Red Hat Summit3.4. 모든 보안 클러스터 업그레이드
중앙 서비스를 업그레이드한 후 모든 보안 클러스터를 업그레이드해야 합니다.
자동 업그레이드를 사용하는 경우:
자동 업그레이드를 사용하지 않는 경우 Central 클러스터를 포함한 모든 보안 클러스터에 대한 이 섹션의 지침을 실행해야 합니다.
- 최적의 기능을 유지하려면 보안 클러스터에 동일한 RHACS 버전을 사용하고 Central이 설치된 클러스터를 사용합니다.
센서, 수집기 및 Admission 컨트롤러를 실행하는 각 보안 클러스터의 수동 업그레이드를 완료하려면 이 섹션의 지침을 따르십시오.
3.4.1. 다른 이미지 업데이트
자동 업그레이드를 사용하지 않는 경우 각 보안 클러스터에서 센서, 수집기 및 규정 준수 이미지를 업데이트해야 합니다.
Kubernetes를 사용하는 경우 이 절차에 나열된 명령에 oc 대신 kubectl 을 사용합니다.
프로세스
센서 이미지를 업데이트합니다.
oc -n stackrox set image deploy/sensor sensor=registry.redhat.io/advanced-cluster-security/rhacs-main-rhel8:4.9.1
$ oc -n stackrox set image deploy/sensor sensor=registry.redhat.io/advanced-cluster-security/rhacs-main-rhel8:4.9.11 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- Kubernetes를 사용하는 경우
oc대신kubectl을 입력합니다.
Compliance 이미지를 업데이트합니다.
oc -n stackrox set image ds/collector compliance=registry.redhat.io/advanced-cluster-security/rhacs-main-rhel8:4.9.1
$ oc -n stackrox set image ds/collector compliance=registry.redhat.io/advanced-cluster-security/rhacs-main-rhel8:4.9.11 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- Kubernetes를 사용하는 경우
oc대신kubectl을 입력합니다.
수집기 이미지를 업데이트합니다.
oc -n stackrox set image ds/collector collector=registry.redhat.io/advanced-cluster-security/rhacs-collector-rhel8:4.9.1
$ oc -n stackrox set image ds/collector collector=registry.redhat.io/advanced-cluster-security/rhacs-collector-rhel8:4.9.11 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- Kubernetes를 사용하는 경우
oc대신kubectl을 입력합니다.
승인 제어 이미지를 업데이트합니다.
oc -n stackrox set image deploy/admission-control admission-control=registry.redhat.io/advanced-cluster-security/rhacs-main-rhel8:4.9.1
$ oc -n stackrox set image deploy/admission-control admission-control=registry.redhat.io/advanced-cluster-security/rhacs-main-rhel8:4.9.1Copy to Clipboard Copied! Toggle word wrap Toggle overflow
roxctl CLI를 사용하여 Red Hat OpenShift에 RHACS를 설치한 경우 SCC(보안 컨텍스트 제약 조건)를 마이그레이션해야 합니다.
자세한 내용은 "추가 리소스" 섹션의 "수동 업그레이드 중 SCC 마이그레이션"을 참조하십시오.
3.4.2. 센서 및 승인 제어 배포에 POD_NAMESPACE 추가
4.6 이전 버전에서 버전 4.6 이상으로 업그레이드할 때 sensor 및 admission-control 배포를 패치하여 POD_NAMESPACE 환경 변수를 설정해야 합니다.
Kubernetes를 사용하는 경우 이 절차에 나열된 명령에 oc 대신 kubectl 을 사용합니다.
프로세스
다음 명령을 실행하여
POD_NAMESPACE가 설정되었는지 확인하는 패치 센서입니다.[[ -z "$(oc -n stackrox get deployment sensor -o yaml | grep POD_NAMESPACE)" ]] && oc -n stackrox patch deployment sensor --type=json -p '[{"op":"add","path":"/spec/template/spec/containers/0/env/-","value":{"name":"POD_NAMESPACE","valueFrom":{"fieldRef":{"fieldPath":"metadata.namespace"}}}}]'$ [[ -z "$(oc -n stackrox get deployment sensor -o yaml | grep POD_NAMESPACE)" ]] && oc -n stackrox patch deployment sensor --type=json -p '[{"op":"add","path":"/spec/template/spec/containers/0/env/-","value":{"name":"POD_NAMESPACE","valueFrom":{"fieldRef":{"fieldPath":"metadata.namespace"}}}}]'Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여
POD_NAMESPACE가 설정되었는지 확인하는 패치 admission-control[[ -z "$(oc -n stackrox get deployment admission-control -o yaml | grep POD_NAMESPACE)" ]] && oc -n stackrox patch deployment admission-control --type=json -p '[{"op":"add","path":"/spec/template/spec/containers/0/env/-","value":{"name":"POD_NAMESPACE","valueFrom":{"fieldRef":{"fieldPath":"metadata.namespace"}}}}]'$ [[ -z "$(oc -n stackrox get deployment admission-control -o yaml | grep POD_NAMESPACE)" ]] && oc -n stackrox patch deployment admission-control --type=json -p '[{"op":"add","path":"/spec/template/spec/containers/0/env/-","value":{"name":"POD_NAMESPACE","valueFrom":{"fieldRef":{"fieldPath":"metadata.namespace"}}}}]'Copy to Clipboard Copied! Toggle word wrap Toggle overflow
다음 단계
3.4.3. 수동 업그레이드 중 SCC 마이그레이션
roxctl CLI를 사용하여 수동 업그레이드 중에 SCC(보안 컨텍스트 제약 조건)를 마이그레이션하면 RHACS(Red Hat Advanced Cluster Security for Kubernetes) 서비스를 원활하게 전환하여 Red Hat OpenShift SCC를 사용하여 중앙 및 모든 보안 클러스터 전체에서 호환성과 최적의 보안 구성을 보장할 수 있습니다.
