Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

监管

Red Hat Advanced Cluster Management for Kubernetes 2.14

监管策略框架帮助强化集群安全性,使用策略。

摘要

了解更多有关监管策略框架的信息,这有助于使用策略强化集群安全性。

第 1 章 监管
复制链接

对于在私有云、多云和混合云环境中部署的工作负载,企业必须满足内部对软件工程、安全工程、弹性、安全性以及规范标准的要求。Red Hat Advanced Cluster Management for Kubernetes 监管功能为企业引进自己的安全策略提供了一个可扩展的策略框架。

继续阅读 Red Hat Advanced Cluster Management 监管框架的相关主题:

1.1. 策略控制器
复制链接

策略控制器监控并报告集群是否合规。通过使用开箱即用的策略模板应用由这些控制器管理的策略,使用 Red Hat Advanced Cluster Management for Kubernetes 策略框架。策略控制器管理 Kubernetes 自定义资源定义 (CRD) 实例。

策略控制器监控策略违反情况,如果控制器支持强制功能,可以使集群状态兼容。查看以下主题以了解有关以下 Red Hat Advanced Cluster Management for Kubernetes 策略控制器的更多信息:

重要 :只有配置策略控制器策略支持 enforce 功能。当策略控制器不支持 enforce 功能时,您必须手动修复策略。

1.1.1. Kubernetes 配置策略控制器
复制链接

配置策略控制器可用于配置任何 Kubernetes 资源,并在集群中应用安全策略。配置策略控制器与本地 Kubernetes API 服务器通信,以便您可以获取集群中的配置列表。

配置策略控制器是在安装过程中在受管集群上创建的。配置策略在 hub 集群上的策略的 policy-templates 字段中提供,并由监管框架传播到所选受管集群。

当配置策略控制器的 remediationAction 设置为 InformOnly 时,父策略不会强制执行配置策略,即使父策略中的 remediationAction 被设置为 enforce

如果您想将现有的 Kubernetes 清单放入到一个策略,则策略生成器是完成此任务的有用工具。

1.1.1.1. 配置策略 YAML 结构
复制链接

您可以通过运行 oc explain --api-version=policy.open-cluster-management.io/v1 ConfigurationPolicy.<field-path&gt; 命令来查找受管集群上的字段描述。将 <field-path > 替换为您需要的字段的路径。 

apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: policy-config
spec:
  namespaceSelector:
    include: ["default"]
    exclude: []
    matchExpressions: []
    matchLabels: {}
  remediationAction: inform
1 

  customMessage:
    compliant: {}
    noncompliant: {}
  severity: low
  evaluationInterval:
    compliant: ""
    noncompliant: ""
  object-templates-raw: ""
  object-templates:
2 

   - complianceType: musthave
     metadataComplianceType:
     recordDiff: ""
     recreateOption: ""
     objectSelector:
       matchLabels: {}
       matchExpressions: []
     objectDefinition:
       apiVersion: v1
       kind: Pod
       metadata:
         name: pod
       spec:
         containers:
          - image: pod-image
            name: pod-name
            ports:
             - containerPort: 80
   - complianceType: mustonlyhave
     objectDefinition:
       apiVersion: v1
       kind: ConfigMap
       metadata:
         name: myconfig
         namespace: default
         data:
           testData: hello
Copy to Clipboard Toggle word wrap
1
当将配置策略的 remediationAction 设置为 enforce 时,控制器会将指定的配置应用到目标受管集群。但是,指定没有名称的对象的配置策略只能设置为 inform,除非也配置了 objectSelector
2
在配置策略中的 object-templates 数组中定义 Kubernetes 对象,其中配置策略控制器的字段与受管集群上的对象进行比较。您还可以在配置策略中使用模板的值。对于更高级的用例,在 object-templates-raw 中指定一个字符串来创建您想要的 object-templates。如需更多信息,请参阅模板处理
1.1.1.2. 配置策略 YAML 标
复制链接
Expand
表 1.1. 参数表
字段可选或必需的描述

apiVersion

必填

将值设置为 policy.open-cluster-management.io/v1

kind

必填

将值设为 ConfigurationPolicy 以表示策略类型。

metadata.name

必填

策略的名称。

spec.namespaceSelector

没有指定命名空间的命名空间对象是必需的

决定对象要应用到的受管集群中的命名空间。includeexclude 参数接受根据名称包含和排除命名空间的文件路径表达式。matchExpressionsmatchLabels 参数指定要包含的命名空间。请参阅 Kubernetes 标签和选择器文档。生成的列表通过使用来自所有参数的结果的交集进行编译。

spec.remediationAction

必填

指定当策略不合规时要执行的操作。使用以下参数值: 通知InformOnlyenforce

spec.customMessage

选填

根据当前的合规性,配置配置策略发送的合规性消息。每个消息配置都是可以包含 Go 模板的字符串。.DefaultMessage.Policy 上下文变量可用于模板中。您可以使用 .DefaultMessage 参数访问默认消息。.Policy 上下文变量包含当前的策略对象,包括其状态。例如,您可以通过指定 .Policy.status.relatedObjects[*].object 字段来访问每个相关对象的状态。如果您为 watch 以外的 evaluationInterval 字段设置了值,则只有相关对象的 kind、name 和 namespace 可用。

spec.customMessage.compliant

选填

为合规配置策略配置自定义消息。Go 模板和 UTF-8 编码字符(包括 emoji 和外字符)是支持的值。

spec.customMessage.noncompliant

选填

为不合规的配置策略配置自定义消息。Go 模板和 UTF-8 编码字符(包括 emoji 和外字符)是支持的值。

spec.severity

必填

当策略不合规时,指定严重性。使用以下参数值:low, medium, high, 或 critical

spec.evaluationInterval

选填

指定处于特定合规状态时要评估的策略的频率。使用 合规不合规的 参数。合规和非合规参数的默认值监视 使用 Kubernetes API 监视而不是轮询 Kubernetes API 服务器。

当受管集群具有较低资源时,可以将评估间隔设置为长时间轮询间隔,以减少 Kubernetes API 和策略控制器上的 CPU 和内存使用情况。这是持续时间的格式。例如,"1h25m3s" 代表 1 小时,25 分钟和 3 秒。它们也可以设置为 "never",以避免在策略成为特定合规状态后评估策略。

spec.evaluationInterval.compliant

选填

指定合规策略的评估频率。要启用前面的轮询行为,请将此参数设置为 10s

spec.evaluationInterval.noncompliant

选填

指定不合规策略的评估频率。要启用前面的轮询行为,请将此参数设置为 10s

spec.object-templates

选填

用于控制器的 Kubernetes 对象数组(已定义或包含字段子集),以便与受管集群上的对象进行比较。注: 虽然 spec.object-templatesspec.object-templates-raw 列为可选,但必须设置两个参数字段中的一个。

spec.object-templates-raw

选填

用于使用原始 YAML 字符串设置对象模板。指定对象模板的条件,其中支持 if-else 语句和 range 函数等高级功能。例如,添加以下值以避免在 object-templates 定义中出现重复: 

{{- if eq .metadata.name "policy-grc-your-meta-data-name" }}
                  replicas: 2
 {{- else }}
                  replicas: 1
 {{- end }}
Copy to Clipboard Toggle word wrap

注: 虽然 spec.object-templatesspec.object-templates-raw 列为可选,但必须设置两个参数字段中的一个。

spec.object-templates[].complianceType

必填

在受管集群中定义 Kubernetes 对象的所需状态。您必须使用以下动词之一作为参数值:

  • mustonlyhave :代表必须存在带有在 objectDefinition 中定义的特定字段和值。
  • musthave :代表必须存在名称与 objectDefinition 中指定的相同字段的对象。在 object-template 中指定的任何现有字段都会被忽略。通常,会附加数组值。要修补数组的一个例外是,当项目包含一个与现有项匹配的 name 值时。如果要替换数组,请使用 mustonlyhave 合规类型来完全定义 objectDefinition
  • mustnothave :代表一个具有与 objectDefinition 中指定的字段相同的对象不能存在。

spec.object-templates[].metadataComplianceType

选填

当将清单的 metadata 部分与集群中的对象比较时覆盖 spec.object-templates[].complianceType ("musthave", "mustonlyhave")。默认没有设置,这不会为原始覆盖 complianceType

spec.object-templates[].recordDiff

选填

使用此参数指定是否和在哪里显示集群中的对象与策略中的 objectDefinition 之间的区别。支持以下选项:

  • 设置为 InStatus 以存储 ConfigurationPolicy 状态中的差别。
  • 设置为 Log,以记录控制器日志的区别。
  • 设置为 None 不会记录区别。

默认情况下,如果控制器没有检测区别中的敏感数据,则此参数被设置为 InStatus。否则,默认值为 None。如果检测到敏感数据,ConfigurationPolicy 状态会显示一条消息,以设置 recordDiff 以查看差异。

spec.object-templates[].recreateOption

选填

描述在需要更新时删除和重新创建对象的时间。当您将对象设置为 IfRequired 时,策略会在更新不可变字段时重新创建对象。当您将参数设置为 Always 时,策略会在任何更新上重新创建对象。当您将 remediationAction 设置为 inform 时,参数值 recreateOption 不会对对象产生影响。IfRequired 值对集群没有空运行更新支持的集群没有影响。默认值为 None

spec.object-templates[].objectSelector

选填

objectSelector 定义了一个标签选择器,用于选择在未命名 objectDefinition 中定义的对象名称。matchExpressionsmatchLabels 参数指定要包含的对象。如果存在 objectDefinition 中定义的对象名称,则 objectSelector 会被忽略。如需更多信息,请参阅 Kubernetes 标签和选择器

spec.object-templates[].objectDefinition

必填

用于控制器的 Kubernetes 对象数组(完整定义或包含字段子集),以便与受管集群上的对象进行比较。

spec.pruneObjectBehavior

选填

决定在从受管集群中删除策略时是否清理与策略相关的资源。

1.1.1.3. 其他资源
复制链接

如需更多信息,请参阅以下主题:

1.1.2. 证书策略控制器
复制链接

证书策略控制器可以用来检测快要到期的证书,并检测时间太长(小时)或包含无法与指定模式匹配的 DNS 名称。您可以将证书策略添加到 hub 集群上的策略的 policy-templates 字段中,它使用监管框架传播到所选受管集群。如需有关 hub 集群策略的更多详情,请参阅 Hub 集群策略框架 文档。

通过更新控制器策略中的以下参数来配置和自定义证书策略控制器:

  • minimumDuration
  • minimumCADuration
  • maximumDuration
  • maximumCADuration
  • allowedSANPattern
  • disallowedSANPattern

由于以下情况之一,您的策略可能会变得不合规:

  • 当证书过期的时间少于最短持续时间,或超过最长时间时。
  • 当 DNS 名称与指定模式匹配时。

证书策略控制器是在受管集群上创建的。控制器与本地 Kubernetes API 服务器通信,以获取包含证书的 secret 列表,并确定所有不合规的证书。

证书策略控制器不支持 enforce 功能。

注: 证书策略控制器仅在 tls.crt 键的 secret 中自动查找证书。如果 secret 存储在不同的键下,添加名为 certificate_key_name 的标签,其值为 key,使证书策略控制器知道在不同的键中。例如,如果 secret 包含存储在名为 sensor-cert.pem 的密钥的证书,请将以下内容添加到 secret: certificate_key_name: sensor-cert.pem 中。

1.1.2.1. 证书策略控制器 YAML 结构
复制链接

查看证书策略的以下示例,并查看 YAML 表中的元素: 

apiVersion: policy.open-cluster-management.io/v1
kind: CertificatePolicy
metadata:
  name: certificate-policy-example
spec:
  namespaceSelector:
    include: ["default"]
    exclude: []
    matchExpressions: []
    matchLabels: {}
  labelSelector:
    myLabelKey: myLabelValue
  remediationAction:
  severity:
  minimumDuration:
  minimumCADuration:
  maximumDuration:
  maximumCADuration:
  allowedSANPattern:
  disallowedSANPattern:
Copy to Clipboard Toggle word wrap
1.1.2.1.1. 证书策略控制器 YAML 表
复制链接
Expand
表 1.2. 参数表
字段可选或必需的描述

apiVersion

必填

将值设置为 policy.open-cluster-management.io/v1

kind

必填

将值设为 CertificatePolicy 以表示策略类型。

metadata.name

必填

用于标识策略的名称。

metadata.labels

选填

在证书策略中,category=system-and-information-integrity 标签将对策略进行分类,并促进查询证书策略。如果您的证书策略中 category 键的值不同,该值会被证书控制器覆盖。

spec.namespaceSelector

必填

决定监控 secret 的受管集群中的命名空间。includeexclude 参数接受根据名称包含和排除命名空间的文件路径表达式。matchExpressionsmatchLabels 参数指定要包含在标签中的命名空间。请参阅 Kubernetes 标签和选择器文档。生成的列表通过使用来自所有参数的结果的交集进行编译。

注: 如果证书策略控制器的 namespaceSelector 与任何命名空间不匹配,则该策略被视为合规。

spec.labelSelector

选填

指定识别对象属性。请参阅 Kubernetes 标签和选择器文档。

spec.remediationAction

必填

指定您的策略的修复。将参数值设置为 inform。证书策略控制器只支持 inform 功能。

spec.severity

选填

当策略不合规时,会告知用户的严重性。使用以下参数值:low, medium, high, 或 critical

spec.minimumDuration

必填

如果没有指定值,则默认为 100h。参数指定证书被视为不合规前的最短持续时间(以小时为单位)。参数值使用 Golang 的持续时间格式。如需更多信息,请参阅 Golang 解析持续时间

spec.minimumCADuration

选填

设定一个与其他证书不同的值来标识可能很快过期的签名证书。如果没有指定参数值,则 CA 证书过期时间作为 minimumDuration 的值。如需更多信息,请参阅 Golang 解析持续时间

spec.maximumDuration

选填

指定一个值来标识创建的时间超过您所期望的限制值的证书。参数使用 Golang 的持续时间格式。如需更多信息,请参阅 Golang 解析持续时间

spec.maximumCADuration

选填

创建一个值来标识创建的时间超过您定义的限制值的签名的证书。参数使用 Golang 的持续时间格式。如需更多信息,请参阅 Golang 解析持续时间

spec.allowedSANPattern

选填

正则表达式,必须与您证书中定义的每个 SAN 条目匹配。这个参数会根据特征检查 DNS 名称。如需更多信息,请参阅 Golang 郑则表达式语法

spec.disallowedSANPattern

选填

正则表达式,不能与证书中定义的任何 SAN 条目匹配。这个参数会根据特征检查 DNS 名称。

:要检测通配符证书,请使用以下 SAN 模式:disallowedSANPattern: "[\\*]"

如需更多信息,请参阅 Golang 郑则表达式语法

1.1.2.2. 证书策略示例
复制链接

当在 hub 集群上创建证书策略控制器时,会在受管集群上创建复制策略。

1.1.2.3. 其他资源
复制链接

1.1.3. 策略控制器
复制链接

策略控制器将策略状态范围聚合到同一命名空间中定义的策略。创建策略集合(PolicySet),以对同一命名空间中的策略进行分组。PolicySet 中的所有策略都放在选定集群中,方法是创建一个 PlacementBinding 来绑定 PolicySetPlacement。策略集已部署到 hub 集群。

另外,当策略是多个策略集的一部分时,现有和新的 Placement 资源保留在策略中。当用户从策略集合中删除策略时,策略不会应用到在策略集合中选择的集群,但放置会保留。策略控制器只检查包括策略设置放置的集群中的违反情况。

备注:

  • Red Hat Advanced Cluster Management 示例策略集使用集群放置。如果使用集群放置,请将包含策略的命名空间绑定到受管集群集。有关使用集群放置的详情,请参阅在集群中部署策略
  • 要使用 放置资源ManagedClusterSet 资源必须绑定到带有 ManagedClusterSetBinding 资源的 Placement 资源的命名空间。如需了解更多详细信息 ,请参阅创建 ManagedClusterSetBinding 资源

在以下部分了解更多有关策略设置结构的详细信息:

1.1.3.1. 策略设置 YAML 结构
复制链接

您的策略集可能类似以下 YAML 文件: 

apiVersion: policy.open-cluster-management.io/v1beta1
kind: PolicySet
metadata:
  name: demo-policyset
spec:
  policies:
  - policy-demo

---
apiVersion: policy.open-cluster-management.io/v1
kind: PlacementBinding
metadata:
  name: demo-policyset-pb
placementRef:
  apiGroup: cluster.open-cluster-management.io
  kind: Placement
  name: demo-policyset-pr
subjects:
- apiGroup: policy.open-cluster-management.io
  kind: PolicySet
  name: demo-policyset
---
apiVersion: cluster.open-cluster-management.io/v1beta1
kind: Placement
metadata:
  name: demo-policyset-pr
spec:
  predicates:
  - requiredClusterSelector:
      labelSelector:
        matchExpressions:
          - key: name
            operator: In
            values:
              - local-cluster
    tolerations:
        - key: cluster.open-cluster-management.io/unavailable
          operator: Exists
        - key: cluster.open-cluster-management.io/unreachable
          operator: Exists
Copy to Clipboard Toggle word wrap
1.1.3.2. 策略设置表
复制链接

