Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

5장. 정책을 사용하여 보안 제공

5.1. RHACS 정책 정보
링크 복사

RHACS(Red Hat Advanced Cluster Security for Kubernetes)는 강력한 정책 엔진 및 승인 컨트롤러를 사용하여 컨테이너 인프라를 보호하는 데 도움이 됩니다. RHACS를 사용하면 적절한 보안 보호 장치를 설정하고, 정책 위반에 대해 알리며, 안전하지 않은 상황을 방지하기 위해 정책을 선택적으로 적용할 수 있습니다.

특히 RHACS는 빌드 단계의 CI 파이프라인에 실패하고 배포 단계에서 배포를 거부하며 런타임 정책을 위반하는 실행 중인 배포를 종료할 수 있습니다. RHACS는 다음 섹션에 설명된 정책 관리 및 위반 관리 툴도 제공합니다.

5.1.1. RHACS 정책 평가 엔진 이해
링크 복사

RHACS 정책 엔진은 정책 기준을 기반으로 생성한 정책을 평가합니다. 각 빌드, 배포 및 런타임 단계에서 다르게 작동합니다.

빌드 단계

RHACS는 roxctl CLI를 사용하여 요청 시 정책 규칙을 평가할 수 있습니다. 빌드 단계에서 정책을 위반하는 경우 위반 텍스트 및 오류 코드를 통해 개발자는 실패한 내용과 수정 방법을 알려줍니다. 파이프라인에 실패하도록 오류 코드를 구성할 수 있습니다. 이 단계에서 RHACS는 독립 실행형 이미지와 해당 정책에 대한 배포를 모두 평가할 수 있습니다. 빌드 단계의 위반은 notifier를 사용하여 저장되거나 라우팅되지 않습니다.

배포 단계

RHACS는 배포 시도 중에 워크로드를 검사할 때 배포 단계 정책을 사용합니다. 이러한 정책은 다음 기준과 같은 워크로드 기준으로 구성됩니다.

  • 환경 변수 및 권한을 포함한 컨테이너 구성
  • 필수 또는 허용하지 않는 주석 및 라벨과 같은 배포 메타데이터
  • 볼륨 이름 및 마운트 구성과 같은 스토리지 볼륨 정보
  • 포트 노출 및 수신 또는 송신 정책과 같은 네트워킹 구성
  • 서비스 계정 구성 및 RBAC(역할 기반 액세스 제어) 권한과 같은 기준으로 구성된 Kubernetes 액세스 구성

배포 단계 정책을 빌드할 때 이미지 레지스트리, 이미지 콘텐츠 및 CVE 데이터와 같은 이미지 기준을 포함할 수도 있습니다. 이는 파이프라인 빌드 및 배포 시도에서 동일한 요구 사항을 평가하려는 경우 유용합니다. 이렇게 하면 이미지 및 워크로드 기준이 모두 포함된 정책을 생성하고 빌드 및 배포 단계에 모두 사용할 수 있으므로 정책을 복제할 필요가 없습니다.

RHACS는 Kubernetes 또는 OpenShift Container Platform이 정책 조건과 일치하는 배포, 데몬 세트 또는 작업과 같은 워크로드를 생성하거나 업데이트하지 않도록 합니다. 이 기능은 빌드에 성공한 경우에도 심각한 문제로 배포를 종료하는 데 유용합니다.

런타임 단계

RHACS는 배포가 실행된 후 적용 가능한 정책에 대해 배포를 지속적으로 평가합니다. 런타임 정책은 Kubernetes 클러스터 내에서 실행 중인 포드를 모니터링하고 권한이 없는 워크로드 활동, 기본 편차 또는 Kubernetes 리소스 작업을 보고하거나 방지하는 데 사용됩니다. RHACS는 안전하지 않은 Kubernetes 요청을 모니터링하고 API를 사용하여 선택적으로 차단할 수 있습니다. 예를 들어 RHACS는 구성 맵 또는 시크릿에 대한 액세스를 차단할 수 있습니다.

