle word wrap
      1
      & lt;rox_password& gt; 는 RHACS 관리자 암호를 지정합니다.

    2. RHACS 관리자 암호를 사용하여 진단 번들을 생성하려면 다음 명령을 실행합니다. 

      $ roxctl -e "$ROX_CENTRAL_ADDRESS" -p "$ROX_PASSWORD" central debug download-diagnostics
      Copy to Clipboard Toggle word wrap

  • API 토큰을 사용하여 진단 번들을 생성하려면 다음 단계를 수행합니다.

    1. 다음 명령을 실행하여 ROX_API_TOKEN 환경 변수를 구성합니다. 

      $ export ROX_API_TOKEN=<api_token>
      Copy to Clipboard Toggle word wrap

    2. 다음 명령을 실행하여 API 토큰을 사용하여 진단 번들을 생성합니다. 

      $ roxctl -e "$ROX_CENTRAL_ADDRESS" central debug download-diagnostics
      Copy to Clipboard Toggle word wrap

12장. 끝점 구성
링크 복사

YAML 구성 파일을 사용하여 RHACS(Red Hat Advanced Cluster Security for Kubernetes)의 끝점을 구성하는 방법을 알아봅니다.

YAML 구성 파일을 사용하여 노출된 엔드포인트를 구성할 수 있습니다. 이 구성 파일을 사용하여 Kubernetes용 Red Hat Advanced Cluster Security에 대해 하나 이상의 엔드포인트를 정의하고 각 끝점에 대한 TLS 설정을 사용자 지정하거나 특정 끝점에 대해 TLS를 비활성화할 수 있습니다. 클라이언트 인증이 필요한지 그리고 허용할 클라이언트 인증서를 정의할 수도 있습니다.

12.1. 사용자 정의 YAML 구성
링크 복사

Red Hat Advanced Cluster Security for Kubernetes는 YAML 구성을 ConfigMap 으로 사용하므로 구성을 보다 쉽게 변경하고 관리할 수 있습니다.

사용자 지정 YAML 구성 파일을 사용하는 경우 각 끝점에 대해 다음을 구성할 수 있습니다.

  • HTTP,gRPC, 또는 둘 다와 같이 사용할 프로토콜입니다.
  • TLS를 활성화하거나 비활성화합니다.
  • 서버 인증서를 지정합니다.
  • 클라이언트 인증을 위해 신뢰할 클라이언트 인증 기관(CA)입니다.
  • mTLS(클라이언트 인증서 인증)이 필요한지 여부를 지정합니다.

구성 파일을 사용하여 설치 중 또는 Kubernetes용 Red Hat Advanced Cluster Security의 기존 인스턴스에 끝점을 지정할 수 있습니다. 그러나 기본 포트 8443 이외의 추가 포트를 노출하는 경우 해당 추가 포트에서 트래픽을 허용하는 네트워크 정책을 생성해야 합니다.

다음은 Kubernetes용 Red Hat Advanced Cluster Security의 샘플 endpoints.yaml 구성 파일입니다. 

# Sample endpoints.yaml configuration for Central.
#
# # CAREFUL: If the following line is uncommented, do not expose the default endpoint on port 8443 by default.
# #          This will break normal operation.
# disableDefault: true # if true, do not serve on :8443
1 

endpoints:
2 

  # Serve plaintext HTTP only on port 8080
  - listen: ":8080"
3 

    # Backend protocols, possible values are 'http' and 'grpc'. If unset or empty, assume both.
    protocols:
4 

      - http
    tls:
5 

      # Disable TLS. If this is not specified, assume TLS is enabled.
      disable: true
6 

  # Serve HTTP and  gRPC for sensors only on port 8444
  - listen: ":8444"
7 

    tls:
8 

      # Which TLS certificates to serve, possible values are 'service' (For  service certificates that Red Hat Advanced Cluster Security for Kubernetes generates)
      # and 'default' (user-configured default TLS certificate). If unset or empty, assume both.
      serverCerts:
9 

        - default
        - service
      # Client authentication settings.
      clientAuth:
10 