查看以下参数表以获详细信息:

Expand
表 1.3. 参数表
字段可选或必需的描述

apiVersion

必填

将值设为 policy.open-cluster-management.io/v1beta1

kind

必填

将值设为 PolicySet 以表示策略类型。

metadata.name

必填

用于标识策略资源的名称。

spec

必填

添加策略的配置详情。

spec.policies

选填

要在策略集合中分组的策略列表。

1.1.3.3. 策略示例
复制链接
apiVersion: policy.open-cluster-management.io/v1beta1
kind: PolicySet
metadata:
  name: pci
  namespace: default
spec:
  description: Policies for PCI compliance
  policies:
  - policy-pod
  - policy-namespace
status:
  compliant: NonCompliant
  placement:
  - placementBinding: binding1
    placement: placement1
    policySet: policyset-ps
Copy to Clipboard Toggle word wrap
1.1.3.4. 其他资源
复制链接

1.1.4. Operator 策略控制器
复制链接

Operator 策略控制器允许您在集群中监控和安装 Operator Lifecycle Manager operator。使用 Operator 策略控制器来监控操作器的不同部分的健康状况,并指定如何自动处理对 Operator 的更新。

您还可以使用监管框架将 Operator 策略分发到受管集群,并将策略添加到 hub 集群上的策略的 policy-templates 字段中。

您还可以使用 operator 策略的 operatorGroupsubscription 字段中的模板值。如需更多信息,请参阅模板处理

1.1.4.1. 先决条件
复制链接
  • Operator Lifecycle Manager 必须在受管集群中可用。这在 Red Hat OpenShift Container Platform 中默认启用。
  • 需要的访问权限:集群管理员
1.1.4.2. Operator 策略 YAML 表
复制链接
Expand
字段可选或必需的描述

apiVersion

必填

将值设为 policy.open-cluster-management.io/v1beta1

kind

必填

将值设为 OperatorPolicy 以表示策略类型。

metadata.name

必填

用于标识策略资源的名称。

spec.remediationAction

必填

如果将 operator 策略的 remediationAction 设置为 enforce,控制器会在目标受管集群上创建资源以与 OLM 通信以安装 Operator,并根据策略中指定的版本批准更新。+ 如果 remediationAction 设置为 inform,则控制器只报告 Operator 的状态,包括有可用的升级可用。

spec.operatorGroup

选填

默认情况下,如果未指定operatorGroup字段,则控制器会在与订阅相同的命名空间中生成AllNamespaces类型的OperatorGroup资源(如果支持)。操作员策略控制器生成此资源。查看以下参数说明:

  • nameOperatorGroup资源的名称。
  • namespaceOperatorGroup资源的命名空间。此参数必须与您安装操作员的命名空间相匹配。
  • targetNamespaces :操作员配置监视和操作的命名空间列表。

spec.complianceType

必填

指定集群上 Operator 的所需状态。如果设置为 musthave,则当找到 Operator 时策略会合规。如果设置为 mustnothave,则在找不到 Operator 时策略合规。

spec.removalBehavior

选填

当您强制定义 complianceType: mustnothaveOperatorPolicy 资源时,决定需要保留或删除哪些资源类型。当complianceType设置为musthave 时无效。查看以下参数说明:

  • 可以将operatorGroups设置为KeepDeleteIfUnused 。默认值为DeleteIfUnusued ,仅当OperatorGroup资源未被任何其他操作员使用时才会删除该资源。
  • 订阅可以设置为保留删除。默认值为Delete
  • clusterServiceVersions可以设置为KeepDelete 。默认值为Delete
  • customResourceDefinitions可以设置为KeepDelete 。默认值为Keep 。如果将其设置为Delete ,则托管集群上的CustomResourceDefintion资源将被删除,并可能导致数据丢失。

spec.subscription

必填

定义创建 operator 订阅的配置。在以下字段中添加信息以创建 operator 订阅。查看以下参数说明:

  • 频道 :如果没有指定,则从 operator 目录中选择默认频道。默认在不同的 OpenShift Container Platform 版本中可能会有所不同。
  • name :指定 Operator 的软件包名称。
  • 命名空间 :如果没有指定,用于 OpenShift Container Platform 受管集群的默认命名空间是 openshift-operators
  • Source: 如果没有指定,则会选择包含 Operator 的目录。
  • sourceNamespace :如果没有指定,则会选择包含 Operator 的目录的命名空间。
  • 配置可选。为运营商订阅指定额外的配置详细信息。

名称字段是唯一必填字段。其他字段根据托管集群内的目录信息填充。

注意:如果您在此参数部分中为installPlanApproval字段定义一个值,则该策略将变得不合规。在OperatorPolicy资源中使用spec.upgradeApproval

spec.complianceConfig

选填

使用此参数定义与操作器关联的特定场景的合规性行为。您可以单独设置以下选项,其中支持的值为 CompliantNonCompliant

  • catalogSourceUnhealthy :定义 Operator 的目录源不健康时的合规性。默认值为 Compliant,因为这只会影响到可能的升级。
  • deploymentsUnavailable :定义至少一个 Operator 部署没有完全可用时的合规性。默认值为 NonCompliant,因为这反映了 Operator 提供的服务的可用性。
  • upgrade Available :定义有可用于 Operator 的升级时的合规性。默认值为 Compliant,因为现有 Operator 安装可能会正确运行。
  • deprecationsPresent: 指定策略合规性会受到弃用的影响。例如,默认值为 Compliant,但如果 deprecationsPresent=NonCompliant 配置检测到弃用,策略合规状态被设置为 NonCompliant

spec.upgradeApproval

必填

如果 upgradeApproval 字段设置为 Automatic,策略将设置为 enforce 时,策略会批准集群中的版本升级。如果将字段设置为 None,当策略设置为 enforce 时,到特定 Operator 的版本将不会被批准。

spec.versions

选填

声明哪些 Operator 版本合规。versions 参数是一个可临时字符串列表,用于指定在 inform 模式中,哪些安装的 ClusterServiceVersion 名称在 inform 模式中合规,在 enforce 模式中会批准哪些 InstallPlan。要在一个条目中提供不同的版本,请用逗号分隔各个版本。如果该字段为空,则忽略字符串并批准所有ClusterServiceVersion名称。默认值为空。

1.1.4.3. 其他资源
复制链接

1.2. 模板处理
复制链接

配置策略和操作器策略支持包含 Golang 文本模板。这些模板在 hub 集群或目标受管集群的运行时使用与该集群相关的配置解决。这可让您使用动态内容定义配置策略,并通知或强制实施为目标集群自定义的 Kubernetes 资源。

策略定义可以包含 hub 集群和受管集群模板。hub 集群模板首先在 hub 集群中处理,然后将带有已解析 hub 集群模板的策略定义传播到目标集群。在受管集群中,ConfigPolicyController 处理策略定义中的任何受管集群模板,然后强制执行或验证完全解析的对象定义。

模板语法必须符合 Golang 模板语言规范,并且从解析的模板生成的资源定义必须是有效的 YAML。如需更多与 Package 模板相关的信息,请参阅 Golang 文档。模板验证中的任何错误都将识别为策略违反情况。当您使用自定义模板功能时,这些值会在运行时被替换。

重要:

  • 重要: 如果您使用 hub 集群模板传播 secret 或其他敏感数据,则敏感数据存在于 hub 集群上的受管集群命名空间和发布该策略的受管集群中。模板内容在策略中扩展,策略不会由 OpenShift Container Platform ETCD 加密支持加密。要解决这个问题,请使用 fromSecretcopySecretData,它会自动加密 secret 中的值,或 protect 加密其他值。

  • 当您添加多行字符串值(如 certificate)时,始终在模板管道末尾添加 | toRawJson | toLiteral 语法来处理换行符。例如,如果您要从 Secret 资源复制证书并将其包含在 ConfigMap 资源中,则模板管道可能类似如下: 

    ca.crt: '{{ fromSecret "openshift-config" "ca-config-map-secret" "ca.crt"  | base64dec | toRawJson | toLiteral }}'
    Copy to Clipboard Toggle word wrap

    toRawJson 模板函数将输入值转换为 JSON 字符串,其中新行转义不会影响 YAML 结构。toLiteral 模板函数从输出中删除外部单引号。例如,当对 键处理模板时:'{{ 'hello\nworld' | toRawJson }}' 模板管道,输出为 key: '"hello\nworld"'键的输出:"{{ 'hello\nworld' | toRawJson | toLiteral }}' template pipeline is key: "hello\nworld".

如需 hub 集群和受管集群模板的比较,请参阅下表:

1.2.1. hub 集群和受管集群模板的比较
复制链接

Expand
表 1.4. 比较表
模板hub 集群受管集群(managed cluster)

Syntax

golang 文本模板规格

golang 文本模板规格

Delimiter

{{hub … hub}}

{{ … }}

Context

上下文变量 .ManagedClusterName.ManagedClusterLabels.PolicyMetadata 可用。.ManagedClusterName 解析为传播策略的目标集群的名称。.ManagedClusterLabels 解析为传播策略的受管集群中标签的键和值映射。.PolicyMetadata 使用 root 策略中的值解析为带有 名称命名空间标签和注解 键的映射。

对于ConfigurationPolicy资源,上下文变量.ObjectName.ObjectNamespace.ObjectobjectDefinition内可用。如果对象不是集群范围的,则 ObjectNamespace会解析为您指定的spec.namespaceSelectormetadata.namespace中选择的命名空间的名称。.ObjectName解析为您指定的objectSelectormetadata.name中的对象名称。.Object是当前位于集群上的完整目标对象。

Access control

默认情况下,您只能引用与 Policy 对象相同的命名空间中的命名空间 Kubernetes 资源,以及策略传播到的集群的 ManagedCluster 对象。

或者,您可以将 Policy 对象中的 spec.hubTemplateOptions.serviceAccountName 字段指定到与 Policy 资源相同的命名空间中的服务帐户。当您指定字段时,服务帐户用于所有 hub 集群模板查找。

注: 服务帐户必须具有在 hub 集群模板中查找的任何资源 的列表 和监视 权限。

您可以引用集群中的任何资源。

Functions

组模板功能,支持对 Kubernetes 资源和字符串操作的动态访问。如需更多信息,请参阅模板功能。有关查询限制,请参阅 Access control 行。

hub 集群上的 fromSecret 模板功能将生成的值作为加密字符串存储在受管集群命名空间中。

等效的调用可能使用以下语法:{{hub "(lookup "v1" "Secret" "default" "my-hub-secret").data.message | protect hub}}

组模板功能,支持对 Kubernetes 资源和字符串操作的动态访问。如需更多信息,请参阅模板功能

Function output storage

在与受管集群同步前,模板功能的输出存储在 hub 集群上每个适用的受管集群命名空间中的 Policy 资源对象中。这意味着,对 hub 集群上的 Policy 资源对象的读取访问权限的任何人都可以读取模板功能的任何敏感结果,以及对受管集群上 ConfigurationPolicyOperatorPolicy 资源对象的读取访问权限的任何人。另外,如果启用了 etcd 加密,策略资源对象不会被加密。使用返回敏感输出的模板功能(如从机密中)时,最好仔细考虑这一点。

模板功能的输出不存储在策略相关的资源对象中。

Processing

在 hub 集群的运行时,处理会在复制策略传播到集群的过程中进行。只有在创建或更新模板时,策略中的策略和 hub 集群模板才会在 hub 集群中处理。

在受管集群中进行处理。策略定期处理,利用所引用资源中的数据自动更新解析的对象定义。每当引用的资源更改时,Operator 策略会自动更新。

Processing errors

hub 集群模板中的错误显示为策略应用到的受管集群中的违反情况。

受管集群模板中的错误会在发生违反情况的特定目标集群中以违反的形式显示。

继续阅读以下主题:

1.2.2. 模板功能
复制链接

使用 {{hub …​ hub}} 分隔符或受管集群上的 {{ …​ }} 分隔符引用 Kubernetes 资源,如特定于资源和通用的模板功能。为方便起见,您可以使用特定于资源的功能,并使资源内容更易于访问。

1.2.2.1. 模板功能描述
复制链接

如果您使用通用的函数 lookup,它更为高级,请熟悉正在查找的资源的 YAML 结构。除了这些功能外,实用程序功能(如 base64encbase64decindentautoindenttoInttoBool 等等)。

要将模板符合 YAML 语法,您必须使用引号或块字符(| 或 > )在策略资源中将模板定义为字符串。这会导致解析的模板值也是字符串。要覆盖此功能,请使用 toInttoBool 作为模板中的最终功能,以启动进一步处理,强制将值解释为整数或布尔值。

继续阅读以查看支持的一些自定义模板功能的描述和示例:

1.2.2.1.1. fromSecret
复制链接

fromSecret 功能返回 secret 中给定 data 键的值。查看该功能的以下语法: 

func fromSecret (ns string, secretName string, datakey string) (dataValue string, err error)
Copy to Clipboard Toggle word wrap

使用此功能时,请输入 Kubernetes Secret 资源的命名空间、名称和数据键。在 hub 集群模板中使用函数时,您必须使用用于策略的同一命名空间。如需了解更多详细信息,请参阅模板处理

查看在目标集群上强制执行 Secret 资源的以下配置策略。 

apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: demo-fromsecret
spec:
  object-templates:
  - objectDefinition:
      apiVersion: v1
      kind: Secret
1 

      metadata:
        name: demosecret
        namespace: test
      type: Opaque
      data:
2 

        USER_NAME: YWRtaW4=
        PASSWORD: '{{ fromSecret "default" "localsecret" "PASSWORD" }}'
3
Copy to Clipboard Toggle word wrap
1
如果目标集群上不存在 Kubernetes Secret 资源,则会出现策略违反的情况。如果目标集群上不存在 data 键,则该值将变为空字符串。
2
当您将 fromSecret 功能与 hub 集群模板搭配使用时,输出会自动使用 protect 功能加密,以保护到受管集群的值。
3
PASSWORD data 键的值是引用目标集群上 secret 的模板:

重要: 当您添加多行字符串值时,证书始终会在模板管道末尾添加 | toRawJson | toLiteral 语法来处理换行符。例如,如果您要从 Secret 资源复制证书并将其包含在 ConfigMap 资源中,则模板管道可能类似如下: 

ca.crt: '{{ fromSecret "openshift-config" "ca-config-map-secret" "ca.crt"  | base64dec | toRawJson | toLiteral }}'
Copy to Clipboard Toggle word wrap
  • toRawJson 模板函数将输入值转换为 JSON 字符串,其中新行转义不会影响 YAML 结构。
  • toLiteral 模板函数从输出中删除外部单引号。例如,当对 键处理模板时:'{{ 'hello\nworld' | toRawJson }}' 模板管道,输出为 key: '"hello\nworld"'键的输出:"{{ 'hello\nworld' | toRawJson | toLiteral }}' template pipeline is key: "hello\nworld".
1.2.2.1.2. fromConfigmap
复制链接

fromConfigMap 功能返回 ConfigMap 中给定 data 键的值。使用此功能时,请输入 Kubernetes ConfigMap 资源的命名空间、名称和数据键。您必须使用 hub 集群模板中的功能用于策略的同一命名空间。如需了解更多详细信息,请参阅模板处理

查看该功能的以下语法: 

func fromConfigMap (ns string, configmapName string, datakey string) (dataValue string, err Error)
Copy to Clipboard Toggle word wrap

查看在目标受管集群中强制执行 Kubernetes 资源的以下配置策略。 

apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: demo-fromcm-lookup
spec:
  object-templates:
  - objectDefinition:
      ...
      data:
1 

        app-name: sampleApp
        app-description: "this is a sample app"
        log-file: '{{ fromConfigMap "default" "logs-config" "log-file" }}'
2 

        log-level: '{{ fromConfigMap "default" "logs-config" "log-level" }}'
3
Copy to Clipboard Toggle word wrap
1
如果目标集群上不存在 data 键,则该值将变为空字符串。
2
log-file 模板值从 default 命名空间中的 logs-config ConfigMap 检索 log-file data 键的值。
3
log-level 模板值从 default 命名空间中的 logs-config ConfigMap 检索 log-level data 键的值。
1.2.2.1.3. fromClusterClaim
复制链接

fromClusterClaim 功能返回 ClusterClaim 资源中的 Spec.Value 的值。查看该功能的以下语法: 

func fromClusterClaim (clusterclaimName string) (dataValue string, err Error)
Copy to Clipboard Toggle word wrap

查看在目标受管集群上强制执行 Kubernetes 资源的配置策略示例。 

apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: demo-clusterclaims
1 

spec:
  object-templates:
  - objectDefinition:
      ...
      data:
2 

        platform: '{{ fromClusterClaim "platform.open-cluster-management.io" }}'
3 

        product: '{{ fromClusterClaim "product.open-cluster-management.io" }}'
        version: '{{ fromClusterClaim "version.openshift.io" }}'
Copy to Clipboard Toggle word wrap
1
使用此功能时,输入 Kubernetes ClusterClaim 资源的名称。如果 ClusterClaim 资源不存在,您会收到策略违反情况。
2
配置值可以设置为 key-value 属性。
3
platform 数据键的值是一个模板,它检索 platform.open-cluster-management.io 集群声明的值。同样,它从 ClusterClaim 获取产品和版本的值:
1.2.2.1.4. lookup
复制链接

lookup 功能将 Kubernetes 资源作为 JSON 兼容映射返回。使用此功能时,输入 Kubernetes 资源的 API 版本、类型、命名空间、名称和可选标签选择器。您必须在 hub 集群模板中使用与策略相同的命名空间。如需了解更多详细信息,请参阅模板处理