런타임 정책은 다음 두 가지 이벤트 소스를 검사할 수 있습니다.

  • 배포 이벤트: 실행 중인 Pod, Pod 내부 프로세스 활동, 네트워킹 또는 프로세스 기준의 편차, 포트 전달 또는 포트 exec 작업과 같은 사용자 Pod 상호 작용과 같은 실시간 이벤트
  • 감사 로그 이벤트: 중요한 Kubernetes 리소스에 대한 액세스와 같은 작업에 대해 검사할 수 있는 로그

런타임 정책에는 다음과 같은 이유로 빌드 및 배포 단계 기준이 포함될 수도 있습니다.

  • 이러한 기준을 사용하면 런타임 및 워크로드/이미지 기준을 조합하는 위험이 높은 상황을 식별할 수 있습니다.
  • 이러한 기준은 런타임 중에 빌드 및 배포 단계 요구 사항이 충족되도록 할 수 있습니다(예: 새 취약점이 발견되거나 새로운 요구 사항이 도입됨).

감사 로그 정책은 시크릿 및 ClusterRoleBinding 과 같은 중요한 Kubernetes 리소스와 관련된 작업의 Kubernetes 감사 로그를 검사하는 데 사용됩니다. 다음과 같은 특징이 있습니다.

  • 감사 로그 정책은 감사 로그 기준으로만 구성됩니다.
  • 이미지 또는 배포와 연결되지 않습니다. 따라서 감사 로그 정책은 런타임 라이프사이클 단계와만 연결할 수 있습니다.
  • 감사된 작업이 이미 수행되었기 때문에 이러한 정책을 적용할 수 없습니다.

5.1.2. 정책 시행 정보
링크 복사

RHACS에서 정책을 구성할 때 보안 정책을 위반하는 조건을 감지할 때 RHACS가 응답하는 방법을 구성할 수 있습니다.

RHACS를 사용하면 개발 라이프사이클의 모든 단계에서 빌드, 배포 및 런타임이라는 보안 정책을 적용할 수 있습니다.

RHACS는 다음 두 가지 유형의 정책을 제공합니다.

  • 센서 적용: 워크로드가 검토되고 정책을 위반하는 경우 Kubernetes API를 사용하여 Pod를 축소하는 경우 소프트 적용이라고도 합니다.
  • 승인 컨트롤러 시행: 승인 컨트롤러는 하드 적용이라고도 하며, 승인 컨트롤러는 Webhook 및 Kubernetes API 서버와 함께 작동하여 적용 정책을 위반하는 워크로드 승인 또는 업데이트 시도를 차단합니다. 배포 또는 업데이트 요청이 생성되면 검증 Webhook가 승인 컨트롤러와 통신하고 승인 컨트롤러는 정책이 적용되었는지 여부에 따라 작업을 허용하거나 차단하도록 응답합니다. API 서버는 정책을 위반하는지 여부와 정책이 적용되는지 여부에 따라 요청을 수락하거나 거부합니다.

승인 컨트롤러 시행에 대한 자세한 내용은 "허용 컨트롤러 시행 이해"를 참조하십시오.

5.1.2.1. 빌드 단계 적용
링크 복사

RHACS는 코드가 배포되기 전에 빌드 단계 정책을 사용하여 보안 위반을 검색하고 대응합니다. 빌드 단계 정책은 스캔 결과 및 상태를 포함하여 이미지 레지스트리, 이미지 콘텐츠 및 CVE 데이터와 같은 전적으로 이미지 기준으로 구성됩니다.

RHACS는 roxctl 이미지 검사 및 roxctl 배포 검사 명령을 사용하여 빌드를 확인합니다. 이미지가 정책의 기준과 일치하는 경우 CI(지속 통합) 빌드에 실패하도록 RHACS를 구성할 수 있습니다. 즉, 정책을 위반하는 빌드에 조건이 있을 때 예를 들어 심각도 수준의 수정 가능한 CVE가 있고 해당 조건에 대한 정책을 구성한 경우 빌드가 실패합니다.