        # Enforce TLS client authentication. If unset, do not enforce, only request certificates
        # opportunistically.
        required: true
11 

        # Which TLS client CAs to serve, possible values are 'service' (CA for service
        # certificates that Red Hat Advanced Cluster Security for Kubernetes generates) and 'user' (CAs for PKI auth providers). If unset or empty, assume both.
        certAuthorities:
12 

        # if not set, assume ["user", "service"]
          - service
Copy to Clipboard Toggle word wrap
1
기본 포트 번호 8443 에서 노출을 비활성화하려면 true 를 사용합니다. 기본값은 false 입니다. true 로 변경하면 기존 기능이 중단될 수 있습니다.
2
중앙에서 노출하기 위한 추가 끝점 목록입니다.
3 7
수신 대기할 주소 및 포트 번호입니다. 끝점 을 사용하는 경우 이 값을 지정해야 합니다. port , : port, address:port 형식을 사용하여 값을 지정할 수 있습니다. 예를 들면 다음과 같습니다.
  • 8080 또는 :8080 - 모든 인터페이스의 포트 8080 에서 수신 대기합니다.
  • 0.0.0.0:8080 - 모든 IPv4(IPv6) 인터페이스의 포트 8080 에서 수신 대기합니다.
  • 127.0.0.1:8080 - 로컬 루프백 장치의 포트 8080 에서만 수신 대기합니다.
4
지정된 끝점에 사용할 프로토콜입니다. 허용 가능한 값은 httpgrpc 입니다. 값을 지정하지 않으면 Central은 지정된 포트에서 HTTP 및 gRPC 트래픽을 모두 수신합니다. RHACS 포털 전용 엔드포인트를 노출하려면 http 를 사용하십시오. 그러나 이러한 클라이언트에는 gRPC 및 HTTP가 모두 필요하므로 서비스 간 통신 또는 roxctl CLI에 끝점을 사용할 수 없습니다. 끝점에 대해 HTTP 및 gRPC 프로토콜을 모두 활성화하려면 이 키의 값을 지정하지 않는 것이 좋습니다. Kubernetes 서비스의 Red Hat Advanced Cluster Security로만 끝점을 제한하려면 clientAuth 옵션을 사용합니다.
5 8
이를 사용하여 끝점에 대한 TLS 설정을 지정합니다. 값을 지정하지 않으면 Red Hat Advanced Cluster Security for Kubernetes는 다음 중첩 키에 대한 기본 설정으로 TLS를 활성화합니다.
6
true 를 사용하여 지정된 끝점에서 TLS를 비활성화합니다. 기본값은 false입니다. true 로 설정하면 serverCertsclientAuth 의 값을 지정할 수 없습니다.
9
서버 TLS 인증서를 구성할 소스 목록을 지정합니다. serverCerts 목록은 순서에 따라 달라지므로 목록의 첫 번째 항목이 중앙에서 기본적으로 사용하는 인증서를 결정합니다. 즉, 일치하는 SNI(Server Name Indication)가 없습니다. 이를 사용하여 여러 인증서를 지정할 수 있으며 중앙은 SNI를 기반으로 올바른 인증서를 자동으로 선택합니다. 허용 가능한 값은 다음과 같습니다.
  • Default: 이미 구성된 사용자 정의 TLS 인증서가 있는 경우 사용합니다.
  • Service: Red Hat Advanced Cluster Security for Kubernetes에서 생성하는 내부 서비스 인증서를 사용합니다.
10
이를 사용하여 TLS 사용 끝점의 클라이언트 인증서 인증 동작을 구성합니다.
11
true 를 사용하여 유효한 클라이언트 인증서가 있는 클라이언트만 허용합니다. 기본값은 false입니다. 서비스의 certAuthorities 설정과 함께 true 를 사용하면 Red Hat Advanced Cluster Security for Kubernetes 서비스 만 이 엔드포인트에 연결할 수 있습니다.
12
클라이언트 인증서를 확인하는 CA 목록입니다. 기본값은 ["service", "user"] 입니다. certAuthorities 목록은 순서 독립적이므로 이 목록에 있는 항목의 위치는 중요하지 않음을 의미합니다. 또한 빈 목록으로 설정하면 이 값을 설정되지 않은 상태로 두는 끝점에 대한 클라이언트 인증서 인증이 비활성화됩니다. 허용 가능한 값은 다음과 같습니다.
  • Service: Red Hat Advanced Cluster Security for Kubernetes에서 생성하는 서비스 인증서의 경우 CA입니다.
  • 사용자: PKI 인증 공급자에 의해 구성된 CA입니다.

