10장. 외부 네트워크 액세스를 위한 프록시 구성
네트워크 구성이 프록시를 통해 아웃바운드 트래픽을 제한하는 경우 Red Hat Advanced Cluster Security for Kubernetes에서 프록시 설정을 구성하여 프록시를 통해 트래픽을 라우팅할 수 있습니다.
Red Hat Advanced Cluster Security for Kubernetes에서 프록시를 사용하는 경우:
- 중앙 및 스캐너에서 나가는 모든 HTTP, HTTPS 및 기타 TCP 트래픽은 프록시를 통과합니다.
- 중앙과 스캐너 간의 트래픽은 프록시를 통과하지 않습니다.
- 프록시 구성은 다른 Red Hat Advanced Cluster Security for Kubernetes 구성 요소에는 영향을 미치지 않습니다.
오프라인 모드를 사용하지 않는 경우 보안 클러스터에서 실행되는 수집기는 런타임 시 추가 eBPF 프로브를 다운로드해야 합니다.
- 수집기는 센서에 연결하여 다운로드를 시도합니다.
- 그런 다음 센서는 이 요청을 Central에 전달합니다.
-
Central은 프록시를 사용하여
https://collector-modules.stackrox.io에서 모듈 또는 프로브를 찾습니다.
10.1. 기존 배포에서 프록시 구성
기존 배포에서 프록시를 구성하려면 proxy-config 시크릿을 YAML 파일로 내보내고 해당 파일에서 프록시 구성을 업데이트하고 시크릿으로 업로드해야 합니다.
참고
OpenShift Container Platform 클러스터에서 글로벌 프록시를 구성한 경우 OLM(Operator Lifecycle Manager)은 클러스터 전체 프록시로 관리하는 Operator를 자동으로 구성합니다. 그러나 설치된 Operator를 글로벌 프록시를 덮어쓰거나 사용자 정의 CA(인증 기관) 인증서를 삽입하도록 구성할 수도 있습니다.
자세한 내용은 Operator Lifecycle Manager에서 프록시 지원 구성을 참조하십시오.
프로세스
기존 보안을 YAML 파일로 저장합니다.
$ oc -n stackrox get secret proxy-config \ -o go-template='{{index .data "config.yaml" | \ base64decode}}{{"\n"}}' > /tmp/proxy-config.yaml- 설치 중 프록시 구성 섹션에 지정된 대로 YAML 구성 파일에서 수정할 필드를 편집합니다.
변경 사항을 저장한 후 다음 명령을 실행하여 보안을 교체합니다.
$ oc -n stackrox create secret generic proxy-config \ --from-file=config.yaml=/tmp/proxy-config.yaml -o yaml --dry-run | \ oc label -f - --local -o yaml app.kubernetes.io/name=stackrox | \ oc apply -f -
중요- OpenShift Container Platform에서 변경 사항을 중앙 및 스캐너로 전파할 때까지 1분 이상 기다려야 합니다.
- 프록시 구성을 변경한 후 발신 연결에 문제가 있는 경우 중앙 및 스캐너 Pod를 다시 시작해야 합니다.