예를 들어 이미지 또는 배포를 확인하고 지속적인 통합/연속 개발(CI/CD) 파이프라인에 해당 검사를 통합하도록 RHACS를 구성할 수 있습니다. 그러면 RHACS에서 정책이 실패할 조건을 감지하면 RHACS API에서 0이 아닌 종료 코드를 반환합니다. 이러한 위반은 RHACS에 의해 수집되거나 작동하지 않지만 CI/CD 툴과 함께 사용됩니다. 예를 들어 위반이 보고되는 경우 빌드 프로세스에 실패하도록 CI/CD 도구를 구성하십시오.

5.1.2.2. 단계 시행 배포
링크 복사

Red Hat Advanced Cluster Security for Kubernetes는 배포 정책에 대한 두 가지 유형의 보안 정책 시행을 지원합니다. 즉, RHACS 센서의 승인 컨트롤러 및 소프트 시행을 통한 하드 시행입니다. 승인 컨트롤러는 정책을 위반하는 배포의 생성 또는 업데이트를 차단합니다. 승인 컨트롤러가 비활성화되거나 사용할 수 없는 경우 Sensor는 정책을 위반하는 배포에서 복제본을 축소하여 시행을 수행할 수 있습니다.

주의

정책 적용은 실행 중인 애플리케이션 또는 개발 프로세스에 영향을 미칠 수 있습니다. 시행 옵션을 활성화하기 전에 모든 이해 관계자에게 알리고 자동화된 적용 작업에 대응하는 방법을 계획하십시오.

5.1.2.2.1. 하드 적용
링크 복사

하드 적용은 RHACS 승인 컨트롤러에서 수행합니다. 승인 컨트롤러 적용이 있는 클러스터에서 Kubernetes 또는 OpenShift Container Platform API 서버는 호환되지 않는 모든 배포를 차단합니다. 승인 컨트롤러는 CREATE,UPDATE, SCALE 작업을 차단합니다. 배포 시간 적용으로 구성된 정책을 충족하는 Pod의 생성, 업데이트 또는 확장 요청이 실패합니다. 또한 승인 컨트롤러는 런타임 적용으로 구성된 정책에 대해 Pod execport forward 와 같은 사용자가 시작한 컨테이너 명령을 차단합니다.

참고

Kubernetes 승인 Webhook는 CREATE,UPDATE,DELETE, CONNECT 작업만 지원합니다. RHACS 승인 컨트롤러는 CREATE,UPDATE, SCALE 작업만 지원합니다. kubectl 패치,kubectl set, kubectl scale 과 같은 작업은 UPDATE 작업이 아닌 PATCH 작업입니다. PATCH 작업은 Kubernetes에서 지원되지 않으므로 RHACS는 PATCH 작업에 대한 적용을 수행할 수 없습니다. 그러나 SCALE 작업에 대한 적용이 지원됩니다.

하드 적용의 경우 RHACS에서 클러스터에 대한 적용 설정을 활성화합니다. 적용이 활성화되었는지 확인하려면 Dynamic configuration 섹션에서 Admission Controller enforcement behavior 필드의 Enforce 정책이 선택되어 있는지 확인합니다. 또한 적용하려는 각 정책에 대해 정책을 구성할 때 Inform 및 enforce 를 선택합니다.

5.1.2.2.2. 승인 컨트롤러 적용에서 네임스페이스 제외
링크 복사

기본적으로 RHACS(Red Hat Advanced Cluster Security for Kubernetes)는 승인 컨트롤러의 검증 웹 후크 구성에서 특정 관리 네임스페이스를 제외합니다. 정책 평가 및 적용은 이러한 관리 네임스페이스에서 발생하는 검토 요청에서는 수행되지 않습니다. RHACS가 올바르게 작동하려면 이러한 네임스페이스의 일부 항목을 배포해야 해당 항목이 제외됩니다.

RHACS 승인 컨트롤러는 네임스페이스를 제외하는 것 외에도 시스템 네임스페이스의 Kubernetes ServiceAccount 에서 시작된 요청을 건너뜁니다.