12.2. 새 설치 중 끝점 구성
링크 복사

roxctl CLI를 사용하여 Kubernetes용 Red Hat Advanced Cluster Security를 설치하면 Central을 배포하는 데 필요한 YAML 매니페스트 및 스크립트가 포함된 central-bundle 이라는 폴더가 생성됩니다.

절차

  1. central-bundle 을 생성한 후 ./central-bundle/central/02-endpoints-config.yaml 파일을 엽니다.
  2. 이 파일에서 키 endpoints.yamldata: 섹션에 사용자 지정 YAML 구성을 추가합니다. YAML 구성에 대해 4개의 공백 들여쓰기를 유지 관리해야 합니다.
  3. 정상적으로 설치 지침을 따르십시오. Red Hat Advanced Cluster Security for Kubernetes는 지정된 구성을 사용합니다.
참고

기본 포트 8443 이외의 추가 포트를 노출하는 경우 해당 추가 포트에서 트래픽을 허용하는 네트워크 정책을 생성해야 합니다.

12.3. 기존 인스턴스의 끝점 구성
링크 복사

Kubernetes용 Red Hat Advanced Cluster Security의 기존 인스턴스에 대한 끝점을 구성할 수 있습니다.

절차

  1. 기존 구성 맵을 다운로드합니다. 

    $ oc -n stackrox get cm/central-endpoints -o go-template='{{index .data "endpoints.yaml"}}'  > <directory_path>/central_endpoints.yaml
    Copy to Clipboard Toggle word wrap
  2. 다운로드한 central_endpoints.yaml 파일에서 사용자 지정 YAML 구성을 지정합니다.

  3. 수정된 central_endpoints.yaml 구성 파일을 업로드하고 적용합니다. 

    $ oc -n stackrox create cm central-endpoints --from-file=endpoints.yaml=<directory-path>/central-endpoints.yaml -o yaml --dry-run | \
oc label -f - --local -o yaml app.kubernetes.io/name=stackrox | \
oc apply -f -
    Copy to Clipboard Toggle word wrap
  4. Central을 다시 시작합니다.
참고

기본 포트 8443 이외의 추가 포트를 노출하는 경우 해당 추가 포트에서 트래픽을 허용하는 네트워크 정책을 생성해야 합니다.

12.3.1. 중앙 컨테이너 다시 시작
링크 복사

중앙 컨테이너를 종료하거나 중앙 Pod를 삭제하여 중앙 컨테이너를 다시 시작할 수 있습니다.

절차

  • 다음 명령을 실행하여 Central 컨테이너를 종료합니다.

    참고

    OpenShift Container Platform이 변경 사항을 전파하고 중앙 컨테이너를 다시 시작할 때까지 1분 이상 기다려야 합니다. 

    $ oc -n stackrox exec deploy/central -c central -- kill 1
    Copy to Clipboard Toggle word wrap

  • 또는 다음 명령을 실행하여 중앙 Pod를 삭제합니다. 

    $ oc -n stackrox delete pod -lapp=central
    Copy to Clipboard Toggle word wrap

12.4. 사용자 정의 포트를 통한 트래픽 흐름 활성화
링크 복사

동일한 클러스터 또는 수신 컨트롤러에 실행 중인 다른 서비스에 포트를 노출하는 경우 클러스터의 서비스 또는 수신 컨트롤러의 프록시에서 발생하는 트래픽만 허용해야 합니다. 그렇지 않으면 로드 밸런서 서비스를 사용하여 포트를 노출하는 경우 외부 소스를 포함하여 모든 소스의 트래픽을 허용할 수 있습니다. 이 섹션에 나열된 절차를 사용하여 모든 소스의 트래픽을 허용합니다.