프로세스
중앙 및 모든 보안 클러스터에 배포된 모든 RHACS 서비스를 나열합니다.
oc -n stackrox describe pods | grep 'openshift.io/scc\|^Name:'
$ oc -n stackrox describe pods | grep 'openshift.io/scc\|^Name:'Copy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이 예에서는 각 Pod에
openshift.io/scc필드를 통해 지정된 고유한 사용자 지정 SCC가 있음을 확인할 수 있습니다.RHACS 사용자 지정 SCC 대신 Red Hat OpenShift SCC를 사용하는 데 필요한 역할 및 역할 바인딩을 추가합니다.
중앙 클러스터에 Red Hat OpenShift SCC를 사용하기 위해 필요한 역할 및 역할 바인딩을 추가하려면 다음 단계를 완료하십시오.
다음 콘텐츠를 사용하여 역할 및 역할 바인딩 리소스를 정의하는
update-central.yaml파일을 생성합니다.다음 명령을 실행하여
update-central.yaml파일에 지정된 역할 및 역할 바인딩 리소스를 생성합니다.oc -n stackrox create -f ./update-central.yaml
$ oc -n stackrox create -f ./update-central.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
모든 보안 클러스터에 Red Hat OpenShift SCC를 사용하기 위해 필요한 역할 및 역할 바인딩을 추가하려면 다음 단계를 완료하십시오.
다음 콘텐츠를 사용하여 역할 및 역할 바인딩 리소스를 정의하는
upgrade-scs.yaml이라는 파일을 생성합니다.다음 명령을 실행하여
upgrade-scs.yaml파일에 지정된 역할 및 역할 바인딩 리소스를 생성합니다.oc -n stackrox create -f ./update-scs.yaml
$ oc -n stackrox create -f ./update-scs.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 중요upgrade-scs.yaml파일에 지정된 역할 및 역할 바인딩을 생성하려면 각 보안 클러스터에서 이 명령을 실행해야 합니다.
RHACS와 관련된 SCC를 삭제합니다.
중앙 클러스터와 관련된 SCC를 삭제하려면 다음 명령을 실행합니다.
oc delete scc/stackrox-central scc/stackrox-central-db scc/stackrox-scanner
$ oc delete scc/stackrox-central scc/stackrox-central-db scc/stackrox-scannerCopy to Clipboard Copied! Toggle word wrap Toggle overflow 모든 보안 클러스터에 고유한 SCC를 삭제하려면 다음 명령을 실행합니다.
oc delete scc/stackrox-admission-control scc/stackrox-collector scc/stackrox-sensor
$ oc delete scc/stackrox-admission-control scc/stackrox-collector scc/stackrox-sensorCopy to Clipboard Copied! Toggle word wrap Toggle overflow 중요보안된 각 클러스터에서 이 명령을 실행하여 보안된 각 클러스터에 고유한 SCC를 삭제해야 합니다.
검증
다음 명령을 실행하여 모든 Pod가 올바른 SCC를 사용하고 있는지 확인합니다.
oc -n stackrox describe pods | grep 'openshift.io/scc\|^Name:'
$ oc -n stackrox describe pods | grep 'openshift.io/scc\|^Name:'Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 표와 출력을 비교합니다.
Expand Component 이전 사용자 정의 SCC 새로운 Red Hat OpenShift 4 SCC Central
stackrox-centralnonroot-v2Central-db
stackrox-central-dbnonroot-v2스캐너
stackrox-scannernonroot-v2scanner-db
stackrox-scannernonroot-v2Admission Controller
stackrox-admission-controlrestricted-v2수집기
stackrox-collectorprivileged센서
stackrox-sensorrestricted-v2
3.4.3.1. 보안 클러스터 업그레이드 확인
보안 클러스터를 업그레이드한 후 업데이트된 Pod가 작동하는지 확인합니다.
프로세스
새 Pod가 배포되었는지 확인합니다.
oc get deploy,ds -n stackrox -o wide
$ oc get deploy,ds -n stackrox -o wide1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- Kubernetes를 사용하는 경우
oc대신kubectl을 입력합니다.
oc get pod -n stackrox --watch
$ oc get pod -n stackrox --watch1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- Kubernetes를 사용하는 경우
oc대신kubectl을 입력합니다.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}