如果请求的资源不存在,则返回空映射。如果资源不存在,并且值提供给另一个模板功能,您可能会得到以下错误: invalid value; expected string

注: 使用默认 模板功能,因此为后续模板功能提供了正确的类型。请参阅 Sprig 开源 部分。

查看该功能的以下语法: 

func lookup (apiversion string, kind string, namespace string, name string, labelselector ...string) (value string, err Error)
Copy to Clipboard Toggle word wrap

有关标签选择器示例,请参阅 Kubernetes 标签和选择器 文档的额外资源部分。查看在目标受管集群上强制执行 Kubernetes 资源的配置策略示例。 

apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: demo-lookup
spec:
  object-templates:
  - objectDefinition:
      ...
      data:
1 

        app-name: sampleApp
        app-description: "this is a sample app"
        metrics-url: >-
2 

          http://{{ (lookup "v1" "Service" "default" "metrics").spec.clusterIP }}:8080
Copy to Clipboard Toggle word wrap
1
配置值可以设置为 key-value 属性。
2
metrics-url 数据键的值是一个模板,它从 default 命名空间中获取 v1/Service Kubernetes metrics 资源,并设置为查询的资源中的 Spec.ClusterIP 的值:
1.2.2.1.5. base64enc
复制链接

base64enc 功能返回以 base64 编码的输入 data string 值。使用这个功能时,输入字符串值。查看该功能的以下语法: 

func base64enc (data string) (enc-data string)
Copy to Clipboard Toggle word wrap

查看以下使用 base64enc 功能的配置策略示例: 

apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: demo-fromsecret
spec:
  object-templates:
  - objectDefinition:
      ...
      data:
        USER_NAME: >-
          {{ fromConfigMap "default" "myconfigmap" "admin-user" | base64enc }}
Copy to Clipboard Toggle word wrap
1.2.2.1.6. base64dec
复制链接

base64dec 功能返回一个以 base64 解码的输入的 enc-data string 值。使用这个功能时,输入字符串值。查看该功能的以下语法: 

func base64dec (enc-data string) (data string)
Copy to Clipboard Toggle word wrap

查看以下使用 base64enc 功能的配置策略示例: 

apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: demo-fromsecret
spec:
  object-templates:
  - objectDefinition:
      ...
      data:
        app-name: >-
          {{ ( lookup "v1"  "Secret" "testns" "mytestsecret") .data.appname ) | base64dec }}
Copy to Clipboard Toggle word wrap
1.2.2.1.7. indent
复制链接

indent 功能会返回经过 padded 的 data string。使用这个功能时,输入带有特定空格数的数据字符串。查看该功能的以下语法: 

func indent (spaces  int,  data string) (padded-data string)
Copy to Clipboard Toggle word wrap

查看以下使用 indent 功能的配置策略示例: 

apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
spec:
  object-templates:
  - objectDefinition:
      ...
      data:
        Ca-cert: >-
          {{ ( index ( lookup "v1" "Secret" "default" "mycert-tls"  ).data  "ca.pem"  ) |  base64dec | indent 4  }}
Copy to Clipboard Toggle word wrap
1.2.2.1.8. autoindent
复制链接

autoindent 函数的作用类似于 indent 函数,它根据模板前面的空格数自动决定前导空格的数量。

查看以下使用 autoindent 函数的配置策略示例: 

apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: demo-fromsecret
spec:
  object-templates:
  - objectDefinition:
      ...
      data:
        Ca-cert: >-
          {{ ( index ( lookup "v1" "Secret" "default" "mycert-tls"  ).data  "ca.pem"  ) |  base64dec | autoindent }}
Copy to Clipboard Toggle word wrap
1.2.2.1.9. toInt
复制链接

toInt 函数处理并返回输入值的整数值。另外,如果这是模板中的最后一个功能,也会进一步处理源内容。这是为了确保该值由 YAML 解释为整数。使用这个功能时,输入需要转换为整数的数据。查看该功能的以下语法: 

func toInt (input interface{}) (output int)
Copy to Clipboard Toggle word wrap

查看以下使用 toInt 功能的配置策略示例: 

apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: demo-template-function
spec:
  object-templates:
  - objectDefinition:
      ...
      spec:
        vlanid: >-
          {{ (fromConfigMap "site-config" "site1" "vlan")  | toInt }}
Copy to Clipboard Toggle word wrap
1.2.2.1.10. toBool
复制链接

toBool 函数将输入字符串转换为布尔值,并返回布尔值。另外,如果这是模板中的最后一个功能,也会进一步处理源内容。这是为了确保该值被 YAML 解释为布尔值。使用此功能时,请输入需要转换为布尔值的字符串数据。查看该功能的以下语法: 

func toBool (input string) (output bool)
Copy to Clipboard Toggle word wrap

查看以下使用 toBool 函数的配置策略示例: 

apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: demo-template-function
spec:
  object-templates:
  - objectDefinition:
      ...
      spec:
        enabled: >-
          {{ (fromConfigMap "site-config" "site1" "enabled")  | toBool }}
Copy to Clipboard Toggle word wrap
1.2.2.1.11. fromYaml
复制链接

fromYamlfromYAML函数将 YAML 字符串解析为 Golang 对象。您可以将此功能与具有 YAML 字符串值的ConfigMap资源一起使用。 

apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: demo-template-function
spec:
  object-templates:
  - objectDefinition:
      ...
      spec:
        replicas: >-
          {{ (fromConfigMap "default" "app-config" "config.yaml") | fromYaml | index "replicas" }}
Copy to Clipboard Toggle word wrap
1.2.2.1.12. toYaml
复制链接

toYamltoYAML函数将 Golang 对象解析为 YAML 字符串。为了使多行结果正确缩进,必须将输出传递给自动缩进缩进函数。 

apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: demo-template-function
spec:
  object-templates:
  - objectDefinition:
      ...
      data:
        config.yaml: |
          {{ dict "key1" "value1" "key2" "value2" | toYaml | autoindent }}
Copy to Clipboard Toggle word wrap
1.2.2.1.13. 保护
复制链接

通过 protect 功能,您可以在 hub 集群策略模板中对字符串进行加密。评估策略时,它将在受管集群上自动解密。查看以下使用 protect 功能的配置策略示例: 

apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: demo-template-function
spec:
  object-templates:
  - objectDefinition:
    ...
    spec:
      enabled: >-
        {{hub (lookup "v1" "Secret" "default" "my-hub-secret").data.message | protect hub}}
Copy to Clipboard Toggle word wrap

在前面的 YAML 示例中,定义了使用 lookup 功能的现有 hub 集群策略模板。在受管集群命名空间中的复制策略上,值可能类似以下语法 :$ocm_encrypted:okrrBqt72oI+3WT/0vxeI3vGa+wpLD7Z0ZxFMLvL204=

使用的每个加密算法是 256 位密钥的 AES-CBC。对于每个受管集群,每个加密密钥都需要是唯一的,每 30 天自动轮转。

这样可确保您的解密的值永不会存储在受管集群的策略中。

要强制立即轮转,在 hub 集群上删除 policy-encryption-key Secret 上的 policy.open-cluster-management.io/last-rotated 注解。然后,会重新处理策略以使用新的加密密钥。

1.2.2.1.14. toLiteral
复制链接

toLiteral 函数会在处理模板字符串后删除任何引号。您可以使用此功能将 JSON 字符串从 ConfigMap 字段转换为清单中的 JSON 值。运行以下功能从 key 参数值中删除引号: 

key: '{{ "[\"10.10.10.10\", \"1.1.1.1\"]" | toLiteral }}'
Copy to Clipboard Toggle word wrap

使用 toLiteral 功能后,会显示以下更新: 

key: ["10.10.10.10", "1.1.1.1"]
Copy to Clipboard Toggle word wrap
1.2.2.1.15. copySecretData
复制链接

copySecretData 功能复制指定 secret 的所有数据内容。查看以下函数示例: 

...
objectDefinition:
  apiVersion: v1
  kind: Secret
  metadata:
    name: my-secret-copy
  data: '{{ copySecretData "default" "my-secret" }}'
1
Copy to Clipboard Toggle word wrap
1
注:当您将此功能与 hub 集群模板搭配使用时,输出会使用 保护功能 自动加密。
1.2.2.1.16. copyConfigMapData
复制链接

copyConfigMapData 功能复制指定 ConfigMap 的所有 data 内容。查看以下函数示例: 

...
objectDefinition:
  apiVersion: v1
  kind: ConfigMap
  metadata:
    name: my-secret-copy
  data: '{{ copyConfigMapData "default" "my-configmap" }}'
Copy to Clipboard Toggle word wrap
1.2.2.1.17. getNodesWithExactRoles
复制链接

getNodesWithExactRoles 函数返回一个节点列表,它只具有您指定的角色,并忽略具有除 node-role.kubernetes.io/worker 角色以外的任何其他角色的节点。查看以下示例功能,您可以在其中选择 "infra" 节点并忽略存储节点: 

...
objectDefinition:
  apiVersion: v1
  kind: ConfigMap
  metadata:
    name: my-configmap
    data:
      infraNode: |
        {{- range $i,$nd := (getNodesWithExactRoles "infra").items }}
        node{{ $i }}: {{ $nd.metadata.name }}
        {{- end }}
      replicas: {{ len ((getNodesWithExactRoles "infra").items) | toInt }}
Copy to Clipboard Toggle word wrap
1.2.2.1.18. hasNodesWithExactRoles
复制链接

如果集群只包含您指定的角色的节点,则 hasNodesWithExactRoles 功能会返回 true 值,并忽略具有任何额外角色的节点,node-role.kubernetes.io/worker 角色除外。查看以下函数示例: 

...
objectDefinition:
  apiVersion: v1
  kind: ConfigMap
  metadata:
    name: my-configmap
  data:
    key: '{{ hasNodesWithExactRoles "infra" }}'
Copy to Clipboard Toggle word wrap
1.2.2.1.19. skipObject
复制链接

skipObject 功能仅适用于 ConfigurationPolicy 资源的受管集群模板。在 Go 模板信号中随时调用 {{ skipObject }},以跳过该策略的特定对象。当您将 skipObjectobjectSelector 搭配使用时,您可以根据名称进一步过滤对象。您可以在条件中单独调用skipObject或使用可选布尔参数调用它。

查看以下示例,它选择具有标签 foo: bar 的对象,但跳过名称为 suffix -prod 的对象: 

...
objectSelector:
  matchExpressions:
  - key: foo
    operator: In
    values:
    - bar
objectDefinition:
  apiVersion: v1
  kind: ConfigMap
  data:
    key: '{{ skipObject (hasSuffix "-prod" .ObjectName) }}{{ hasNodesWithExactRoles "infra" }}'
Copy to Clipboard Toggle word wrap
1.2.2.1.20. Sprig 开源
复制链接

另外,Red Hat Advanced Cluster Management 还支持 sprig 开源项目中包含的以下模板功能:

Expand
表 1.5. 支持的社区 Sprig 功能表
Sprig 库Functions

加密和安全

htpasswd

Date

date,mustToDate,now,toDate

default

默认fromJsonmustFromJson三元toJsontoRawJsonmustToRawJson

列出的Json函数也别名为等效的大写JSON函数。

字典和字典

dictdiggethasKeykeysmergemustMergesetunsetvalues

编码

b64dec , b64enc

流量控制

fail

整数数数

添加,mul,div,round,sub

整数片段

直到 , until Step,

列表

追加列表必须追加必须有必须前置必须切片前置切片

字符串列表

concatjoinsortAlphasplitsplitnsplitList

字符串

catcontainshasPrefixhasSuffixlowermustRegexFindmustRegexFindAllmustRegexMatchquoteregexFindregexFindAllregexMatchregexQuoteMetareplacesubstrtrimtrimAlltruncupper

版本比较

semver,semverCompare

1.2.2.2. 其他资源
复制链接

1.2.3. 在策略中使用高级模板处理
复制链接

使用受管集群和 hub 集群模板来减少在策略定义中为每个目标集群或硬代码配置值创建单独的策略的需求。为安全起见,hub 集群模板中的特定于资源和通用查询功能都仅限于 hub 集群上策略的命名空间。

重要: 如果您使用 hub 集群模板传播 secret 或其他敏感数据,则敏感数据存在于 hub 集群上的受管集群命名空间和发布该策略的受管集群中。模板内容在策略中扩展,策略不会由 OpenShift Container Platform ETCD 加密支持加密。要解决这个问题,请使用 fromSecretcopySecretData,它会自动加密 secret 中的值,或 protect 加密其他值。

继续阅读高级模板用例:

1.2.3.1. 重新处理的特殊注解
复制链接

hub 集群模板会在策略创建过程中或更新引用的资源时解析到引用资源中的数据。

如果您需要手动启动更新,请使用特殊注解 policy.open-cluster-management.io/trigger-update 来指示模板引用的数据的更改。对特殊注解值的任何更改都会自动启动模板处理。另外,引用资源的最新内容会在传播以在受管集群上处理的策略定义中读取和更新。使用此注解的方法是每次递增值。

1.2.3.2. 绕过模板处理
复制链接

默认情况下,Red Hat Advanced Cluster Management 会处理所有模板。您可能会创建一个策略,该策略在 policy-templates 中包含不是由 Red Hat Advanced Cluster Management 处理的策略。要绕过特定模板的模板处理,请将 {{ template content }} 更改为 +{{ '{{ template content }} +'。然后,模板会返回由后续模板引擎处理的原始字符串。

如果要完全绕过配置策略的模板解析,请在您的 Policy 资源中包含的相关 ConfigurationPolicy 中添加 policy.open-cluster-management.io/disable-templates: "true" 注解。

1.2.3.3. 配置策略 objectSelector
复制链接

要迭代由带有 ConfigurationPolicy 的标签过滤的许多对象,请使用 objectSelector 并在 objectDefinition 中指定 kindobjectSelectornamespaceSelector 类似,但它没有名称过滤功能。要根据名称过滤,请使用 skipObject Go 模板功能。如果您随时引用 {{ skipObject }},它会信号从策略的 objectSelector 中跳过该特定对象。

请参阅以下 YAML 示例,它选择具有标签 foo: bar 的对象,但跳过名称为 suffix -prod 的对象: 

...
objectSelector:
  matchExpressions:
  - key: foo
    operator: In
    values:
    - bar
objectDefinition:
  apiVersion: v1
  kind: ConfigMap
  data:
    key: '{{ if (hasSuffix "-prod" .ObjectName) }}{{ skipObject }}{{ end }}{{ hasNodesWithExactRoles "infra" }}'
Copy to Clipboard Toggle word wrap
1.2.3.4. 在配置策略中处理原始模板
复制链接

object-template-raw 参数是一个可选参数,支持高级模板用例,如 if 条件函数和 范围 循环功能。object-templates-raw 参数接受包含 Go 模板的字符串,在使用这些模板时,它们必须生成 object-templates 数组。

例如,请参阅以下 YAML 示例,它将 species-category: mammal 标签添加到 default 命名空间中的任何 ConfigMap 中,其名称 键等于 Sea Otter

object-templates-raw: |
  {{- range (lookup "v1" "ConfigMap" "default" "").items }}
  {{- if eq .data.name "Sea Otter" }}
  - complianceType: musthave
    objectDefinition:
      kind: ConfigMap
      apiVersion: v1
      metadata:
        name: {{ .metadata.name }}
        namespace: {{ .metadata.namespace }}
        labels:
          species-category: mammal
  {{- end }}
  {{- end }}
Copy to Clipboard Toggle word wrap