절차

  1. allow-ext-to-central Kubernetes 네트워크 정책을 복제합니다. 

    $ oc -n stackrox get networkpolicy.networking.k8s.io/allow-ext-to-central -o yaml > <directory_path>/allow-ext-to-central-custom-port.yaml
    Copy to Clipboard Toggle word wrap
  2. 이를 참조로 사용하여 네트워크 정책을 생성하고 해당 정책에서 노출하려는 포트 번호를 지정합니다. YAML 파일의 metadata 섹션에서 네트워크 정책의 이름을 변경하여 기본 제공 allow-ext-to-central 정책을 방해하지 않도록 하십시오.

13장. Prometheus를 사용한 모니터링
링크 복사

Prometheus 는 오픈 소스 모니터링 및 경고 플랫폼입니다. RHACS(Red Hat Advanced Cluster Security for Kubernetes)의 중앙 및 센서 구성 요소의 상태 및 가용성을 모니터링하는 데 사용할 수 있습니다. 모니터링을 활성화하면 RHACS는 포트 번호 9090 에 새 모니터링 서비스를 생성하고 해당 포트에 대한 인바운드 연결을 허용하는 네트워크 정책을 생성합니다.

13.1. RHACS Operator를 사용하여 중앙 서비스 모니터링
링크 복사

중앙 사용자 지정 리소스의 구성을 변경하여 중앙 서비스, 중앙 및 스캐너를 모니터링할 수 있습니다.

절차

  1. OpenShift Container Platform 웹 콘솔에서 Operator → 설치된 Operator 페이지로 이동합니다.
  2. 설치된 Operator 목록에서 Kubernetes Operator용 Red Hat Advanced Cluster Security를 선택합니다.
  3. 중앙 탭을 클릭합니다.
  4. 중앙 인스턴스 목록에서 모니터링을 사용하도록 설정할 중앙 인스턴스를 클릭합니다.

  5. YAML 탭을 클릭하고 YAML 구성을 업데이트합니다.

    • 중앙 모니터링의 경우 Central 사용자 정의 리소스에 대한 central.monitoring.exposeEndpoint 구성 옵션을 활성화합니다. 

      apiVersion: platform.stackrox.io/v1alpha1
kind: Central
...
spec:
  central:
    monitoring:
      exposeEndpoint: Enabled
...
      Copy to Clipboard Toggle word wrap

    • 모니터링 스캐너의 경우 Central 사용자 정의 리소스에 대한 scanner.monitoring.exposeEndpoint 구성 옵션을 활성화합니다. 

      apiVersion: platform.stackrox.io/v1alpha1
kind: Central
...
spec:
  scanner:
    monitoring:
      exposeEndpoint: Enabled
...
      Copy to Clipboard Toggle word wrap
  6. 저장을 클릭합니다.

13.2. Helm 차트를 사용하여 중앙 서비스 모니터링
링크 복사

중앙 서비스 Helm 차트에서 구성 옵션을 변경하여 중앙 서비스, 중앙 및 스캐너를 모니터링할 수 있습니다.

절차

  1. values-public.yaml 구성 파일을 다음 값으로 업데이트합니다. 

    central.exposeMonitoring: true
scanner.exposeMonitoring: true
    Copy to Clipboard Toggle word wrap

  2. helm upgrade 명령을 실행하고 -f 옵션을 사용하여 구성 파일을 지정합니다. 

    $ helm upgrade -n stackrox \
  stackrox-central-services rhacs/central-services \
  -f <path_to_values_public.yaml>
    Copy to Clipboard Toggle word wrap
    참고

    --set 또는 --set-file 매개변수를 사용하여 구성 값을 지정할 수도 있습니다. 그러나 이러한 옵션은 저장되지 않으며 변경할 때마다 모든 옵션을 수동으로 다시 지정해야 합니다.