참고

연속 배포 툴을 배포할 네임스페이스를 선택할 때 이 요소를 고려하십시오.

기본적으로 다음 네임스페이스는 제외됩니다.

  • stackrox
  • kube-system
  • kube-public
  • istio-system

Kubernetes 보안 클러스터에 Helm 설치의 경우 values-public.yaml 파일을 구성하여 검증 웹 후크 구성에서 제외된 네임스페이스를 사용자 지정할 수 있습니다. admissionControl.namespaceSelector 필드에서 제외할 네임스페이스를 지정할 수 있습니다. 다음 예제를 참조하십시오. 

...
admissionControl:
   namespaceSelector:
    matchExpressions:
    - key: namespace.metadata.stackrox.io/name
      operator: NotIn
      values:
        - stackrox
        - kube-system
        - kube-public
        - istio-system
        - example-namespace
...
Copy to Clipboard Toggle word wrap

다음과 같습니다.

example-namespace
제외할 네임스페이스를 나타냅니다.
5.1.2.2.3. 기존 배포에 적용
링크 복사

기존 배포의 경우 정책 변경으로 인해 Kubernetes 이벤트가 발생하는 경우 다음 기준을 탐지할 때만 적용됩니다. 정책을 변경하는 경우 정책 관리를 선택하고 Reassess all을 클릭하여 정책을 재평가해야 합니다. 이 작업은 들어오는 새 Kubernetes 이벤트가 있는지 여부에 관계없이 기존의 모든 배포에 배포 정책을 적용합니다. 정책을 위반하는 경우 RHACS는 적용을 수행합니다.

5.1.2.2.4. 소프트 적용
링크 복사

소프트 적용은 RHACS 센서가 수행합니다. 이러한 적용으로 인해 작업이 시작되지 않습니다. 소프트 적용 기능을 사용하면 센서가 복제본을 0으로 스케일링하고 Pod가 예약되지 않습니다. 이 적용에서는 클러스터에서 준비되지 않은 배포를 사용할 수 있습니다.

Sensor는 설계에 따라 이 소프트 적용만 한 번만 수행하여 배포를 다시 축소하는 업데이트 요청을 방지합니다.

소프트 적용이 구성되고 센서가 다운된 경우 RHACS는 적용을 수행할 수 없습니다.

5.1.2.3. 런타임 적용
링크 복사

정책을 위반하는 Pod를 종료하거나 감사 로그 검사의 경우 정책을 위반했지만 이미 발생한 이벤트를 알리는 Pod를 종료하도록 런타임 중에 적용되는 정책을 구성할 수 있습니다.

정책을 위반하면 다음 작업 중 하나 이상이 적용됩니다.

  • 잘못된 Pod를 종료하여 다른 정상 Pod가 생성됩니다.
  • RHACS는 특정 Kubernetes API 호출을 가로채거나 방지
중요

이미지 또는 워크로드 규칙에 의해 위반이 발생하면 위반 경고가 생성되지만 Pod는 중단 되지 않습니다.

5.1.3. RHACS 정책 구조
링크 복사

RHACS 정책은 보안 규칙을 정의하는 구조화된 텍스트 오브젝트이며 RHACS는 이러한 규칙이 손상될 때 수행하는 작업을 수행합니다.

RHACS 정책에는 다음 부분이 포함되어 있습니다.

  • 정책 정의: 다음 구성 요소를 포함하여 정책의 메타데이터 및 해당 규칙을 지정합니다.

    • 정책 세부 정보: 수정 프로세스에서 정책 작성자가 정책 및 최종 사용자를 관리하는 데 도움이 되는 텍스트입니다.
    • 라이프사이클: 정책이 평가될 시기를 결정하는 기본 정책 특성입니다.

