Red Hat Summit5.5. ValidatingWebhookConfiguration YAML 파일 변경
Red Hat Advanced Cluster Security for Kubernetes를 사용하면 다음에 대한 보안 정책을 적용할 수 있습니다.
- 오브젝트 생성
- 오브젝트 업데이트
- Pod 실행
- Pod 포트 전달
중앙 또는 센서를 사용할 수 없는 경우
승인 컨트롤러에서는 센서가 작동하려면 초기 구성이 필요합니다. Kubernetes 또는 OpenShift Container Platform은 이 구성을 저장하고 모든 승인 제어 서비스 복제본을 다른 노드에 다시 예약하더라도 액세스할 수 있습니다. 이 초기 구성이 있는 경우 승인 컨트롤러에서 구성된 모든 배포 시간 정책을 적용합니다.
나중에 Sensor 또는 Central을 사용할 수 없게 되는 경우:
- 이미지 검사를 실행하거나 캐시된 이미지 검사에 대한 정보를 쿼리할 수 없습니다. 그러나 승인 컨트롤러 시행은 수집된 정보가 불완전하더라도 시간 초과가 만료되기 전에 수집된 사용 가능한 정보를 기반으로 계속 작동합니다.
- 변경 사항이 승인 제어 서비스로 전파되지 않으므로 RHACS 포털에서 승인 컨트롤러를 비활성화하거나 기존 정책에 대한 적용 사항을 수정할 수 없습니다.
승인 제어 적용을 비활성화해야 하는 경우 다음 명령을 실행하여 검증 웹 후크 구성을 삭제할 수 있습니다.
OpenShift Container Platform에서 다음을 수행합니다.
oc delete ValidatingWebhookConfiguration/stackrox
$ oc delete ValidatingWebhookConfiguration/stackroxCopy to Clipboard Copied! Kubernetes에서 다음을 수행합니다.
kubectl delete ValidatingWebhookConfiguration/stackrox
$ kubectl delete ValidatingWebhookConfiguration/stackroxCopy to Clipboard Copied!
승인 컨트롤러의 안정성 향상
Red Hat은 작업자 노드가 아닌 컨트롤 플레인에 승인 제어 서비스를 예약하는 것이 좋습니다. 배포 YAML 파일에는 컨트롤 플레인에서 실행하기 위한 소프트 기본 설정이 포함되어 있지만 적용되지 않습니다.
기본적으로 승인 제어 서비스는 3개의 복제본을 실행합니다. 안정성을 높이기 위해 다음 명령을 실행하여 복제본을 늘릴 수 있습니다.
oc -n stackrox scale deploy/admission-control --replicas=<number_of_replicas>
$ oc -n stackrox scale deploy/admission-control --replicas=<number_of_replicas> - 1
- Kubernetes를 사용하는 경우
oc대신kubectl을 입력합니다.
roxctl CLI에서 사용
센서 배포 YAML 파일을 생성할 때 다음 옵션을 사용할 수 있습니다.
-
--admission-controller-listen-updates: 이 옵션을 사용하는 경우 Kubernetes용 Red Hat Advanced Cluster Security는 Kubernetes 또는 OpenShift Container Platform API 서버에서 업데이트 이벤트를 수신하도록 사전 구성된ValidatingWebhookConfiguration이 포함된 센서 번들을 생성합니다. -
--admission-controller-enforce-on-updates: 이 옵션을 사용하는 경우 승인 컨트롤러가 보안 정책 오브젝트 업데이트를 적용하도록 Kubernetes용 Red Hat Advanced Cluster Security를 구성합니다.
이러한 두 옵션은 모두 선택 사항이며 기본적으로 false 입니다.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}