13.3. Prometheus 서비스 모니터를 사용하여 중앙 모니터링
링크 복사

Prometheus Operator를 사용하는 경우 서비스 모니터를 사용하여 RHACS(Red Hat Advanced Cluster Security for Kubernetes)에서 메트릭을 스크랩할 수 있습니다.

참고

Prometheus Operator를 사용하지 않는 경우 RHACS에서 데이터를 수신하도록 Prometheus 구성 파일을 편집해야 합니다.

절차

  1. 다음 콘텐츠를 사용하여 새 servicemonitor.yaml 파일을 생성합니다. 

    apiVersion: monitoring.coreos.com/v1
kind: ServiceMonitor
metadata:
  name: prometheus-stackrox
  namespace: stackrox
spec:
  endpoints:
    - interval: 30s
      port: monitoring
      scheme: http
  selector:
    matchLabels:
      app.kubernetes.io/name: <stackrox-service>
    1
    Copy to Clipboard Toggle word wrap
    1
    라벨은 모니터링하려는 서비스 리소스와 일치해야 합니다. 예를 들면 central 또는 scanner 가 있습니다.

  2. 클러스터에 YAML을 적용합니다. 

    $ oc apply -f servicemonitor.yaml
    1
    Copy to Clipboard Toggle word wrap
    1
    Kubernetes를 사용하는 경우 oc.. 대신 kubectl 을 입력합니다.

검증

  • 다음 명령을 실행하여 서비스 모니터 상태를 확인합니다. 

    $ oc get servicemonitor --namespace stackrox
    1
    Copy to Clipboard Toggle word wrap
    1
    Kubernetes를 사용하는 경우 oc.. 대신 kubectl 을 입력합니다.

13.4. 수동으로 모니터링 활성화
링크 복사

중요

central.monitoring.exposeEndpoint: Enabled 또는 central.exposeMonitoring: true Helm 차트 사용자 지정 옵션을 사용하여 모니터링을 이미 활성화한 경우 이 섹션에서 명령을 실행하지 마십시오.

Red Hat Advanced Cluster Security for Kubernetes를 모니터링하려면 먼저 모니터링을 활성화해야 합니다.

절차

  1. 포트 번호 9090 을 노출하도록 서비스를 패치합니다.

    1. 센서 서비스를 패치합니다. 

      $ oc -n stackrox patch svc/sensor -p '{"spec":{"ports":[{"name":"monitoring","port":9090,"protocol":"TCP","targetPort":9090}]}}'
      1
      Copy to Clipboard Toggle word wrap
      1
      Kubernetes를 사용하는 경우 oc.. 대신 kubectl 을 입력합니다.

    2. 중앙 서비스를 패치합니다. 

      $ oc -n stackrox patch svc/central -p '{"spec":{"ports":[{"name":"monitoring","port":9090,"protocol":"TCP","targetPort":9090}]}}'
      Copy to Clipboard Toggle word wrap

  2. 수신을 허용하도록 네트워크 정책을 수정합니다. 

    $ oc apply -f - <<EOF
    1 
    
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  labels:
    app.kubernetes.io/name: stackrox
  name: allow-monitoring
  namespace: stackrox
spec:
  ingress:
  - ports:
    - port: 9090
      protocol: TCP
  podSelector:
    matchExpressions:
    - {key: app, operator: In, values: [central, sensor, collector]}
  policyTypes:
  - Ingress
EOF
    Copy to Clipboard Toggle word wrap
    1
    Kubernetes를 사용하는 경우 oc.. 대신 kubectl 을 입력합니다.

13.5. 기본 포트 사용자 지정
링크 복사

Kubernetes Central 및 Sensor의 Red Hat Advanced Cluster Security 및 Sensor에서 Prometheus 지표에 사용되는 포트를 사용자 지정하려면 ROX_METRICS_PORT 환경 변수를 사용할 수 있습니다.

절차

  • ROX_METRICS_PORT 환경 변수를 설정합니다. 