    • 정책 규칙: 암시적 또는 규칙 1 또는 규칙 2와 함께 사용되는 조건 집합입니다. 각 규칙은 AND 관계를 사용하는 정책 기준이라는 사전 정의된 빌딩 블록으로 구성됩니다(예: 표준 A 기준 B. RHACS는 직관적인 텍스트를 사용하여 잠재적으로 복잡한 Kubernetes 조건을 지정하는 대신 원하는 조건을 설명합니다.

      대부분의 RHACS 기준은 정책을 트리거할 조건을 구성하고 많은 기준에는 NOT 형식이 포함됩니다. 그러나 몇 가지 기준은 긍정적인 예상 동작을 정의하도록 설계되었습니다. 기준이 긍정 또는 부정적인 상태를 위해 설계되었는지 여부는 정책 사용자에게 직관적인 정책을 생성하도록 설계되었기 때문에 컨텍스트에 따라 다릅니다. 다음 예제에서는 부정적인 및 긍정적인 형태의 정책 기준을 보여줍니다.

    • 음수 형식: 특정 gcr.io 레지스트리가 사용되는 경우 컨테이너 레지스트리 이름은 트리거됩니다. 결과적으로 허용된 레지스트리인 quay.io 이외의 레지스트리를 사용하는 경우 컨테이너 레지스트리 이름은 <quay.io>가 트리거되지 않습니다. 이는 일반적인 규칙입니다.
    • 음수 양식: 구성에서 활성 프로브가 누락된 경우 활성 상태 프로브는 <Not Defined > 트리거입니다. 활성 상태 프로브는 모든 호환 워크로드에 대해 알림기를 사용하여 긍정적인 표시를 수신하는 데 사용할 수 있습니다.
    • 양수 양식: 삭제해야 하는 기능, 드롭된 기능: <SYS_ADMIN > 규칙은 예상 동작을 정의합니다. 워크로드가 SYS_ADMIN 속성을 삭제하지 못하면 정책을 위반하고 위반 경고를 트리거합니다.

  • 정책 동작: RHACS가 지정된 범위에 대해 수행하도록 조치, 정보 또는 시행을 지정합니다.

    • 범위: 기본적으로 RHACS 정책은 글로벌 입니다. 모든 워크로드 및 이미지에 대해 모든 보안 클러스터, 모든 네임스페이스에 적용됩니다. 클러스터, 네임스페이스 및 배포 선택 기준의 혼합을 포함하거나 제외하면 정책 범위를 명시적으로 수정할 수 있습니다. 정책 범위는 정규식을 사용하여 네임스페이스 이름, 네임스페이스 레이블 또는 배포 이름 또는 배포 이름 또는 배포 레이블을 선택할 수 있습니다. whihc는 새 클러스터를 포함하여 모든 클러스터에 자동으로 적용됩니다.
    • action: 이 섹션에서는 정책이 활성 상태인지 여부(예: 활성화 또는 비활성화됨), 적용 여부 및 라우팅 경고에 사용할 알림기를 결정합니다.

5.1.4. 정책 및 위반 관리
링크 복사

정책 관리에 는 보안 팀이 적절한 가전을 수립할 수 있는 일련의 활동이 포함됩니다. 이러한 모든 작업은 정책이 평가되기 전에 수행됩니다. 위반 관리는 보안 및 개발자 팀이 정책 위반을 해결하기 위해 보안 문제를 해결하는 데 사용하는 일련의 활동입니다. 이러한 모든 작업은 정책이 위반된 후 수행됩니다.

5.1.4.1. 정책 규칙 설정
링크 복사

RHACS는 정책을 코드로 사용하여 정책의 내부 및 외부 소스를 모두 지원합니다. 외부 정책을 사용하는 경우 RHACS는 OpenShift Pipelines 및 Argo CD와 같은 툴을 사용하여 정책을 코드로 간소화하기 위해 Kubernetes 네이티브 CR(사용자 정의 리소스)을 정의합니다.

RHACS를 사용하여 다음 작업을 수행할 수 있습니다.