注: 虽然 spec.object-templatesspec.object-templates-raw 是可选的,但必须设置两个参数字段之一。

查看以下策略示例,它使用高级模板为您的受管集群创建和配置基础架构 MachineSet 对象。 

apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: create-infra-machineset
spec:
  remediationAction: enforce
  severity: low
  object-templates-raw: |
    {{- /* Specify the parameters needed to create the MachineSet  */ -}}
    {{- $machineset_role := "infra" }}
    {{- $region := "ap-southeast-1" }}
    {{- $zones := list "ap-southeast-1a" "ap-southeast-1b" "ap-southeast-1c" }}
    {{- $infrastructure_id := (lookup "config.openshift.io/v1" "Infrastructure" "" "cluster").status.infrastructureName }}
    {{- $worker_ms := (index (lookup "machine.openshift.io/v1beta1" "MachineSet" "openshift-machine-api" "").items 0) }}
    {{- /* Generate the MachineSet for each zone as specified  */ -}}
    {{- range $zone := $zones }}
    - complianceType: musthave
      objectDefinition:
        apiVersion: machine.openshift.io/v1beta1
        kind: MachineSet
        metadata:
          labels:
            machine.openshift.io/cluster-api-cluster: {{ $infrastructure_id }}
          name: {{ $infrastructure_id }}-{{ $machineset_role }}-{{ $zone }}
          namespace: openshift-machine-api
        spec:
          replicas: 1
          selector:
            matchLabels:
              machine.openshift.io/cluster-api-cluster: {{ $infrastructure_id }}
              machine.openshift.io/cluster-api-machineset: {{ $infrastructure_id }}-{{ $machineset_role }}-{{ $zone }}
          template:
            metadata:
              labels:
                machine.openshift.io/cluster-api-cluster: {{ $infrastructure_id }}
                machine.openshift.io/cluster-api-machine-role: {{ $machineset_role }}
                machine.openshift.io/cluster-api-machine-type: {{ $machineset_role }}
                machine.openshift.io/cluster-api-machineset: {{ $infrastructure_id }}-{{ $machineset_role }}-{{ $zone }}
            spec:
              metadata:
                labels:
                  node-role.kubernetes.io/{{ $machineset_role }}: ""
              taints:
                - key: node-role.kubernetes.io/{{ $machineset_role }}
                  effect: NoSchedule
              providerSpec:
                value:
                  ami:
                    id: {{ $worker_ms.spec.template.spec.providerSpec.value.ami.id }}
                  apiVersion: awsproviderconfig.openshift.io/v1beta1
                  blockDevices:
                    - ebs:
                        encrypted: true
                        iops: 2000
                        kmsKey:
                          arn: ''
                        volumeSize: 500
                        volumeType: io1
                  credentialsSecret:
                    name: aws-cloud-credentials
                  deviceIndex: 0
                  instanceType: {{ $worker_ms.spec.template.spec.providerSpec.value.instanceType }}
                  iamInstanceProfile:
                    id: {{ $infrastructure_id }}-worker-profile
                  kind: AWSMachineProviderConfig
                  placement:
                    availabilityZone: {{ $zone }}
                    region: {{ $region }}
                  securityGroups:
                    - filters:
                        - name: tag:Name
                          values:
                            - {{ $infrastructure_id }}-worker-sg
                  subnet:
                    filters:
                      - name: tag:Name
                        values:
                          - {{ $infrastructure_id }}-private-{{ $zone }}
                  tags:
                    - name: kubernetes.io/cluster/{{ $infrastructure_id }}
                      value: owned
                  userDataSecret:
                    name: worker-user-data
    {{- end }}
Copy to Clipboard Toggle word wrap
1.2.3.5. 在定义配置策略后解决 hub 模板
复制链接

默认情况下,如果您在 ConfigurationPolicyOperatorPolicy 资源中使用 hub 模板,则必须使用这些资源与 hub 集群上定义的 Policy 资源对应。

您可以直接在受管集群中定义配置策略。例如,OpenShift GitOps 是您可以直接在受管集群中定义配置策略。要在这种情形中解决受管集群上的 hub 模板,您可以启用 governance-standalone-hub-templating 附加组件。

要启用 governance-standalone-hub-templating 附加组件,请完成以下步骤:

  1. 在 hub 集群中,进入受管集群命名空间。

  2. 使用以下 YAML 示例,使用 governance-standalone-hub-templating 名称创建一个 ManagedClusterAddOn 资源: 

    apiVersion: addon.open-cluster-management.io/v1alpha1
kind: ManagedClusterAddOn
metadata:
  name: governance-standalone-hub-templating
  namespace: <cluster name>
  labels:
    cluster.open-cluster-management.io/backup: ''
spec:
  installNamespace: open-cluster-management-agent-addon
    Copy to Clipboard Toggle word wrap

默认情况下,受管集群上的代理只能访问 hub 集群上的 ManagedCluster 资源。您可以在直接部署到受管集群的 ConfigurationPolicies 中使用 hub 集群模板中的 .ManagedClusterLabels 模板变量。

如果您希望 hub 模板访问其他资源,如 lookupfromConfigMap 功能调用,您必须将这些特定权限添加到附加组件组中。您可以通过资源(如 RolesClusterRoles、RoleBindings 和 ClusterRoleBindings )添加这些权限。

附加组件组的名称取决于您的受管集群的名称,但它有以下标准形式: system:open-cluster-management:cluster:<cluster name>:addon:governance-standalone-hub-templating

要允许访问 hub 集群上的受管集群命名空间中的 Configmap,请完成以下步骤:

  1. 运行以下命令来添加 Role 资源: 

    oc create role -n <cluster name> cm-reader --verb=get,list,watch --resource=configmaps
    Copy to Clipboard Toggle word wrap

  2. 运行以下命令来添加 Rolebinding

    oc create rolebinding -n <cluster name> cm-reader-binding --role=cm-reader --group=system:open-cluster-management:cluster:<cluster name>:addon:governance-standalone-hub-templating
    Copy to Clipboard Toggle word wrap
  3. 要确保 hub 集群上的这些资源被备份和恢复,请在您创建的每个资源中添加以下标签: cluster.open-cluster-management.io/backup

添加这些资源后,附加组件可以解析 hub 模板,策略的状态会保存到受管集群的 secret 上。如果 hub 集群暂时对受管集群不可用,此 secret 可防止中断。

1.2.3.6. 其他资源
复制链接

第 2 章 策略部署
复制链接

Kubernetes API 用于定义和与策略交互。您需要确保环境满足内部企业安全标准,适用于 Kubernetes 集群上托管的工作负载的软件工程、安全工程、弹性、安全性以及监管合规性。

2.1. 部署选项
复制链接

CertificatePolicyConfigurationPolicyOperatorPolicy 策略和 Gatekeeper 约束可以通过两种方式部署到受管集群。您可以使用 Hub 集群策略框架 或使用外部工具部署策略,将策略 部署到受管集群。查看每个选项的以下描述:

hub 集群策略框架
第一种方法是利用 hub 集群中的策略框架。这包括在 hub 集群上的 Policy 对象中定义策略和 Gatekeeper 约束,并使用 PlacementPlacementBinding 选择策略部署到哪些集群。策略框架处理发送到受管集群,状态聚合回 hub 集群。Policy 对象在 Red Hat Advanced Cluster Management for Kubernetes 控制台的 Policies 表中表示。
使用外部工具部署策略
另外,您可以使用外部工具(如 Red Hat OpenShift GitOps)将策略和 Gatekeeper 约束直接提供给受管集群。Red Hat Advanced Cluster Management 控制台中的发现策略表中会显示您的策略,如果配置管理策略已经就位,但需要使用 Red Hat Advanced Cluster Management 策略来补充策略,则可以选择使用 Red Hat Advanced Cluster Management 控制台。

2.1.1. 策略部署比较表
复制链接

请参阅以下比较表以了解哪个选项支持特定的功能,这有助于决定哪个部署策略更适合您的用例:

Expand
功能策略框架使用外部工具部署

hub 集群模板

受管集群模板

Red Hat Advanced Cluster Management 控制台支持

是的,您可以从 Discover policies 表中查看外部工具部署的策略。使用外部工具部署的策略不会显示在 Governance Overview 仪表板中。您必须在受管集群中启用搜索。

策略分组

是的,您可以通过 PolicyPolicySet 资源组合使用状态和部署。

从外部工具部署时,您无法直接在策略上使用策略分组,但每个分组的 Argo CD Application 对象都会具有高级别的状态。

策略事件历史记录

您可以查看 hub 集群中存储的每个策略的最后 10 个事件。

否,但您可以从每个受管集群的控制器日志中提取策略事件历史记录。

策略依赖项

否。或者,您可以使用 Argo CD sync waves 功能来定义依赖项。

策略生成器

OpenShift GitOps 健康检查

您必须为比 2.13 更早的 Argo CD 版本完成额外的配置。

OpenShift GitOps 在受管集群中应用原生 Kubernetes 清单和 Red Hat Advanced Cluster Management 策略

不,您必须在 Red Hat Advanced Cluster Management hub 集群中部署策略。

hub 集群上的策略状态指标用于警报

在违反的策略上运行 Ansible 作业

是,使用 PolicyAutomation 资源。

2.2. 其他资源
复制链接

2.3. hub 集群策略框架
复制链接

要创建和管理策略,获得可见性和修复配置以满足标准,请使用 Red Hat Advanced Cluster Management for Kubernetes 监管安全策略框架。Red Hat Advanced Cluster Management for Kubernetes 监管功能为企业引进自己的安全策略提供了一个可扩展的策略框架。

除了受管集群命名空间外,您可以在 hub 集群上的任意命名空间中创建策略。如果在受管集群命名空间中创建了一个策略,它将被 Red Hat Advanced Cluster Management for Kubernetes 删除。每个 Red Hat Advanced Cluster Management 策略都可以组织为一个或多个策略模板定义。如需有关策略元素的更多详情,请参阅此页面的 Policy YAML 表部分。

2.3.1. 要求
复制链接

  • 该策略需要一个 Placement,用于定义策略文档应用到的集群,以及绑定 Red Hat Advanced Cluster Management for Kubernetes 策略的 PlacementBinding

    策略资源根据关联的 放置 定义应用到集群,您可以在其中查看与特定条件匹配的受管集群列表。与带有 environment=dev 标签的所有集群匹配的 放置资源 示例类似以下 YAML: 

    apiVersion: cluster.open-cluster-management.io/v1beta1
kind: Placement
metadata:
  name: placement-policy-role
spec:
  predicates:
  - requiredClusterSelector:
    labelSelector:
    matchExpressions:
      - {key: environment, operator: In, values: ["dev"]}
    tolerations:
        - key: cluster.open-cluster-management.io/unavailable
          operator: Exists
        - key: cluster.open-cluster-management.io/unreachable
          operator: Exists
    Copy to Clipboard Toggle word wrap

    要了解更多有关放置和支持的标准的信息,请参阅集群生命周期文档中的 放置概述

  • 除了 Placement 资源外,还需要创建一个 PlacementBinding,将 放置资源 绑定到策略。与带有 environment=dev 标签的所有集群匹配的 放置资源 示例类似以下 YAML: 

    apiVersion: policy.open-cluster-management.io/v1
kind: PlacementBinding
metadata:
  name: binding-policy-role
placementRef:
  name: placement-policy-role
    1 
    
  kind: Placement
  apiGroup: cluster.open-cluster-management.io
subjects:
    2 
    
- name: policy-role
  kind: Policy
  apiGroup: policy.open-cluster-management.io
    Copy to Clipboard Toggle word wrap
    1
    如果使用上例,请确保更新 placementRef 部分中的 Placement 资源的名称,以匹配您的放置名称。
    2
    您必须更新 subjects 部分中的策略名称,以匹配您的策略名称。使用 oc apply -f resource.yaml -n namespace 命令应用 PlacementPlacementbinding 资源。确保策略、放置和放置绑定都在同一个命名空间中创建。
  • 要使用 放置资源,您必须将 ManagedClusterSet 资源绑定到带有 ManagedClusterSetBinding 资源的 Placement 资源的命名空间。如需了解更多详细信息 ,请参阅创建 ManagedClusterSetBinding 资源
  • 从控制台创建策略的 放置资源 时,放置容限的状态会自动添加到 Placement 资源中。如需了解更多详细信息,请参阅 向放置添加容限

最佳实践 :在使用 Placement 资源时,使用命令行界面(CLI) 来更新策略。

2.3.2. hub 集群策略组件
复制链接

在以下部分了解更多有关策略组件的详细信息:

2.3.2.1. 策略 YAML 结构
复制链接

创建策略时,必须包含所需的参数字段和值。根据您的策略控制器,您可能需要包含其他可选字段和值。查看策略的以下 YAML 结构: 

apiVersion: policy.open-cluster-management.io/v1
kind: Policy
metadata:
  name:
  annotations:
    policy.open-cluster-management.io/standards:
    policy.open-cluster-management.io/categories:
    policy.open-cluster-management.io/controls:
    policy.open-cluster-management.io/description:
spec:
  disabled:
  remediationAction:
  dependencies:
  - apiVersion: policy.open-cluster-management.io/v1
    compliance:
    kind: Policy
    name:
    namespace:
  policy-templates:
    - objectDefinition:
        apiVersion:
        kind:
        metadata:
          name:
        spec:
---
apiVersion: policy.open-cluster-management.io/v1
kind: PlacementBinding
metadata:
bindingOverrides:
  remediationAction:
subFilter:
  name:
placementRef:
  name:
  kind: Placement
  apiGroup: cluster.open-cluster-management.io
subjects:
- name:
  kind:
  apiGroup:
---
apiVersion: cluster.open-cluster-management.io/v1beta1
kind: Placement
metadata:
  name:
spec:
Copy to Clipboard Toggle word wrap
2.3.2.2. 策略 YAML 表
复制链接

查看下表以了解策略参数描述:

Expand
表 2.1. 参数表
字段可选或必需的描述

apiVersion

必填

将值设置为 policy.open-cluster-management.io/v1

kind

必填

将值设为 Policy 以表示策略类型。

metadata.name

必填

用于标识策略资源的名称。

metadata.annotations

选填

用于指定一组描述策略试图验证的标准集合的安全详情。这里介绍的所有注解都以逗号分隔的字符串表示。

:您可以在控制台中根据您在策略页面上为策略定义的标准和类别查看策略违反。

bindingOverrides.remediationAction

选填

当此参数设置为 enforce 时,它为您提供了覆盖配置策略相关 PlacementBinding 资源的补救操作。默认值为 null

subFilter

选填

将此参数设置为 restriction,以选择绑定策略的子集。默认值为 null

annotations.policy.open-cluster-management.io/standards

选填

与策略相关的安全标准的名称。例如,美国国家标准与技术研究院 (NIST) 和支付卡行业 (PCI)。

annotations.policy.open-cluster-management.io/categories

选填

安全控制类别是针对一个或多个标准的具体要求。例如,系统和信息完整性类别可能表明您的策略包含一个数据传输协议来保护个人信息,符合 HIPAA 和 PCI 标准的要求。

annotations.policy.open-cluster-management.io/controls

选填

正在接受检查的安全控制名称。例如,访问控制或系统及信息完整性。

spec.disabled

必填

将值设为 truefalsedisabled 参数提供启用和禁用策略的功能。

spec.remediationAction

选填

指定您的策略的修复。参数值是 enforceinform。如果指定,定义的 spec.remediationAction 值会覆盖 policy-templates 部分的子策略中定义的 remediationAction 参数。例如,如果 spec.remediationAction 值被设置为 enforce,则 policy-templates 部分中的 remediationAction 会在运行时被设置为 enforce

spec.copyPolicyMetadata

选填

指定在将策略应用到受管集群时是否应复制策略的标签和注解。如果设置为 true,则策略的所有标签和注解都会被复制到复制策略中。如果设置为 false,则只有策略框架特定的策略标签和注解复制到复制策略中。

spec.dependencies

选填

用于创建与满足合规性的额外注意事项相关的依赖关系对象列表。

spec.policy-templates

必填

用于创建一个或多个应用到受管集群的策略。

spec.policy-templates.extraDependencies

选填

对于策略模板,这用于创建依赖项对象列表,以及满足合规性的额外注意事项。

spec.policy-templates.ignorePending

选填

用于在验证依赖项条件前将策略模板标记为合规。

重要:有些策略类型可能不支持 enforce 功能。

2.3.2.3. 策略示例文件
复制链接

查看以下 YAML 文件,它是角色的配置策略: 

apiVersion: policy.open-cluster-management.io/v1
kind: Policy
metadata:
  name: policy-role
  annotations:
    policy.open-cluster-management.io/standards: NIST SP 800-53
    policy.open-cluster-management.io/categories: AC Access Control
    policy.open-cluster-management.io/controls: AC-3 Access Enforcement
    policy.open-cluster-management.io/description:
spec:
  remediationAction: inform
  disabled: false
  policy-templates:
    - objectDefinition:
        apiVersion: policy.open-cluster-management.io/v1
        kind: ConfigurationPolicy
        metadata:
          name: policy-role-example
        spec:
          remediationAction: inform # the policy-template spec.remediationAction is overridden by the preceding parameter value for spec.remediationAction.
          severity: high
          namespaceSelector:
            include: ["default"]
          object-templates:
            - complianceType: mustonlyhave # role definition should exact match
              objectDefinition:
                apiVersion: rbac.authorization.k8s.io/v1
                kind: Role
                metadata:
                  name: sample-role
                rules:
                  - apiGroups: ["extensions", "apps"]
                    resources: ["deployments"]
                    verbs: ["get", "list", "watch", "delete","patch"]
---
apiVersion: policy.open-cluster-management.io/v1
kind: PlacementBinding
metadata:
  name: binding-policy-role
placementRef:
  name: placement-policy-role
  kind: Placement
  apiGroup: cluster.open-cluster-management.io
subjects:
- name: policy-role
  kind: Policy
  apiGroup: policy.open-cluster-management.io
---
apiVersion: cluster.open-cluster-management.io/v1beta1
kind: Placement
metadata:
  name: placement-policy-role
spec:
  predicates:
  - requiredClusterSelector:
      labelSelector:
        matchExpressions:
        - {key: environment, operator: In, values: ["dev"]}
    tolerations:
        - key: cluster.open-cluster-management.io/unavailable
          operator: Exists
        - key: cluster.open-cluster-management.io/unreachable
          operator: Exists
Copy to Clipboard Toggle word wrap

2.3.3. 其他资源
复制链接

继续阅读 Red Hat Advanced Cluster Management 监管框架的相关主题:

2.3.4. 策略依赖项
复制链接

只有在集群中的其他策略处于特定状态时,才会使用依赖项来激活策略。当不满足依赖项条件时,策略被标记为 Pending,资源不会在受管集群上创建。有关策略状态中的条件状态的更多详细信息。

您可以使用策略依赖项来控制对象的应用方式的顺序。例如,如果您有一个 Operator 策略以及 Operator 所管理的资源的另一个策略,您可以设置第二个策略的依赖项,以便它不会尝试创建资源,直到安装 Operator 前不会尝试创建资源。这有助于在受管集群上的性能。

需要的访问权限:策略管理员

查看以下策略依赖项示例,只有 upstream-compliance-operator 策略已在受管集群中合规时才会创建 ScanSettingBinding

apiVersion: policy.open-cluster-management.io/v1
kind: Policy
metadata:
  annotations:
    policy.open-cluster-management.io/categories: CM Configuration Management
    policy.open-cluster-management.io/controls: CM-2 Baseline Configuration
    policy.open-cluster-management.io/standards: NIST SP 800-53
    policy.open-cluster-management.io/description:
  name: moderate-compliance-scan
  namespace: default
spec:
  dependencies:
1 

  - apiVersion: policy.open-cluster-management.io/v1
    compliance: Compliant
    kind: Policy
    name: upstream-compliance-operator
    namespace: default
  disabled: false
  policy-templates:
  - extraDependencies:
2 

    - apiVersion: policy.open-cluster-management.io/v1
      kind: ConfigurationPolicy
      name: scan-setting-prerequisite
      compliance: Compliant
    ignorePending: false
3 

    objectDefinition:
      apiVersion: policy.open-cluster-management.io/v1
      kind: ConfigurationPolicy
      metadata:
        name: moderate-compliance-scan
      spec:
        object-templates:
        - complianceType: musthave
          objectDefinition:
            apiVersion: compliance.openshift.io/v1alpha1
            kind: ScanSettingBinding
            metadata:
              name: moderate
              namespace: openshift-compliance
            profiles:
            - apiGroup: compliance.openshift.io/v1alpha1
              kind: Profile
              name: ocp4-moderate
            - apiGroup: compliance.openshift.io/v1alpha1
              kind: Profile
              name: ocp4-moderate-node
            settingsRef:
              apiGroup: compliance.openshift.io/v1alpha1
              kind: ScanSetting
              name: default
        remediationAction: enforce
        severity: low
Copy to Clipboard Toggle word wrap
1
dependencies 字段在 Policy 对象中设置,要求适用于策略中的所有策略模板。
2
可以在单独的策略模板上设置 extraDependencies 字段。例如,可以为配置策略设置 参数,并且定义在策略中设置的任何 依赖项 之外必须满足的条件。
3
ignorePending 字段可以在每个单独的策略模板上设置,并在计算总体策略合规性时,配置该模板上的 Pending 状态是否被视为 CompliantNonCompliant。默认情况下,此值设为 false,而 Pending 模板会导致策略变为 NonCompliant。当您将其设置为 true 时,当此模板为 Pending 时,策略仍然可以为 Compliant,这在模板的预期状态下非常有用。

注: 您不能使用依赖项根据另一个集群中的策略状态对一个集群应用策略。

2.3.5. 集成策略生成器
复制链接

通过集成策略生成器,您可以使用它来自动构建 Red Hat Advanced Cluster Management for Kubernetes 策略。要集成策略生成器,请参阅 策略生成器

有关您可以使用 Policy Generator 执行的操作示例,请参阅生成安装 Compliance Operator 的策略

2.3.6. 策略生成器
复制链接

Policy Generator 是 Red Hat Advanced Cluster Management for Kubernetes 应用程序生命周期订阅 GitOps 工作流的一部分,它使用 Kustomize 生成 Red Hat Advanced Cluster Management 策略。策略生成器从 Kubernetes 清单 YAML 文件构建 Red Hat Advanced Cluster Management 策略,该文件通过用于配置它的 PolicyGenerator 清单 YAML 文件提供。策略生成器作为 Kustomize 生成器插件实施。有关 Kustomize 的更多信息,请阅读 Kustomize 文档

查看以下部分以了解有关 Policy Generator 的更多信息:

2.3.6.1. 策略生成器功能
复制链接

Policy Generator 及其与 Red Hat Advanced Cluster Management 应用程序生命周期订阅 GitOps 工作流的集成简化了 Kubernetes 资源对象的分发到受管 OpenShift Container Platform 集群,并通过 Red Hat Advanced Cluster Management 策略简化 Kubernetes 集群的发布。

使用 Policy Generator 完成以下操作:

  • 将任何 Kubernetes 清单文件转换为 Red Hat Advanced Cluster Management 配置策略,包括从 Kustomize 目录创建的清单。
  • 在将输入 Kubernetes 清单插入到生成的 Red Hat Advanced Cluster Management 策略前对其进行补丁。
  • 生成额外的配置策略,以便您可以通过 Red Hat Advanced Cluster Management for Kubernetes 报告 Gatekeeper 策略违反情况。
  • 在 hub 集群上生成策略集。
2.3.6.2. 策略生成器配置结构
复制链接

策略生成器是一个 Kustomize 生成器插件,它配置了一个 PolicyGenerator kind 和 policy.open-cluster-management.io/v1 API 版本的清单。继续阅读以了解配置结构:

  • 要使用插件,请在 kustomization.yaml 文件中添加一个 generators 部分。查看以下示例: 

    generators:
  - policy-generator-config.yaml
    1
    Copy to Clipboard Toggle word wrap
    1
    上例中引用的 policy-generator-config.yaml 文件是一个 YAML 文件,其中包含要生成的策略的说明。

  • 简单的 PolicyGenerator 配置文件可能类似以下示例,带有 policyDefaultspolicies

    apiVersion: policy.open-cluster-management.io/v1
kind: PolicyGenerator
metadata:
  name: config-data-policies
policyDefaults:
  namespace: policies
  policySets: []
policies:
  - name: config-data
    manifests:
      - path: configmap.yaml
    1
    Copy to Clipboard Toggle word wrap
    1
    configmap.yaml 代表要包含在策略中的 Kubernetes 清单 YAML 文件。另外,您可以设置 Kustomize 目录的路径,或者设置具有多个 Kubernetes 清单 YAML 文件的目录。查看以下 ConfigMap 示例: 
    apiVersion: v1
kind: ConfigMap
metadata:
  name: my-config
  namespace: default
data:
  key1: value1
  key2: value2
    Copy to Clipboard Toggle word wrap

  • 您可以使用 object-templates-raw 清单自动生成带有您添加的内容的 ConfigurationPolicy 资源。例如,您可以使用以下语法创建清单文件: 

    object-templates-raw: |
  {{- range (lookup "v1" "ConfigMap" "my-namespace" "").items }}
  - complianceType: musthave
    objectDefinition:
      kind: ConfigMap
      apiVersion: v1
      metadata:
        name: {{ .metadata.name }}
        namespace: {{ .metadata.namespace }}
        labels:
          i-am-from: template
  {{- end }}
    Copy to Clipboard Toggle word wrap

  • 创建清单文件后,您可以创建一个 PolicyGenerator 配置文件。请参阅以下 YAML 示例以及 路径,请输入 manifest.yaml 文件的路径: 

    apiVersion: policy.open-cluster-management.io/v1
kind: PolicyGenerator
metadata:
  name: config-data-policies
policyDefaults:
  namespace: policies
  policySets: []
policies:
  - name: config-data
    manifests:
      - path: manifest.yaml
    Copy to Clipboard Toggle word wrap

  • 生成的 Policy 资源以及生成的 放置资源PlacementBinding 资源可能类似以下示例。注: 资源规格在 Policy Generator 配置参考表中 进行了描述。 

    apiVersion: cluster.open-cluster-management.io/v1beta1
kind: Placement
metadata:
  name: placement-config-data
  namespace: policies
spec:
  predicates:
  - requiredClusterSelector:
      labelSelector:
        matchExpressions: []
    tolerations:
        - key: cluster.open-cluster-management.io/unavailable
          operator: Exists
        - key: cluster.open-cluster-management.io/unreachable
          operator: Exists
---
apiVersion: policy.open-cluster-management.io/v1
kind: PlacementBinding
metadata:
  name: binding-config-data
  namespace: policies
placementRef:
  apiGroup: cluster.open-cluster-management.io
  kind: Placement
  name: placement-config-data
subjects:
- apiGroup: policy.open-cluster-management.io
  kind: Policy
  name: config-data
---
apiVersion: policy.open-cluster-management.io/v1
kind: Policy
metadata:
  annotations:
    policy.open-cluster-management.io/categories: CM Configuration Management
    policy.open-cluster-management.io/controls: CM-2 Baseline Configuration
    policy.open-cluster-management.io/standards: NIST SP 800-53
    policy.open-cluster-management.io/description:
  name: config-data
  namespace: policies
spec:
  disabled: false
  policy-templates:
  - objectDefinition:
      apiVersion: policy.open-cluster-management.io/v1
      kind: ConfigurationPolicy
      metadata:
        name: config-data
      spec:
        object-templates:
        - complianceType: musthave
          objectDefinition:
            apiVersion: v1
            data:
              key1: value1
              key2: value2
            kind: ConfigMap
            metadata:
              name: my-config
              namespace: default
        remediationAction: inform
        severity: low
    Copy to Clipboard Toggle word wrap
2.3.6.3. 策略生成器配置参考表
复制链接

请注意,policyDefaults 部分中除 namespace 以外的所有字段都可以为每个策略覆盖,并且 policySetDefaults 部分中的所有字段都可以覆盖每个策略集。

Expand
表 2.2. 参数表
字段可选或必需的描述

apiVersion

必填

将值设置为 policy.open-cluster-management.io/v1

kind

必填

将值设为 PolicyGenerator 以表示策略类型。

metadata.name

必填

用于标识策略资源的名称。

placementBindingDefaults.name

选填

如果多个策略使用相同的放置,则使用此名称为生成的 PlacementBinding 生成唯一名称,将放置与引用它的策略数组绑定。

policyDefaults

必填

对于 policies 数组中的条目,这里列出的任何默认值都会被覆盖,但 namespace 除外。

policyDefaults.namespace

必填

所有策略的命名空间。

policyDefaults.complianceType

选填

决定在将清单与集群上对象进行比较时的策略控制器行为。您可以使用的值是 musthavemusthavemustnothave。默认值为 musthave

policyDefaults.metadataComplianceType

选填

在将清单元数据部分与集群中的对象进行比较时,会覆盖 complianceType。您可以使用的值是 musthavemustonlyhave。默认值为空 ({}),以避免覆盖元数据的 complianceType

policyDefaults.categories

选填

policy.open-cluster-management.io/categories 注解中使用的类别数组。默认值为 CM 配置管理

policyDefaults.controls

选填

policy.open-cluster-management.io/controls 注解中使用的控制数组。默认值为 CM-2 Baseline Configuration

policyDefaults.standards

选填

policy.open-cluster-management.io/standards 注解中使用的一组标准。默认值为 NIST SP 800-53

policyDefaults.policyAnnotations

选填

策略在 metadata.annotations 部分中包含的注解。除非在策略中指定的,否则会适用于所有策略。默认值为空 ({})。

policyDefaults.configurationPolicyAnnotations

选填

用于对生成的配置策略设置的注解的键值对。例如,您可以通过定义以下参数来禁用策略模板: {"policy.open-cluster-management.io/disable-templates": "true"}。默认值为空 ({})。

policyDefaults.copyPolicyMetadata

选填

复制所有策略的标签和注解,并将它们添加到副本策略中。默认设置为 true。如果设置为 false,则只有策略框架特定的策略标签和注解复制到复制策略中。

policyDefaults.customMessage

选填

配置策略发送的合规性消息,使其根据当前的合规性使用指定的 Go 模板之一。

policyDefaults.severity

选填

策略违反的严重性。默认值为 low

policyDefaults.disabled

选填

策略是否被禁用,代表不会传播它,因此结果为没有状态。默认值为 false,这会启用策略。

policyDefaults.remediationAction

选填

策略的补救机制。参数值是 enforceinform。默认值是 inform

policyDefaults.namespaceSelector

没有指定命名空间的命名空间对象是必需的

决定对象要应用到的受管集群中的命名空间。includeexclude 参数接受根据名称包含和排除命名空间的文件路径表达式。matchExpressionsmatchLabels 参数指定要包含的命名空间。请参阅 Kubernetes 标签和选择器文档。生成的列表通过使用来自所有参数的结果的交集进行编译。

policyDefaults.objectSelector

选填

objectDefinition中定义的对象定义标签选择器。如果objectDefinition中定义了对象名称,则objectSelector将被忽略。

policyDefaults.evaluationInterval

选填

指定当策略处于特定合规性状态时对其进行评估的频率。使用参数compliantnoncompliant兼容不兼容参数的默认值是watch ,以利用 Kubernetes API 监视而不是轮询 Kubernetes API 服务器。

当管理集群资源较少时,可以将评估间隔设置为长轮询间隔,以减少 Kubernetes API 和策略控制器上的 CPU 和内存使用率。这是持续时间的格式。例如,"1h25m3s" 代表 1 小时,25 分钟和 3 秒。它们也可以设置为 "never",以避免在策略成为特定合规状态后评估策略。

policyDefaults.evaluationInterval.compliant

选填

指定合规策略的评估频率。如果要启用以前的轮询行为,请将此参数设置为 10s

policyDefaults.evaluationInterval.noncompliant

选填

指定不合规策略的评估频率。如果要启用以前的轮询行为,请将此参数设置为 10s

policyDefaults.pruneObjectBehavior

选填

决定在策略被删除时是否应删除由策略创建或修改的对象。只有在策略补救操作被设置为 enforce 时才会进行修剪。示例值为 DeleteIfCreatedDeleteAllNone。默认值为 None

policyDefaults.recreateOption

选填

描述在需要更新时是否删除并重新创建对象。当您更新 immutable 字段时,IfRequired 值会重新创建对象。如果没有空运行更新支持,IfRequired 对集群没有影响。如果检测到不匹配,则 Always 值始终重新创建对象。

当将 remediationAction 参数设置为 inform the RecreateOption 值没有作用。默认值为 None

policyDefaults.recordDiff

选填

指定是否记录集群中对象与策略中的 objectDefinition 之间的区别。设置为 Log 以记录控制器日志或 None 的不同,而不是记录区别。默认情况下,此参数为空,不记录区别。

policyDefaults.dependencies

选填

应用此策略前必须处于特定合规性状态的对象列表。当 policyDefaults.orderPolicies 设置为 true 时,无法指定。

policyDefaults.dependencies[].name

必填

要依赖的对象名称。

policyDefaults.dependencies[].namespace

选填

要依赖的对象的命名空间。默认为 Policy Generator 设置的策略命名空间。

policyDefaults.dependencies[].compliance

选填

对象需要处于的合规性状态。默认值为 Compliant

policyDefaults.dependencies[].kind

选填

对象的种类。默认情况下,kind 设置为 Policy,但也可以是具有合规状态的其他类型,如 ConfigurationPolicy

policyDefaults.dependencies[].apiVersion

选填

对象的 API 版本。默认值为 policy.open-cluster-management.io/v1

policyDefaults.description

选填

您要创建的策略的描述。

policyDefaults.extraDependencies

选填

应用此策略前必须处于特定合规性状态的对象列表。您定义的依赖项会独立于 dependencies 列表添加到每个策略模板中(如 ConfigurationPolicy)。当 policyDefaults.orderManifests 被设置为 true 时,无法指定。

policyDefaults.extraDependencies[].name

必填

要依赖的对象名称。

policyDefaults.extraDependencies[].namespace

选填

要依赖的对象的命名空间。默认情况下,值设为为 Policy Generator 设置的策略命名空间。

policyDefaults.extraDependencies[].compliance

选填

对象需要处于的合规性状态。默认值为 Compliant

policyDefaults.extraDependencies[].kind

选填

对象的种类。默认值为 Policy,但也可以是具有合规状态的其他类型,如 ConfigurationPolicy

policyDefaults.extraDependencies[].apiVersion

选填

对象的 API 版本。默认值为 policy.open-cluster-management.io/v1

policyDefaults.ignorePending

选填

当 Policy Generator 等待其依赖项达到其所需状态时,绕过合规性状态检查。默认值为 false

policyDefaults.orderPolicies

选填

自动生成有关策略的依赖项,以便它们按照您在策略列表中定义的顺序应用。默认情况下,值设为 false。无法与 policyDefaults.dependencies 同时指定。

policyDefaults.orderManifests

选填

在策略模板上自动生成 extraDependencies,以便它们按照您在该策略的清单列表中定义的顺序应用。当 policyDefaults.consolidateManifests 被设置为 true 时,无法指定。无法与 policyDefaults.extraDependencies 同时指定。

policyDefaults.consolidateManifests

选填

这决定了是否为策略中包含的所有清单生成单一配置策略。如果设置为 false,则为每个清单生成配置策略。默认值为 true

policyDefaults.informGatekeeperPolicies (已弃用)