    $ oc -n stackrox set env deploy/central ROX_METRICS_PORT=<value>
    1
    Copy to Clipboard Toggle word wrap
    1
    Kubernetes를 사용하는 경우 oc.. 대신 kubectl 을 입력합니다.
참고

ROX_METRICS_PORT 환경 변수의 < value >를 다음과 같이 지정할 수 있습니다.

  • 모니터링을 비활성화하려면 비활성화되어 있습니다.
  • :<port_number >를 와일드카드 주소에 바인딩합니다.
  • <address>:<port_number >는 특정 주소와 포트 번호를 사용합니다. 대괄호로 묶어 IPv6 주소를 지정할 수도 있습니다(예: [2001:db8::1234]:9090 ).

14장. 감사 로깅 구성
링크 복사

Red Hat Advanced Cluster Security for Kubernetes는 Red Hat Advanced Cluster Security for Kubernetes의 모든 변경 사항을 확인하는 데 사용할 수 있는 감사 로깅 기능을 제공합니다. 감사 로그는 Red Hat Advanced Cluster Security for Kubernetes에 대한 모든 PUTPOST 이벤트를 캡처합니다. 이 정보를 사용하여 문제를 해결하거나 역할 및 권한 변경과 같은 중요한 이벤트 레코드를 유지합니다. 감사 로깅을 사용하면 Red Hat Advanced Cluster Security for Kubernetes에서 발생한 모든 정상 및 비정상적인 이벤트를 완벽하게 파악할 수 있습니다.

참고

감사 로깅은 기본적으로 활성화되어 있지 않습니다. 감사 로깅을 수동으로 활성화해야 합니다.

주의

현재 감사 로그 메시지에 대한 메시지 전달 보장이 없습니다.

14.1. 감사 로깅 활성화
링크 복사

감사 로깅을 활성화하면 수정할 때마다 Kubernetes용 Red Hat Advanced Cluster Security는 구성된 시스템에 HTTP POST 메시지(JSON 형식)를 보냅니다.

사전 요구 사항

  • Kubernetes 로그 메시지에 대한 Red Hat Advanced Cluster Security를 처리하도록 Splunk 또는 다른 웹 후크 수신자를 구성합니다.
  • 역할에 대한 Notifiers 리소스에 쓰기 권한이 활성화되어 있어야 합니다.

절차

  1. RHACS 포털에서 플랫폼 구성통합 으로 이동합니다.
  2. Notifier Integrations 섹션까지 아래로 스크롤하여 Generic Webhook 또는 Splunk 를 선택합니다.
  3. 필요한 정보를 입력하고 감사 로깅 활성화 토글을 켭니다.

14.2. 감사 로그 메시지 샘플
링크 복사

로그 메시지에는 다음 형식이 있습니다. 

{
  "headers": {
    "Accept-Encoding": [
      "gzip"
    ],
    "Content-Length": [
      "586"
    ],
    "Content-Type": [
      "application/json"
    ],
    "User-Agent": [
      "Go-http-client/1.1"
    ]
  },
  "data": {
    "audit": {
      "interaction": "CREATE",
      "method": "UI",
      "request": {
        "endpoint": "/v1/notifiers",
        "method": "POST",
        "payload": {
          "@type": "storage.Notifier",
          "enabled": true,
          "generic": {
            "auditLoggingEnabled": true,
            "endpoint": "http://samplewebhookserver.com:8080"
          },
          "id": "b53232ee-b13e-47e0-b077-1e383c84aa07",
          "name": "Webhook",
          "type": "generic",
          "uiEndpoint": "https://localhost:8000"
        }
      },
      "status": "REQUEST_SUCCEEDED",
      "time": "2019-05-28T16:07:05.500171300Z",
      "user": {
        "friendlyName": "John Doe",
        "role": {
          "globalAccess": "READ_WRITE_ACCESS",
          "name": "Admin"
        },
        "username": "john.doe@example.com"
      }
    }
  }
}
Copy to Clipboard Toggle word wrap

법적 공지
링크 복사

Copyright © 2024 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2026 Red Hat맨 위로 이동