  • 정책 규칙 정의: 팀이 코드로 정책을 관리하거나 RHACS 내부 데이터베이스를 사용하여 팀 작성은 기술적으로 어려울 수 있습니다. RHACS는 이 작업을 단순화하는 직관적인 사용자 인터페이스 또는 포털을 제공합니다. 사양의 복잡성을 숨기는 동안 제어에 집중할 수 있습니다. 포털을 사용하여 정책을 작성한 다음 YAML로 내보내 코드로 저장하거나 로컬에 저장할 수 있습니다.
  • 정책이 적용되는 라이프사이클을 선택합니다. 내부 정책의 경우 RHACS는 Create, Read, Update, Delete (CRUD) 작업을 제공합니다. 외부 정책의 경우 이러한 작업은 사용자가 자체적으로 처리하고 CR을 사용하여 RHACS에 결과를 표시합니다. 내부 정책의 경우 RHACS는 역할 기반 액세스 제어를 제공하고 감사 로그의 정책 변경 사항도 추적합니다.

  • 정책 동작 구성: RHACS는 사용자에게 중앙 집중식 방식으로 다중 클러스터 거버넌스를 제공합니다. 정책을 구성할 때 다음을 구성할 수 있습니다.

    • 개별 클러스터의 포함 또는 제외 범위를 선택하거나 모든 클러스터에 적용할 거버넌스를 설정합니다.
    • 작업(form/enforce)을 선택하고 정책을 활성화 또는 비활성화합니다.
    • 알림 구성

  • 테스트 정책:

    • 예행 실행을 수행하여 포털에서 정책을 테스트하거나 API를 사용하여 정책을 테스트하고 정책 CR 검증을 수행할 수 있습니다.
    • 정책 보고서 생성: 포털에서 보고를 구성하거나 API를 사용하여 정책 범위를 자세히 구성할 수 있습니다.

5.1.5. 기본 보안 정책
링크 복사

Red Hat Advanced Cluster Security for Kubernetes의 기본 보안 정책은 보안 문제를 식별하고 해당 환경의 보안에 대한 모범 사례를 제공할 수 있는 광범위한 범위를 제공합니다. 이러한 정책을 구성하면 해당 환경의 위험이 높은 서비스 배포를 자동으로 방지하고 런타임 보안 사고에 대응할 수 있습니다.

심각도별로 분류된 기본 보안 정책 목록은 "Policy reference"를 참조하십시오.

5.1.5.1. 기본 보안 정책 보기
링크 복사

Red Hat Advanced Cluster Security for Kubernetes: RHACS 포털을 사용하여 기본 정책을 보고 복제한 기본 정책을 편집할 수 있습니다. 정책에서 기본 정책은 코드 기능으로 지원되지 않습니다.

프로세스

  • RHACS 포털에서 플랫폼 구성 정책 관리로 이동합니다. 기본 정책은 Origin 열의 System 레이블로 표시됩니다.

    참고

    기본 정책을 삭제하거나 기본 정책에 대한 정책 기준을 편집할 수 없습니다.

5.1.6. 사용자 정의 보안 정책
링크 복사

RHACS를 사용하면 빌드, 배포 및 개발 단계에서 보안을 제공하는 사용자 지정 보안 정책을 만들 수 있습니다. 다음 방법으로 사용자 지정 보안 정책을 생성할 수 있습니다.

  • 기본 정책을 복제한 다음 수정하여 환경에 대한 특정 정보를 구성할 수 있습니다.
  • RHACS 포털을 사용하여 새 정책을 생성하고 저장할 수 있습니다.
  • 정책 코드 기능을 사용하면 정책을 Kubernetes CR(사용자 정의 리소스)으로 생성 및 저장하고 Argo CD와 같은 Kubernetes 네이티브 지속적 제공(CD) 툴을 사용하여 클러스터에 적용할 수 있습니다.

자세한 내용은 "사용자 정의 보안 정책 생성 및 수정"을 참조하십시오.

중요

openshift-* 네임스페이스 및 기본 OpenShift Container Platform Pod에서 사용자 정의 정책을 적용할 때는 주의하십시오. 예를 들어, 시행이 구성된 사용자 정의 정책은 정책을 위반하는 경우 가능한 데이터 손실으로 Pod를 종료할 수 있습니다.

