Red Hat Summit5.4. 오프라인 모드에서 커널 지원 패키지 업데이트
지원 패키지는 더 이상 사용되지 않으며 버전 4.5 이상을 실행하는 보안 클러스터에는 영향을 미치지 않습니다. 지원 패키지 업로드는 버전 4.4 및 이전 버전의 보안 클러스터에만 영향을 미칩니다.
수집기는 보안된 클러스터의 각 노드의 런타임 활동을 모니터링합니다. 활동을 모니터링하려면 수집기에 eBPF 프로그램 형식의 프로브가 필요합니다.
CORE_BPF 컬렉션 방법을 사용하면 프로브는 커널 버전에 한정되지 않으며 기본 커널을 업데이트한 후에도 계속 사용할 수 있습니다. 이 컬렉션 방법은 지원 패키지를 제공하거나 업데이트할 필요가 없습니다.
대신 컬렉션 방법을 사용하면 프로브가 호스트에 설치된 Linux 커널 버전에 따라 다릅니다. 수집기 이미지에는 릴리스 시 지원되는 커널에 대한 기본 제공 프로브 세트가 포함되어 있습니다. 그러나 이후 커널에는 최신 프로브가 필요합니다.
Red Hat Advanced Cluster Security for Kubernetes가 일반 모드에서 실행되면(인터넷에 연결됨) 필요한 프로브가 빌드되지 않은 경우 수집기에서 새 프로브를 자동으로 다운로드합니다.
오프라인 모드에서는 모든 최신 Linux 커널 버전에 대한 프로브가 포함된 패키지를 수동으로 다운로드하여 Central에 업로드할 수 있습니다. 그런 다음 컬렉터는 중앙에서 이러한 프로브를 다운로드합니다.
수집기는 다음 순서로 새 프로브를 확인합니다. 확인은 다음과 같습니다.
- 기존 수집기 이미지입니다.
- 커널 지원 패키지(하나를 Central에 업로드한 경우).
- 인터넷에서 사용 가능한 Red Hat 운영 서버. 수집기는 중앙의 네트워크 연결을 사용하여 프로브를 확인하고 다운로드합니다.
확인 후 수집기가 새 프로브를 가져오지 않으면 CrashLoopBackoff 이벤트를 보고합니다.
네트워크 구성이 아웃바운드 트래픽을 제한하는 경우 최신 및 지원되는 모든 Linux 커널 버전에 대한 프로브가 포함된 패키지를 수동으로 다운로드하여 Central에 업로드할 수 있습니다. 그런 다음 수집기는 중앙에서 이러한 프로브를 다운로드하여 아웃바운드 인터넷 액세스를 방지합니다.
5.4.1. 커널 지원 패키지 다운로드
지원 패키지는 더 이상 사용되지 않으며 버전 4.5 이상을 실행하는 보안 클러스터에는 영향을 미치지 않습니다. 지원 패키지 업로드는 버전 4.4 및 이전 버전의 보안 클러스터에만 영향을 미칩니다.
오프라인 모드에서 Red Hat Advanced Cluster Security for Kubernetes를 실행하는 경우 최신 및 지원되는 모든 Linux 커널 버전에 대한 프로브가 포함된 패키지를 다운로드한 다음 Central에 업로드할 수 있습니다.
프로세스
- https://install.stackrox.io/collector/support-packages/index.html 에서 사용 가능한 지원 패키지를 보고 다운로드합니다. 커널 지원 패키지 목록은 Red Hat Advanced Cluster Security for Kubernetes 버전을 기반으로 지원 패키지를 분류합니다.
5.4.2. 중앙에 커널 지원 패키지 업로드
최신 및 지원되는 모든 Linux 커널 버전에 대한 프로브가 포함된 커널 지원 패키지를 Central에 업로드할 수 있습니다.
사전 요구 사항
- 관리자 역할이 있는 API 토큰이 있어야 합니다.
-
roxctl명령줄 인터페이스(CLI)가 설치되어 있어야 합니다.
프로세스
ROX_API_TOKEN및ROX_CENTRAL_ADDRESS환경 변수를 설정합니다.export ROX_API_TOKEN=<api_token>
$ export ROX_API_TOKEN=<api_token>Copy to Clipboard Copied! Toggle word wrap Toggle overflow export ROX_CENTRAL_ADDRESS=<address>:<port_number>
$ export ROX_CENTRAL_ADDRESS=<address>:<port_number>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 커널 지원 패키지를 업로드합니다.
roxctl collector support-packages upload <package_file> \ -e "$ROX_CENTRAL_ADDRESS"
$ roxctl collector support-packages upload <package_file> \ -e "$ROX_CENTRAL_ADDRESS"Copy to Clipboard Copied! Toggle word wrap Toggle overflow
- 이전에 Central에 업로드된 콘텐츠가 포함된 새 지원 패키지를 업로드하면 새 파일만 업로드됩니다.
이름이 동일하지만 중앙에 있는 내용과 다른 내용이 포함된 파일을 포함하는 새 지원 패키지를 업로드할 때
roxctl은 경고 메시지를 표시하고 파일을 덮어쓰지 않습니다.-
upload 명령과 함께
--overwrite옵션을 사용하여 파일을 덮어쓸 수 있습니다.
-
upload 명령과 함께
- 필요한 프로브가 포함된 지원 패키지를 업로드할 때 Central은 이 프로브를 다운로드하기 위한 아웃 바운드 요청(인터넷에)을 만들지 않습니다. Central은 support 패키지의 프로브를 사용합니다.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}