选填

informGatekeeperPolicies 设置为 false 以直接使用 Gatekeeper 清单,而无需在配置策略中定义。当策略引用违反 gatekeeper 策略清单时,这决定了是否应生成额外的配置策略以便在 Red Hat Advanced Cluster Management 中接收策略违反情况。默认值为 true

policyDefaults.informKyvernoPolicies

选填

当策略引用 Kyverno 策略清单时,这决定了在 Kyverno 策略被违反时,是否应生成额外的配置策略来接收 Red Hat Advanced Cluster Management 中的策略违反情况。默认值为 true

policyDefaults.policyLabels

选填

策略在其metadata.labels部分中包含的标签。除非策略中另有指定,否则policyLabels参数适用于所有策略。

policyDefaults.gatekeeperEnforcementAction

选填

覆盖 Gatekeeper 约束的spec.enforcementAction字段。这仅适用于 Gatekeeper 约束,并被其他清单忽略。如果未设置, spec.enforcementAction字段不会改变。

policyDefaults.policySets

选填

策略加入的策略集合的数组。策略设置详情可在 policySets 部分中定义。当一个策略是策略集的一部分时,对这个策略的放置绑定没有保证,因为会为集合生成一个。设置 policies[].generatePlacementWhenInSetpolicyDefaults.generatePlacementWhenInSet 来覆盖 policyDefaults.policySets

policyDefaults.generatePolicyPlacement

选填

为策略生成放置清单。默认设置为 true。当设置为 false 时,会跳过放置清单生成,即使指定了放置也是如此。

policyDefaults.generatePlacementWhenInSet

选填

当一个策略是策略集的一部分时,默认情况下,生成器不会为这个策略生成放置,因为会为策略集生成一个。将 generatePlacementWhenInSet 设置为 true,以使用策略放置和策略设置放置部署策略。默认值为 false

policyDefaults.placement

选填

策略的放置配置。这默认为与所有集群匹配的放置配置。

policyDefaults.placement.name

选填

指定名称以合并包含相同集群标签选择器的位置。

policyDefaults.placement.labelSelector

选填

使用 key:value 定义集群选择器来指定放置规则,或使用适当的值提供 matchExpressionsmatchLabels 或两者。请参阅 placementPath 指定现有文件。

policyDefaults.placement.placementName

选填

定义此参数以使用集群中已存在的放置。没有创建 Placement,而是一个 PlacementBinding 将策略绑定到这个 Placement

policyDefaults.placement.placementPath

选填

要重复使用现有放置,请指定相对于 kustomization.yaml 文件的位置的路径。如果提供,则默认所有策略都使用此放置规则。请参阅 labelSelector 以生成新的 Placement

policyDefaults.placement.clusterSelector (Deprecated)

选填

PlacementRule 已被弃用。使用 labelSelector 来生成放置。使用 key:value 或提供 matchExpressionsmatchLabels 或使用适当的值来定义集群选择器来指定放置规则。请参阅 placementRulePath 以指定现有文件。

policyDefaults.placement.placementRuleName (Deprecated)

选填

PlacementRule 已被弃用。或者,使用 placementName 指定放置。要使用集群中的现有放置规则,请指定此参数的名称。PlacementRule 不会被创建,但 PlacementBinding 将策略绑定到现有的 PlacementRule

policyDefaults.placement.placementRulePath (Deprecated)

选填

PlacementRule 已被弃用。或者,使用 placementPath 指定放置。要重复使用现有放置规则,请指定相对于 kustomization.yaml 文件的位置的路径。如果提供,则默认所有策略都使用此放置规则。请参阅 clusterSelector 以生成新的 PlacementRule

policySetDefaults

选填

策略设置的默认值。为此参数列出的任何默认值都会被 policySets 数组中的条目覆盖。

policySetDefaults.placement

选填

策略的放置配置。这默认为与所有集群匹配的放置配置。有关此字段的描述,请参阅 policyDefaults.placement

policySetDefaults.generatePolicySetPlacement

选填

为策略集合生成放置清单。默认设置为 true。当设置为 false 时,会跳过放置清单生成,即使指定了放置也是如此。

policies

必填

要创建的策略列表以及覆盖默认值或 policyDefaults 中设置的值。如需了解更多字段和描述,请参阅 policyDefaults

policies.description

选填

您要创建的策略的描述。

policies[].name

必填

要创建的策略的名称。

policies[].manifests

必填

策略中包含的 Kubernetes 对象清单列表,以及覆盖默认值、此策略项中设置的值或 policyDefaults 中设置的值。如需了解更多字段和描述,请参阅 policyDefaults。当将 Manifests 设置为 true 时,只有 complianceType 和 metadataComplianceType 可以在 policies[].manifests 级别被覆盖。

policies[].manifests[].path

必填

相对于 kustomization.yaml 文件,到单个文件的路径、平面文件目录或 Kustomize 目录。如果该目录是一个 Kustomize 目录,则生成器会在生成策略前针对目录运行 Kustomize。如果需要为 Kustomize 目录处理 Helm chart,请在策略生成器运行的环境中将POLICY_GEN_ENABLE_HELM设置为true ,以便为策略生成器启用 Helm。

支持以下清单:

  • 非根策略类型清单,例如具有Policy后缀的CertificatePolicyConfigurationPolicyOperatorPolicy 。除了补丁之外,以前的清单没有被修改,并直接添加为Policy资源的policy-templates条目。如果informGatekeeperPolicies设置为false ,则也会直接包含 Gatekeeper 约束。
  • 仅包含object-templates-raw键的清单。生成的ConfigurationPolicy资源中直接使用对应的值,不做修改,作为Policy条目的policy-templates条目添加。
  • 对于其他所有内容,都会生成ConfigurationPolicy对象来包装前面提到的清单。生成的ConfigurationPolicy清单被添加为Policy资源的策略模板条目。

policies[].manifests[].name

选填

ConsolidateManifests设置为false时,用作ConfigurationPolicy资源名称。如果路径中存在多个清单,则会附加一个索引号。如果存在多个清单并提供了它们的名称,并且将solidateManifests设置为true ,则第一个清单的名称将用于所有清单路径。

policies[].manifests[].patches

应用到路径上清单的 Kustomize 补丁列表。如果有多个清单,则补丁需要以下字段: apiVersionkindmetadata.namemetadata.namespace 。为了确保 Kustomize 补丁应用于正确的清单,请设置之前指定的字段的值。如果只有一个清单,您可以修补metadata.namemetadata.namespace参数。有关更多详细信息,请参阅Kustomize 文档中的战略合并补丁

policies[].manifests[].openapi.path

选填

使用openapi.path字段指定修补清单时要使用的 OpenAPI 模式文件的路径。这在修补自定义资源的数组时很有用。有关详细信息,请参阅openapi上的 Kustomize 文档

policies.policyLabels

选填

策略在其metadata.labels部分中包含的标签。除非策略中另有指定,否则policyLabels参数适用于所有策略。

policySets

选填

要创建的策略集合列表,以及覆盖默认值或 policySetDefaults 中设置的值。要在策略集中包含策略,请使用 policyDefaults.policySets, policies[].policySets, 或 policySets.policies。如需了解更多字段和描述,请参阅 policySetDefaults

policySets[].name

必填

要创建的策略的名称。

policySets[].description

选填

要创建的策略集的描述。

policySets[].policies

2.3.6.4. 其他资源
复制链接

2.3.7. 生成安装 Compliance Operator 的策略
复制链接

生成将 Compliance Operator 安装到您的集群上的策略。对于使用 namespaced 安装模式的 Operator,如 Compliance Operator,还需要 OperatorGroup 清单。

完成以下步骤:

  1. 创建一个 YAML 文件,其中包含 NamespaceSubscription 和名为 compliance-operator.yamlOperatorGroup 清单。以下示例将这些清单安装到 compliance-operator 命名空间中:将<release-0.x>替换为正确的频道: 

    apiVersion: v1
kind: Namespace
metadata:
  name: openshift-compliance
---
apiVersion: operators.coreos.com/v1
kind: OperatorGroup
metadata:
  name: compliance-operator
  namespace: openshift-compliance
spec:
  targetNamespaces:
    - openshift-compliance
---
apiVersion: operators.coreos.com/v1alpha1
kind: Subscription
metadata:
  name: compliance-operator
  namespace: openshift-compliance
spec:
  channel: <release-0.x>
  name: compliance-operator
  source: redhat-operators
  sourceNamespace: openshift-marketplace
    Copy to Clipboard Toggle word wrap

  2. 创建PolicyGenerator配置文件。查看以下 PolicyGenerator 策略示例,该示例在所有 OpenShift Container Platform 受管集群上安装 Compliance Operator: 

    apiVersion: policy.open-cluster-management.io/v1
kind: PolicyGenerator
metadata:
  name: install-compliance-operator
policyDefaults:
  namespace: policies
  placement:
    labelSelector:
      matchExpressions:
        - key: vendor
          operator: In
          values:
            - "OpenShift"
policies:
  - name: install-compliance-operator
    manifests:
      - path: compliance-operator.yaml
    Copy to Clipboard Toggle word wrap

  3. 将策略生成器添加到您的kustomization.yaml文件中。生成器部分可能类似于以下配置: 

    generators:
  - policy-generator-config.yaml
    Copy to Clipboard Toggle word wrap

    因此,生成的策略类似于以下文件: 

    apiVersion: cluster.open-cluster-management.io/v1beta1
kind: Placement
metadata:
  name: placement-install-compliance-operator
  namespace: policies
spec:
  predicates:
  - requiredClusterSelector:
      labelSelector:
        matchExpressions:
        - key: vendor
          operator: In
          values:
          - OpenShift
    tolerations:
        - key: cluster.open-cluster-management.io/unavailable
          operator: Exists
        - key: cluster.open-cluster-management.io/unreachable
          operator: Exists
---
apiVersion: policy.open-cluster-management.io/v1
kind: PlacementBinding
metadata:
  name: binding-install-compliance-operator
  namespace: policies
placementRef:
  apiGroup: cluster.open-cluster-management.io
  kind: Placement
  name: placement-install-compliance-operator
subjects:
  - apiGroup: policy.open-cluster-management.io
    kind: Policy
    name: install-compliance-operator
---
apiVersion: policy.open-cluster-management.io/v1
kind: Policy
metadata:
  annotations:
    policy.open-cluster-management.io/categories: CM Configuration Management
    policy.open-cluster-management.io/controls: CM-2 Baseline Configuration
    policy.open-cluster-management.io/standards: NIST SP 800-53
    policy.open-cluster-management.io/description:
  name: install-compliance-operator
  namespace: policies
spec:
  disabled: false
  policy-templates:
    - objectDefinition:
        apiVersion: policy.open-cluster-management.io/v1
        kind: ConfigurationPolicy
        metadata:
          name: install-compliance-operator
        spec:
          object-templates:
            - complianceType: musthave
              objectDefinition:
                apiVersion: v1
                kind: Namespace
                metadata:
                  name: openshift-compliance
            - complianceType: musthave
              objectDefinition:
                apiVersion: operators.coreos.com/v1alpha1
                kind: Subscription
                metadata:
                  name: compliance-operator
                  namespace: openshift-compliance
                spec:
                  channel: <release-0.x>
                  name: compliance-operator
                  source: redhat-operators
                  sourceNamespace: openshift-marketplace
            - complianceType: musthave
              objectDefinition:
                apiVersion: operators.coreos.com/v1
                kind: OperatorGroup
                metadata:
                  name: compliance-operator
                  namespace: openshift-compliance
                spec:
                  targetNamespaces:
                    - compliance-operator
          remediationAction: enforce
          severity: low
    Copy to Clipboard Toggle word wrap

2.3.8. 治理政策框架架构
复制链接

使用 Red Hat Advanced Cluster Management for Kubernetes 监管声明周期来增强集群的安全性。产品监管生命周期基于定义的策略、流程和程序,以便可以通过一个中央接口页面来管理安全性和合规性。参阅以下监管架构图:

Governance architecture diagram

查看治理架构图的以下组件描述:

  • 治理政策框架:上图表示在托管集群上作为治理政策框架pod 运行的框架,包含以下控制器:

    • Spec sync controller:将 hub 集群上托管集群命名空间中的复制策略同步到托管集群上托管集群命名空间。
    • 状态同步控制器:记录来自集线器和管理集群上的复制策略中的策略控制器的合规性事件。状态仅包含与当前策略相关的更新,如果删除并重新创建策略,则不会考虑过去的状态。
    • 模板同步控制器:根据复制的策略spec.policy-templates条目的定义,在托管集群上的托管集群命名空间中创建、更新和删除对象。
    • Gatekeeper 同步控制器:将 Gatekeeper 约束审计结果记录为相应 Red Hat Advanced Cluster Management 策略中的合规事件。
  • 策略传播器控制器:在 Red Hat Advanced Cluster Management hub 集群上运行,并根据绑定到根策略的位置在 hub 上的托管集群命名空间中生成复制策略。它还将复制策略的合规性状态聚合到根策略状态,并根据绑定到根策略的策略自动化启动自动化。
  • 治理策略附加控制器:在 Red Hat Advanced Cluster Management 中心集群上运行,并管理受管集群上策略控制器的安装。
2.3.8.1. 治理架构组件
复制链接

治理架构还包括以下组件:

  • 监管仪表板:提供云监管和风险详情的概述信息,其中包括策略和集群违反情况。请参阅管理安全策略部分,以了解 Red Hat Advanced Cluster Management for Kubernetes 策略的结构,以及如何使用 Red Hat Advanced Cluster Management for Kubernetes Governance 仪表板。

    备注:

    • 当策略传播到受管集群时,首先会复制到 hub 集群上的集群命名空间中,并使用 namespaceName.policyName 命名并标记。在创建策略时,请确保 namespaceName.policyName 的长度不超过 63 个字符,因为 Kubernetes 对标签值有限制。
    • 当您在 hub 集群中搜索策略时,您可能还会在受管集群命名空间中收到复制策略的名称。例如,如果您在 default 命名空间中搜索 policy-dhaz-cert,hub 集群中的以下策略名称可能也会出现在受管集群命名空间中: default.policy-dhaz-cert
  • 基于策略的监管框架: 支持根据与集群关联的属性(如一个地区)支持策略创建和部署到各种受管集群。以下是在开源社区中向集群部署策略的预定义策略和说明的示例。另外,当出现违反策略的情况时,可以将自动化配置为运行并采取用户选择的任何操作。
  • 开源社区:在 Red Hat Advanced Cluster Management 策略框架的基础上支持社区贡献。策略控制器和第三方策略也是open-cluster-management-io项目的一部分。您可以使用 GitOps 贡献和部署策略。
2.3.8.2. 其他资源
复制链接

2.3.9. 治理仪表板
复制链接

使用治理仪表板创建、查看和编辑您的资源,管理您的安全策略和策略违规。您可以从命令行和控制台为您的策略创建 YAML 文件。继续阅读有关控制台中的治理仪表板的详细信息。

2.3.9.1. 监管页面
复制链接

治理页面上显示以下选项卡:概览策略集策略。阅读以下描述即可了解显示的信息:

  • 概述

    Overview 选项卡中查看以下概述卡: Policy set violations,Policy violations,Clusters,Categories, Controls, 和 Standards

  • 策略集合

    创建和管理 hub 集群策略集。

  • 策略(policy)

    • 创建和管理安全策略。策略表列出了策略的以下详细信息:显示名称命名空间集群违规
    • 您可以编辑、启用或禁用,将补救设置为 inform 或 enforce,或通过选择 Actions 图标来删除策略。您可以通过选择要展开行的下拉箭头来查看特定策略的类别和标准。
    • 管理列对话框中重新排列表格列。选择“管理列”图标以显示对话框。要重新排列列,请选择重新排序图标并移动列名称。对于您想要在表中显示的列,单击特定列名的复选框并选择“保存”按钮。

    • 选择多个策略并点击 Actions 按钮来完成批量操作。您还可以点 Filter 按钮自定义您的策略表。

      当您在表列表中选择一个策略时,控制台中会显示以下信息标签页:

      • Details :选择 Details 选项卡来查看策略详情和放置详情。在 Placement 表中,Compliance 列提供了查看所显示集群的合规性的链接。
      • Results :选择 Results 选项卡来查看与放置关联的所有集群的表列表。
  • Message 列中,点 View details 链接来查看模板详情、模板 YAML 和相关资源。您还可以查看相关的资源。点 View history 链接查看违反消息以及最后一次报告的时间。
2.3.9.2. 监管自动化配置
复制链接

如果为特定策略配置了自动化,您可以选择自动化来查看更多详情。查看以下自动化调度频率选项的描述:

  • Manual run:手动将此自动化设置为运行一次。在自动化运行后,它将设置为 disabled注:您只能在禁用调度频率时选择 Manual run 模式。
  • Run once mode:违反策略时,自动化将运行一次。在自动化运行后,它将设置为 disabled。在将自动化设置为禁用后,您必须继续手动运行自动化。当使用 once mode 时,target_clusters 的额外变量会自动提供违反策略的集群列表。Ansible Automation Platform Job 模板需要为 EXTRA VARIABLES 段(也称为 extra_vars)启用 PROMPT ON LAUNCH
  • 运行 everyEvent 模式 :违反策略时,每个受管集群的唯一策略都会运行自动化。使用 DelayAfterRunSeconds 参数在同一集群中重启自动化前设置最小秒数。如果策略在延迟期内违反多次,并保持在违反的状态,则自动化会在延迟期后运行一次。默认值为 0 秒,它仅适用于 everyEvent 模式。当您运行 everyEvent 模式时,target_clusters 和 Ansible Automation Platform 作业模板的额外变量与 once mode 相同。
  • Disable automation:当调度的自动化被设置为禁用时,在更新设置前不会运行自动化。