5.1.7. 보안 정책 공유
링크 복사

정책 내보내기 및 가져오기를 통해 RHACS 포털의 여러 중앙 인스턴스 간에 보안 정책을 공유할 수 있습니다. 공유 정책은 모든 클러스터에 대해 동일한 표준을 적용하는 데 도움이 됩니다. 정책을 공유하려면 JSON 파일로 내보낸 다음 다른 중앙 인스턴스로 다시 가져옵니다.

참고

현재 RHACS 포털을 사용하여 동시에 여러 보안 정책을 내보낼 수 없습니다. 그러나 API를 사용하여 여러 보안 정책을 내보낼 수 있습니다. RHACS 포털에서 Help API 참조로 이동하여 API 참조를 확인합니다.

5.1.7.1. 보안 정책 내보내기
링크 복사

정책을 내보낼 때 모든 정책 내용이 포함되며 클러스터 범위, 클러스터 제외 및 모든 구성된 알림도 포함됩니다.

프로세스

  1. RHACS 포털에서 플랫폼 구성 정책 관리로 이동합니다.
  2. 정책 페이지에서 편집할 정책을 선택합니다.
  3. 작업 JSON으로 내보내기 정책을 선택합니다.

5.1.7.2. 보안 정책 가져오기
링크 복사

RHACS 포털의 시스템 정책 보기에서 보안 정책을 가져올 수 있습니다.

프로세스

  1. RHACS 포털에서 플랫폼 구성 정책 관리로 이동합니다.
  2. 정책 가져오기 를 클릭합니다.
  3. Import policy JSON 대화 상자에서 업로드 를 클릭하고 업로드할 JSON 파일을 선택합니다.

  4. 가져오기 시작을 클릭합니다.

    RHACS의 각 보안 정책에는 고유한 ID(UID)와 고유한 이름이 있습니다. 정책을 가져올 때 RHACS는 업로드된 정책을 다음과 같이 처리합니다.

    • 가져온 정책 UID 및 이름이 기존 정책과 일치하지 않으면 RHACS에서 새 정책을 생성합니다.

    • 가져온 정책에 기존 정책과 UID가 동일하지만 다른 이름이 있는 경우 다음 중 하나를 수행할 수 있습니다.

      • 두 정책을 모두 유지하십시오. RHACS는 가져온 정책을 새 UID로 저장합니다.
      • 기존 정책을 가져온 정책으로 바꿉니다.

    • 가져온 정책의 이름이 기존 정책과 동일하지만 다른 UID가 있는 경우 다음 중 하나를 수행할 수 있습니다.

      • 가져온 정책에 대한 새 이름을 제공하여 두 정책을 모두 유지합니다.
      • 기존 정책을 가져온 정책으로 바꿉니다.

    • 가져온 정책에 기존 정책과 동일한 이름과 UID가 있는 경우 Red Hat Advanced Cluster Security for Kubernetes는 정책 기준이 기존 정책과 일치하는지 확인합니다. 정책 기준이 일치하면 RHACS는 기존 정책을 유지하고 성공 메시지를 표시합니다. 정책 기준이 일치하지 않으면 다음 중 하나를 수행할 수 있습니다.

      • 가져온 정책에 대한 새 이름을 제공하여 두 정책을 모두 유지합니다.

      • 기존 정책을 가져온 정책으로 바꿉니다.

        중요
        • 동일한 중앙 인스턴스로 가져오는 경우 RHACS는 내보낸 모든 필드를 사용합니다.
        • 다른 중앙 인스턴스로 가져오는 경우 RHACS는 클러스터 범위, 클러스터 제외 및 알림과 같은 특정 필드를 생략합니다. RHACS는 이러한 생략된 필드를 메시지에 보여줍니다. 이러한 필드는 설치마다 다르며 하나의 중앙 인스턴스에서 다른 인스턴스로 마이그레이션할 수 없습니다.
맨 위로 이동
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2025 Red Hat