Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

5장. 승인 컨트롤러 적용 사용

Red Hat Advanced Cluster Security for Kubernetes는 Kubernetes 승인 컨트롤러OpenShift Container Platform 승인 플러그인 과 함께 작동하므로 Kubernetes 또는 OpenShift Container Platform이 워크로드를 생성하기 전에 보안 정책을 적용할 수 있습니다(예: 배포, 데몬 세트 또는 작업).

Red Hat Advanced Cluster Security for Kubernetes Admission Controller에서는 사용자가 Red Hat Advanced Cluster Security for Kubernetes에서 구성하는 정책을 위반하는 워크로드를 생성하지 못하도록 합니다. Red Hat Advanced Cluster Security for Kubernetes 버전 3.0.41부터는 정책을 위반하는 워크로드에 대한 업데이트가 발생하지 않도록 승인 컨트롤러를 구성할 수도 있습니다.

Red Hat Advanced Cluster Security for Kubernetes는 ValidatingAdmissionWebhook 컨트롤러를 사용하여 프로비저닝 중인 리소스가 지정된 보안 정책을 준수하는지 확인합니다. 이를 처리하기 위해 Kubernetes용 Red Hat Advanced Cluster Security는 여러 Webhook 규칙을 포함하는 ValidatingWebhookConfiguration 을 생성합니다.

Kubernetes 또는 OpenShift Container Platform API 서버가 Webhook 규칙 중 하나와 일치하는 요청을 수신하면 API 서버에서 AdmissionReview 요청을 Red Hat Advanced Cluster Security for Kubernetes로 보냅니다. Red Hat Advanced Cluster Security for Kubernetes는 구성된 보안 정책에 따라 요청을 수락하거나 거부합니다.

참고

OpenShift Container Platform에서 승인 컨트롤러 적용을 사용하려면 Red Hat Advanced Cluster Security for Kubernetes 버전 3.0.49 이상이 필요합니다.

5.1. 승인 컨트롤러 적용 이해

승인 컨트롤러 적용을 사용하려면 다음 사항을 고려하십시오.

  • API 대기 시간: 승인 컨트롤러 시행을 사용하면 추가 API 검증 요청이 포함되어 있기 때문에 Kubernetes 또는 OpenShift Container Platform API 대기 시간이 증가합니다. fabric8과 같은 많은 표준 Kubernetes 라이브러리는 기본적으로 짧은 Kubernetes 또는 OpenShift Container Platform API 시간 초과를 갖습니다. 또한 사용 중인 사용자 정의 자동화에서 API 시간 초과를 고려하십시오.

  • 이미지 검사: 클러스터 구성 패널에서 Contact Image Scanners 옵션을 설정하여 승인 컨트롤러에서 요청을 검토하는지 여부를 선택할 수 있습니다.

    • 이 설정을 활성화하면 검사 또는 이미지 서명 확인 결과를 사용할 수 없는 경우 Red Hat Advanced Cluster Security for Kubernetes는 이미지 스캐너에 연결하여 상당한 대기 시간을 추가합니다.
    • 이 설정을 비활성화하면 적용 결정은 캐시된 검사 및 서명 확인 결과를 사용할 수 있는 경우에만 이미지 검사 기준을 고려합니다.

  • 승인 컨트롤러 적용은 다음을 수행할 수 있습니다.

    • Pod securityContext 의 옵션
    • 배포 구성.
    • 이미지 구성 요소 및 취약점.

  • 승인 컨트롤러 적용은 다음을 위해 사용할 수 없습니다.

    • 프로세스와 같은 런타임 동작입니다.
    • 포트 노출을 기반으로 하는 모든 정책입니다.
  • Kubernetes 또는 OpenShift Container Platform API 서버와 Red Hat Advanced Cluster Security for Kubernetes 센서 간에 연결 문제가 있는 경우 승인 컨트롤러가 실패할 수 있습니다. 이 문제를 해결하려면 승인 컨트롤러 적용 섹션에 설명된 대로 ValidatingWebhookConfiguration 오브젝트를 삭제합니다.
  • 정책에 대한 배포 시간 적용이 활성화되어 있고 승인 컨트롤러를 활성화하는 경우 Kubernetes용 Red Hat Advanced Cluster Security는 정책을 위반하는 배포를 차단하려고 합니다. 시간 초과와 같이 승인 컨트롤러에서 비호환 배포를 거부하지 않는 경우 Red Hat Advanced Cluster Security for Kubernetes는 여전히 복제본 0으로 스케일링과 같은 다른 배포 시간 적용 메커니즘을 적용합니다.
Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.