Ansible Automation Platform 作业的 extra_vars 中会自动提供以下变量:

  • policy_name:在 hub 集群上启动 Ansible Automation Platform 作业的不合规根策略的名称。
  • policy_namespace: root 策略的命名空间。
  • hub_cluster :hub 集群的名称,它由集群 DNS 对象中的值决定。
  • policy_sets :此参数包含根策略的所有关联的策略集名称。如果策略不在策略集中,policy_set 参数为空。
  • policy_violations :此参数包含不合规集群名称的列表,值是每个不合规集群的策略 status 字段。
2.3.9.3. 其他资源
复制链接

查看以下主题以了解更多有关创建和更新您的安全策略的信息。

2.3.10. 更新配置策略
复制链接

您可以使用命令行界面 (CLI) 或者从控制台为配置策略创建 YAML 文件。当您从控制台创建配置策略时,YAML 文件将显示在 YAML 编辑器中。

2.3.10.1. 先决条件
复制链接
  • 需要的访问权限 : 管理员或集群管理员
  • 如果您有一个现有的 Kubernetes 清单,请考虑使用 Policy Generator 在策略中自动包含清单。请参阅策略生成器文档。
2.3.10.2. 通过 CLI 创建配置策略
复制链接

完成以下步骤,通过 CLI 创建配置策略:

  1. 为您的配置策略创建一个 YAML 文件。运行以下命令: 

    oc create -f configpolicy-1.yaml
    Copy to Clipboard Toggle word wrap

    您的配置策略可能类似以下策略: 

    apiVersion: policy.open-cluster-management.io/v1
kind: Policy
metadata:
  name: policy-1
  namespace: my-policies
policy-templates:
- apiVersion: policy.open-cluster-management.io/v1
  kind: ConfigurationPolicy
  metadata:
    name: mustonlyhave-configuration
  spec:
    namespaceSelector:
      include: ["default"]
      exclude: ["kube-system"]
    remediationAction: inform
    disabled: false
    complianceType: mustonlyhave
    object-templates:
    Copy to Clipboard Toggle word wrap

  2. 运行以下命令来应用策略: 

    oc apply -f <policy-file-name>  --namespace=<namespace>
    Copy to Clipboard Toggle word wrap

  3. 运行以下命令,验证并列出策略: 

    oc get policies.policy.open-cluster-management.io --namespace=<namespace>
    Copy to Clipboard Toggle word wrap

您的配置策略已创建。

2.3.10.2.1. 通过 CLI 查看您的配置策略
复制链接

完成以下步骤,通过 CLI 查看您的配置策略:

  1. 运行以下命令,查看具体配置策略的详情: 

    oc get policies.policy.open-cluster-management.io <policy-name> -n <namespace> -o yaml
    Copy to Clipboard Toggle word wrap

  2. 运行以下命令,查看您的配置策略的描述: 

    oc describe policies.policy.open-cluster-management.io <name> -n <namespace>
    Copy to Clipboard Toggle word wrap
2.3.10.2.2. 从控制台查看您的配置策略
复制链接

在控制台中查看任何配置策略及其状态。

在控制台中登录到集群后,选择 Governance 来查看您的策略的表列表。注: 您可以选择 All policies 选项卡或者 Cluster violations 选项卡来过滤您的策略表列表。

选择一个策略来查看更多详情。此时会显示 DetailsClustersTemplates 标签页。

2.3.10.3. 禁用配置策略
复制链接

要禁用配置策略,请从策略的操作菜单中选择禁用策略。策略被禁用,但不被删除。

2.3.10.4. 删除配置策略
复制链接

通过 CLI 或控制台删除配置策略。完成以下步骤:

  1. 运行以下命令以从目标集群或集群中删除策略: 

    oc delete policies.policy.open-cluster-management.io <policy-name> -n <namespace>
    Copy to Clipboard Toggle word wrap

  2. 运行以下命令验证您的策略是否已移除: 

    oc get policies.policy.open-cluster-management.io <policy-name> -n <namespace>
    Copy to Clipboard Toggle word wrap
  3. 要从控制台删除配置策略,请在策略违规表中单击要删除的策略的“操作”图标,然后单击“删除”

您的策略已删除。

2.3.10.5. 其他资源
复制链接

2.3.11. 为监管配置 Ansible Automation Platform
复制链接

Red Hat Advanced Cluster Management for Kubernetes 监管可与 Red Hat Ansible Automation Platform 集成,以创建策略违反自动化。您可以从 Red Hat Advanced Cluster Management 控制台配置自动化。

2.3.11.1. 先决条件
复制链接
  • 支持的 OpenShift Container Platform 版本
  • 已安装 Ansible Automation Platform 版本 3.7.3 或更高版本。最佳实践是安装最新支持的 Ansible Automation Platform 版本。如需了解更多详细信息,请参阅 Red Hat Ansible Automation Platform 文档

  • 从 Operator Lifecycle Manager 安装 Ansible Automation Platform Resource Operator。在 Update Channel 部分中,选择 stable-2.x-cluster-scoped。选择 All namespaces on the cluster (default) 安装模式。

    注: 在运行 Ansible Automation Platform 作业模板时,请确保 Ansible Automation Platform 作业模板是幂等的。如果没有 Ansible Automation Platform Resource Operator,您可以在 Red Hat OpenShift Container Platform OperatorHub 页面中找到它。

有关安装和配置 Red Hat Ansible Automation Platform 的更多信息,请参阅设置 Ansible 任务

2.3.11.2. 从控制台创建策略违反自动化
复制链接

登录到 Red Hat Advanced Cluster Management hub 集群后,从导航菜单中选择 Governance,然后点 Policies 选项卡来查看策略表。

单击 Automation 列中的 Configure,为特定策略配置自动化。当策略自动化面板出现时,您可以创建自动化。在 Ansible credential 部分中,单击下拉菜单来选择 Ansible 凭据。如果您需要添加凭证,请参阅管理凭证概述

:此凭证复制到与策略相同的命名空间中。该凭据供创建用于启动自动化的 AnsibleJob 资源使用。控制台的 Credentials 部分中的 Ansible 凭据更改会被自动更新。

选择了凭据后,单击 Ansible 作业下拉列表来选择作业模板。在 Extra variables 部分,添加来自 PolicyAutomationextra_vars 部分中的参数值。选择自动化的频率。您可以选择 Run once modeRun everyEvent modeDisable automation

选择 Submit 保存您的策略违反自动化。当您从 Ansible 作业详情侧面板选择 View Job 链接时,链接会将您定向到 Search 页面上的作业模板。成功创建自动化后,它会显示在 Automation 列中。

注: 当您删除具有关联策略自动化的策略时,策略自动化会在清理过程中自动删除。

您的策略违反自动化是从控制台创建的。

2.3.11.3. 通过 CLI 创建策略违反自动化
复制链接

完成以下步骤,通过 CLI 配置策略违反自动化:

  1. 在终端中,使用 oc login 命令登录到 Red Hat Advanced Cluster Management hub 集群。
  2. 查找或创建您要向其添加自动化的策略。请注意策略名称和命名空间。

  3. 使用以下示例创建 PolicyAutomation 资源,作为指南: 

    apiVersion: policy.open-cluster-management.io/v1beta1
kind: PolicyAutomation
metadata:
  name: policyname-policy-automation
spec:
  automationDef:
    extra_vars:
      your_var: your_value
    name: Policy Compliance Template
    secret: ansible-tower
    type: AnsibleJob
  mode: disabled
  policyRef: policyname
    Copy to Clipboard Toggle word wrap
  4. 上例中的 Automation 模板名称是 Policy Compliance Template。更改该值,使其与您的任务模板名称匹配。
  5. extra_vars 部分中,添加您需要传递给 Automation 模板的任何参数。
  6. 将模式设置为 onceeveryEventdisabled
  7. policyRef 设置为您的策略的名称。
  8. 在与包含 Ansible Automation Platform 凭据的 PolicyAutomation 资源相同的命名空间中创建一个 secret。在上例中,secret 名称为 ansible-tower。使用应用程序生命周期中的示例来查看如何创建 secret。

  9. 创建 PolicyAutomation 资源。

    备注:

    • 可以通过在 PolicyAutomation 资源中添加以下注解来立即运行策略自动化: 

      metadata:
  annotations:
    policy.open-cluster-management.io/rerun: "true"
      Copy to Clipboard Toggle word wrap
    • 当策略为 once 模式时,当策略不合规时自动化将运行。添加名为 target_clustersextra_vars 变量,值是每个受管集群名称的数组,其中的策略不合规。
    • 当策略处于 everyEvent 模式且 DelayAfterRunSeconds 超过定义的时间值时,策略不合规,且自动化会针对每个策略违反。

2.4. 使用外部工具进行策略部署
复制链接

要将CertificatePolicyConfigurationPolicyOperatorPolicy资源和 Gatekeeper 约束直接部署到托管集群,您可以使用外部工具(例如 Red Hat OpenShift GitOps)。

2.4.1. 部署工作流
复制链接

您的CertificatePolicyConfigurationPolicyOperatorPolicy策略必须位于open-cluster-management-policies命名空间或托管集群命名空间中。其他命名空间中的策略将被忽略并且不会收到状态。如果您使用的 Red Hat OpenShift GitOps 版本与 Argo CD 版本低于 2.13,则必须配置 Red Hat Advanced Cluster Management 以进行 Kubernetes 策略健康检查

OpenShift GitOps 服务帐户必须具有管理 Red Hat Advanced Cluster Management for Kubernetes 策略的权限。使用 OpenShift GitOps 部署策略并从治理仪表板的“已发现策略”表中查看策略。策略按策略名称类型字段分组。

2.4.2. 其他资源
复制链接

第 3 章 策略控制器高级配置
复制链接

您可以使用 ManagedClusterAddOn 自定义资源自定义受管集群上的策略控制器配置。以下ManagedClusterAddOns配置策略框架、Kubernetes 配置策略控制器和证书策略控制器。需要的访问权限:集群管理员

3.1. 配置治理框架的并发
复制链接

为每个管理集群配置治理框架的并发性。要更改默认值 2,请在引号中使用非零整数来设置 policy-evaluation-concurrency 注解。然后将ManagedClusterAddOn对象名称上的值设置为中心集群的托管集群命名空间中的governance-policy-framework

请参阅以下 YAML 示例,其中 concurrency 在名为 cluster1 的受管集群中被设置为 2

apiVersion: addon.open-cluster-management.io/v1alpha1
kind: ManagedClusterAddOn
metadata:
  name: governance-policy-framework
  namespace: cluster1
  annotations:
    policy-evaluation-concurrency: "2"
spec:
  installNamespace: open-cluster-management-agent-addon
Copy to Clipboard Toggle word wrap

要设置 client-qpsclient-burst 注解,请更新 ManagedClusterAddOn 资源并定义参数。

在以下 YAML 示例中,每秒的查询设置为 20,在名为 cluster1 的受管集群中,突发设置为 100

apiVersion: addon.open-cluster-management.io/v1alpha1
kind: ManagedClusterAddOn
metadata:
  name: governance-policy-framework
  namespace: cluster1
  annotations:
    client-qps: "30"
    client-burst: "45"
spec:
  installNamespace: open-cluster-management-agent-addon
Copy to Clipboard Toggle word wrap

3.2. 配置配置策略控制器的并发
复制链接

您可以为每个受管集群配置配置策略控制器的并发性,以更改它可以同时评估的配置策略。要更改默认值 2,请在引号中使用非零整数来设置 policy-evaluation-concurrency 注解。您可以在 hub 集群的受管集群命名空间中将 ManagedClusterAddOn 对象名称上的值设置为 config-policy-controller。

注:增加并发值会增加 config-policy-controller pod、Kubernetes API 服务器和 OpenShift API 服务器上的 CPU 和内存使用率。

请参阅以下 YAML 示例,其中 concurrency 在名为 cluster1 的受管集群中被设置为 5

apiVersion: addon.open-cluster-management.io/v1alpha1
kind: ManagedClusterAddOn
metadata:
  name: config-policy-controller
  namespace: cluster1
  annotations:
    policy-evaluation-concurrency: "5"
spec:
  installNamespace: open-cluster-management-agent-addon
Copy to Clipboard Toggle word wrap

3.3. 配置对 API 服务器的请求率
复制链接

配置配置策略控制器在每个受管集群上进行的 API 服务器的请求率。速率提高了配置策略控制器的响应,这也会增加 Kubernetes API 服务器和 OpenShift API 服务器的 CPU 和内存使用率。默认情况下,请求的速度会根据 policy-evaluation-concurrency 设置进行扩展,并被设置为每秒 30 个查询(QPS),带有 45 burst 值,代表短时间内的请求数。

您可以通过在引号内使用非零整数设置 client-qpsclient-burst 注解来配置速率和突发。您可以在 hub 集群的受管集群命名空间中将 ManagedClusterAddOn 对象名称上的值设置为 config-policy-controller

在以下 YAML 示例中,每秒的查询设置为 20,在名为 cluster1 的受管集群中,突发设置为 100

apiVersion: addon.open-cluster-management.io/v1alpha1
kind: ManagedClusterAddOn
metadata:
  name: config-policy-controller
  namespace: cluster1
  annotations:
    client-qps: "20"
    client-burst: "100"
spec:
  installNamespace: open-cluster-management-agent-addon
Copy to Clipboard Toggle word wrap

3.4. 配置调试日志
复制链接

当您为每个策略控制器配置并收集调试日志时,您可以调整日志级别。

注: 缩减调试日志的卷意味着日志中显示较少的信息。

您可以减少策略控制器发出的调试日志,以便在日志中仅显示错误的错误。要减少调试日志,请在注解中将 debug 日志值设置为 -1。查看每个值代表什么:

  • -1: 仅限错误日志
  • 0 :信息性日志
  • 1: 调试日志
  • 2: 详细的调试日志

要接收 Kubernetes 配置控制器的第二个调试信息级别,请将值为 2log-level 注解添加到 ManagedClusterAddOn 自定义资源中。默认情况下,日志级别被设置为 0,这意味着您会收到信息性的消息。查看以下示例: 

apiVersion: addon.open-cluster-management.io/v1alpha1
kind: ManagedClusterAddOn
metadata:
  name: config-policy-controller
  namespace: cluster1
  annotations:
    log-level: "2"
spec:
  installNamespace: open-cluster-management-agent-addon
Copy to Clipboard Toggle word wrap

另外,对于 ConfigurationPolicy 资源中的每个 spec.object-template[],您可以将参数 recordDiff 设置为 LogobjectDefinition 和受管集群上的对象之间的差别记录在受管集群的 config-policy-controller pod 中。查看以下示例:

这个 ConfigurationPolicy 资源带有 recordDiff: Log: 

apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: my-config-policy
spec:
  object-templates:
  - complianceType: musthave
    recordDiff: Log
    objectDefinition:
      apiVersion: v1
      kind: ConfigMap
      metadata:
        name: my-configmap
      data:
        fieldToUpdate: "2"
Copy to Clipboard Toggle word wrap

如果集群中的 ConfigMap 资源列出了 fieldToUpdate: "1",则 diff 会出现在 config-policy-controller pod 日志中,并带有以下信息: 

Logging the diff:
--- default/my-configmap : existing
+++ default/my-configmap : updated
@@ -2,3 +2,3 @@
 data:
-  fieldToUpdate: "1"
+  fieldToUpdate: "2"
 kind: ConfigMap
Copy to Clipboard Toggle word wrap

重要: 避免记录安全对象的区别。差别以纯文本形式记录。

3.5. 监管指标
复制链接

策略框架公开指标来显示策略分布和合规性。在 hub 集群中使用 policy_governance_info 指标来查看趋势并分析任何策略失败。有关指标概述,请参阅以下主题:

3.5.1. Metric: policy_governance_info
复制链接

OpenShift Container Platform 监控组件会收集 policy_governance_info 指标。如果启用可观察性,组件会收集一些聚合数据。

注: 如果启用可观察性,请从 Grafana Explore 页面输入对指标的查询。创建策略时,您要创建一个 root 策略。框架监视根策略、放置 资源和 PlacementBindings 资源,以获取有关创建 传播策略的 位置的信息,以将策略分发到受管集群。

对于根和传播策略,如果策略合规,则会记录 0 的指标,如果策略不合规,则记录 1 ;如果它处于 unknown 或 pending 状态,则会记录 1。

policy_governance_info 指标使用以下标签:

  • type :标签值为 rootpropagated
  • policy :关联的根策略的名称。
  • policy_namespace :定义根策略的 hub 集群上命名空间。
  • cluster_namespace :分发策略的集群的命名空间。

这些标签和值启用查询来显示集群中可能发生的许多事情,这些情况可能很难跟踪。

注: 如果您不需要指标数据,且对性能或安全性有任何顾虑,您可以禁用指标集合。在传播器部署中,将 DISABLE_REPORT_METRICS 环境变量设置为 true。您还可以将 policy_governance_info 指标添加到 observability allowlist 作为自定义指标。如需了解更多详细信息,请参阅 添加自定义指标

3.5.2. metric: cluster_policy_governance_info
复制链接

OpenShift Container Platform 监控组件会收集 cluster_policy_governance_info 指标。如果启用可观察性,组件会收集数据。

注: 如果启用可观察性,请从 Grafana Explore 页面输入对指标的查询。

对于受管集群策略,如果策略合规,则会记录 0 的指标,如果策略不合规,则记录 1 ;如果它处于 unknown 或 pending 状态,则会记录 -1

cluster_policy_governance_info 指标使用以下标签:

  • kind: 策略的类型。
  • 策略 :策略的名称。
  • policy_namespace :定义策略的受管集群中的命名空间。
  • 严重性 :在策略上指定的严重性。

使用这些标签和值来对集群中更改启用详细的查询,但可能很难跟踪。

注: 您还可以将 cluster_policy_governance_info 指标添加到 observability allowlist 中作为自定义指标。如需了解更多详细信息,请参阅 添加自定义指标。

3.5.3. Metric: config_policies_evaluation_duration_seconds
复制链接

config_policies_evaluation_duration_seconds 直方图跟踪集群中准备好评估的所有配置策略所需的秒数。使用以下指标查询直方图:

  • config_policies_evaluation_duration_seconds_bucket :存储桶是累积的,以秒为单位的以下可能的值:1, 3, 9, 10.5, 15, 30, 60, 90, 90, 120, 180, 300, 450, 600 等。
  • config_policies_evaluation_duration_seconds_count: 所有事件的计数。
  • config_policies_evaluation_duration_seconds_sum: 所有值的总和。

使用 config_policies_evaluation_duration_seconds 指标来确定 ConfigurationPolicy evaluationInterval 设置是否需要为不需要频繁评估的资源密集型策略更改。您还可以以 Kubernetes API 服务器的资源使用率更高的成本增加并发性。如需了解更多详细信息,请参阅配置并发 部分。

要接收有关评估配置策略的时间的信息,请执行类似以下表达式的 Prometheus 查询:

rate(config_policies_evaluation_duration_seconds_sum[10m])/rate (config_policies_evaluation_duration_seconds_count[10m]

open-cluster-management-agent-addon 命名空间中的受管集群上运行的 config-policy-controller pod 会计算指标。config-policy-controller 默认不会将指标发送到可观察性。

3.6. 验证配置更改
复制链接

当使用控制器应用新配置时,Cluster Applied 参数会在 ManagedClusterAddOn 中更新。该条件时间戳有助于正确验证配置。例如,这个命令可在 local-cluster 中的 cert-policy-controller 已更新时验证: 

oc get -n <your-local-cluster-name> managedclusteraddon cert-policy-controller | grep -B4 'type: ManifestApplied'
Copy to Clipboard Toggle word wrap

您可能会收到以下输出: 

 - lastTransitionTime: "2023-01-26T15:42:22Z"
    message: manifests of addon are applied successfully
    reason: AddonManifestApplied
    status: "True"
    type: ManifestApplied
Copy to Clipboard Toggle word wrap

3.7. 其他资源
复制链接

查看支持的策略示例,了解如何在 Red Hat Advanced Cluster Management for Kubernetes 中创建和管理策略时如何在 hub 集群上定义规则、流程和控制。

4.1. 配置策略示例策略表
复制链接

查看以下示例配置策略:

Expand
表 4.1. 配置策略表列表
策略示例描述

命名空间策略

确保环境与命名空间一致。请参阅 Kubernetes 命名空间文档

Pod 策略

确保集群工作负载配置。请参阅 Kubernetes Pod 文档

内存用量策略

使用限制范围限制工作负载资源使用情况。请参阅限制范围文档

Pod 安全策略(已弃用)

确保工作负载安全性一致。请参阅 Kubernetes Pod 安全策略文档

角色策略
角色绑定策略

使用角色和角色绑定管理角色绑定。请参阅 Kubernetes RBAC 文档

安全内容约束 (SCC) 策略

使用安全性上下文约束管理工作负载权限。请参阅 OpenShift Container Platform 文档中的管理安全性上下文约束文档

ETCD 加密策略

确保通过 etcd 加密的数据安全性。请参阅 OpenShift Container Platform 文档中的加密 etcd 数据

Compliance operator 策略

部署 Compliance Operator,以利用 OpenSCAP 扫描并强制实施集群的合规性状态。请参阅 OpenShift Container Platform 文档中的了解 Compliance Operator 部分。

Compliance operator E8 扫描

应用 Compliance operator 策略后,部署 Essential 8 (E8) 扫描来检查 E8 安全配置集的合规性。请参阅 OpenShift Container Platform 文档中的了解 Compliance Operator 部分。

Compliance operator CIS 扫描

应用 Compliance operator 策略后,部署互联网安全中心 (CIS) 扫描,以检查与 CIS 安全配置集的合规性。请参阅 OpenShift Container Platform 文档中的了解 Compliance Operator 部分。

镜像漏洞策略

部署 Container Security Operator,并检测集群中运行的 pod 中的已知镜像漏洞。请参阅 Container Security Operator GitHub 仓库。

Gatekeeper operator 部署

Gatekeeper 是一个准入 Webhook,它强制执行基于自定义资源定义 (CRD) 的策略,由 Open Policy Agent(OPA)策略引擎执行。请参阅 Gatekeeper 文档。Gatekeeper operator 用于安装 Gatekeeper。如需更多信息,请参阅 Gatekeeper operator 概述

Gatekeeper 合规策略

将 Gatekeeper 部署到集群后,部署此示例 Gatekeeper 策略以确保在集群中创建的命名空间标记为指定。如需更多信息,请参阅 集成 Gatekeeper 约束和约束模板

Red Hat OpenShift Platform Plus 策略集

Red Hat OpenShift Platform Plus 是混合云套件,用于为多个基础架构安全构建、部署、运行和管理应用程序。您可以使用通过 Red Hat Advanced Cluster Management 应用程序提供的 PolicySets 将 Red Hat OpenShift Platform Plus 部署到受管集群。如需有关 OpenShift Platform Plus 的详细信息,请参阅 OpenShift Platform Plus 文档。

Red Hat OpenShift Container Platform 4.x 还支持 Red Hat Advanced Cluster Management 配置策略。

查看以下策略文档以了解如何应用策略:

更多主题,请参阅监管

4.2. 命名空间策略
复制链接

Kubernetes 配置策略控制器负责监控命名空间策略的状态。应用命名空间策略来为您的命名空间定义特定规则。

在以下部分了解更多有关命名空间策略结构的详细信息:

4.2.1. 命名空间策略 YAML 结构
复制链接

apiVersion: policy.open-cluster-management.io/v1
kind: Policy
metadata:
  name:
  namespace:
  annotations:
    policy.open-cluster-management.io/standards:
    policy.open-cluster-management.io/categories:
    policy.open-cluster-management.io/controls:
    policy.open-cluster-management.io/description:
spec:
  remediationAction:
  disabled:
  policy-templates:
    - objectDefinition:
        apiVersion: policy.open-cluster-management.io/v1
        kind: ConfigurationPolicy
        metadata:
          name:
        spec:
          remediationAction:
          severity:
          object-templates:
            - complianceType:
              objectDefinition:
                kind: Namespace
                apiVersion: v1
                metadata:
                  name:
                ...
Copy to Clipboard Toggle word wrap

4.2.2. 命名空间策略 YAML 表
复制链接

Expand
字段可选或必需的描述

apiVersion

必填

将值设置为 policy.open-cluster-management.io/v1

kind

必填

将值设为 Policy 以表示策略类型。

metadata.name

必填

用于标识策略资源的名称。

metadata.namespace

必填

策略的命名空间。

spec.remediationAction

选填

指定您的策略的修复。参数值是 enforceinform。这个值是可选的,因为它会覆盖 spec.policy-templates 中提供的任何值。

spec.disabled

必填

将值设为 truefalsedisabled 参数提供启用和禁用策略的功能。

spec.policy-templates[].objectDefinition

必填

用于列出包含必须接受评估或应用到受管集群的 Kubernetes 对象的配置策略。

4.2.3. 命名空间策略示例
复制链接

4.3. Pod 策略
复制链接

Kubernetes 配置策略控制器负责监控 Pod 策略的状态。应用 Pod 策略来为 Pod 定义容器规则。集群中必须存在 pod 才能使用此信息。

在以下部分了解更多有关 pod 策略结构的详细信息:

4.3.1. Pod 策略 YAML 结构
复制链接

apiVersion: policy.open-cluster-management.io/v1
kind: Policy
metadata:
  name:
  namespace:
  annotations:
    policy.open-cluster-management.io/standards:
    policy.open-cluster-management.io/categories:
    policy.open-cluster-management.io/controls:
    policy.open-cluster-management.io/description:
spec:
  remediationAction:
  disabled:
  policy-templates:
    - objectDefinition:
        apiVersion: policy.open-cluster-management.io/v1
        kind: ConfigurationPolicy
        metadata:
          name:
        spec:
          remediationAction:
          severity:
          namespaceSelector:
            exclude:
            include:
            matchLabels:
            matchExpressions:
          object-templates:
            - complianceType:
              objectDefinition:
                apiVersion: v1
                kind: Pod
                metadata:
                  name:
                spec:
                  containers:
                  - image:
                    name:
                ...
Copy to Clipboard Toggle word wrap

4.3.2. Pod 策略表
复制链接

Expand
表 4.2. 参数表
字段可选或必需的描述

apiVersion

必填

将值设置为 policy.open-cluster-management.io/v1

kind

必填

将值设为 Policy 以表示策略类型。

metadata.name

必填

用于标识策略资源的名称。

metadata.namespace

必填

策略的命名空间。

spec.remediationAction

选填

指定您的策略的修复。参数值是 enforceinform。此值是可选的,因为该值会覆盖 spec.policy-templates 中提供的任何值。

spec.disabled

必填

将值设为 truefalsedisabled 参数提供启用和禁用策略的功能。

spec.policy-templates[].objectDefinition

必填

用于列出包含必须接受评估或应用到受管集群的 Kubernetes 对象的配置策略。

4.3.3. Pod 策略示例
复制链接

请参阅 Kubernetes 配置策略控制器,以查看配置控制器监控的其他配置策略,并查看 Policy 概述文档,以查看策略 YAML 结构和其他字段的完整描述。返回到管理配置策略文档,以管理其他策略。

4.4. 内存用量策略
复制链接

Kubernetes 配置策略控制器负责监控内存用量策略的状态。使用内存用量策略来限制或约束您的内存和计算用量。如需更多信息,请参阅 Kubernetes 文档中的限制范围

在以下部分了解更多有关内存用量策略结构的详细信息:

4.4.1. 内存用量策略 YAML 结构
复制链接

您的内存用量策略可能类似以下 YAML 文件: 

apiVersion: policy.open-cluster-management.io/v1
kind: Policy
metadata:
  name:
  namespace:
  annotations:
    policy.open-cluster-management.io/standards:
    policy.open-cluster-management.io/categories:
    policy.open-cluster-management.io/controls:
    policy.open-cluster-management.io/description:
spec:
  remediationAction:
  disabled:
  policy-templates:
    - objectDefinition:
        apiVersion: policy.open-cluster-management.io/v1
        kind: ConfigurationPolicy
        metadata:
          name:
        spec:
          remediationAction:
          severity:
          namespaceSelector:
            exclude:
            include:
            matchLabels:
            matchExpressions:
          object-templates:
            - complianceType: mustonlyhave
              objectDefinition:
                apiVersion: v1
                kind: LimitRange
                metadata:
                  name:
                spec:
                  limits:
                  - default:
                      memory:
                    defaultRequest:
                      memory:
                    type:
        ...
Copy to Clipboard Toggle word wrap

4.4.2. 内存用量策略表
复制链接

Expand
表 4.3. 参数表
字段可选或必需的描述

apiVersion

必填

将值设置为 policy.open-cluster-management.io/v1

kind

必填

将值设为 Policy 以表示策略类型。

metadata.name

必填

用于标识策略资源的名称。

metadata.namespace

必填

策略的命名空间。

spec.remediationAction

选填

指定您的策略的修复。参数值是 enforceinform。此值是可选的,因为该值会覆盖 spec.policy-templates 中提供的任何值。

spec.disabled

必填

将值设为 truefalsedisabled 参数提供启用和禁用策略的功能。

spec.policy-templates[].objectDefinition

必填

用于列出包含必须接受评估或应用到受管集群的 Kubernetes 对象的配置策略。

4.4.3. 内存用量策略示例
复制链接

4.5. Pod 安全策略(已弃用)
复制链接

Kubernetes 配置策略控制器负责监控 Pod 安全策略的状态。应用 Pod 安全策略来保护 Pod 和容器。

在以下部分了解更多有关 Pod 安全策略结构的详细信息:

4.5.1. Pod 安全策略 YAML 结构
复制链接

apiVersion: policy.open-cluster-management.io/v1
kind: Policy
metadata:
  name:
  namespace:
  annotations:
    policy.open-cluster-management.io/standards:
    policy.open-cluster-management.io/categories:
    policy.open-cluster-management.io/controls:
    policy.open-cluster-management.io/description:
spec:
  remediationAction:
  disabled:
  policy-templates:
    - objectDefinition:
        apiVersion: policy.open-cluster-management.io/v1
        kind: ConfigurationPolicy
        metadata:
          name:
        spec:
          remediationAction:
          severity:
          namespaceSelector:
            exclude:
            include:
            matchLabels:
            matchExpressions:
          object-templates:
            - complianceType:
              objectDefinition:
                apiVersion: policy/v1beta1
                kind: PodSecurityPolicy
                metadata:
                  name:
                  annotations:
                    seccomp.security.alpha.kubernetes.io/allowedProfileNames:
                spec:
                  privileged:
                  allowPrivilegeEscalation:
                  allowedCapabilities:
                  volumes:
                  hostNetwork:
                  hostPorts:
                  hostIPC:
                  hostPID:
                  runAsUser:
                  seLinux:
                  supplementalGroups:
                  fsGroup:
                ...
Copy to Clipboard Toggle word wrap

4.5.2. Pod 安全策略表
复制链接

Expand
表 4.4. 参数表
字段可选或必需的描述

apiVersion

必填

将值设置为 policy.open-cluster-management.io/v1

kind

必填

将值设为 Policy 以表示策略类型。

metadata.name

必填

用于标识策略资源的名称。

metadata.namespace

必填

策略的命名空间。

spec.remediationAction

选填

指定您的策略的修复。参数值是 enforceinform。此值是可选的,因为该值会覆盖 spec.policy-templates 中提供的任何值。

spec.disabled

必填

将值设为 truefalsedisabled 参数提供启用和禁用策略的功能。

spec.policy-templates[].objectDefinition

必填

用于列出包含必须接受评估或应用到受管集群的 Kubernetes 对象的配置策略。

4.5.3. Pod 安全策略示例
复制链接

对 Pod 安全策略的支持已从 OpenShift Container Platform 4.12 及更新的版本中删除,并从 Kubernetes v1.25 及之后的版本中删除。如果应用 PodSecurityPolicy 资源,您可能会收到以下不合规的信息: 

violation - couldn't find mapping resource with kind PodSecurityPolicy, please check if you have CRD deployed
Copy to Clipboard Toggle word wrap
  • 有关包括弃用通知的更多信息,请参阅 Kubernetes 文档中的 Pod 安全策略
  • 要查看示例策略,请查看 policy-psp.yaml。如需更多信息,请参阅创建 配置策略
  • 如需有关策略 YAML 结构的完整描述,请参阅策略概述文档,以及 Kubernetes 配置策略控制器,以查看控制器监控的其他配置策略。

4.6. 角色策略
复制链接

Kubernetes 配置策略控制器负责监控角色策略的状态。在 object-template 中定义角色来为集群中的特定角色设置规则和权限。

在以下部分了解更多有关角色策略结构的详细信息:

4.6.1. 角色策略 YAML 结构
复制链接

apiVersion: policy.open-cluster-management.io/v1
kind: Policy
metadata:
  name:
  namespace:
  annotations:
    policy.open-cluster-management.io/standards:
    policy.open-cluster-management.io/categories:
    policy.open-cluster-management.io/controls:
    policy.open-cluster-management.io/description:
spec:
  remediationAction:
  disabled:
  policy-templates:
    - objectDefinition:
        apiVersion: policy.open-cluster-management.io/v1
        kind: ConfigurationPolicy
        metadata:
          name:
        spec:
          remediationAction:
          severity:
          namespaceSelector:
            exclude:
            include:
            matchLabels:
            matchExpressions:
          object-templates:
            - complianceType:
              objectDefinition:
                apiVersion: rbac.authorization.k8s.io/v1
                kind: Role
                metadata:
                  name:
                rules:
                  - apiGroups:
                    resources:
                    verbs:
                ...
Copy to Clipboard Toggle word wrap

4.6.2. 角色策略表
复制链接

Expand
表 4.5. 参数表
字段可选或必需的描述

apiVersion

必填

将值设置为 policy.open-cluster-management.io/v1

kind

必填

将值设为 Policy 以表示策略类型。

metadata.name

必填

用于标识策略资源的名称。

metadata.namespace

必填

策略的命名空间。

spec.remediationAction

选填

指定您的策略的修复。参数值是 enforceinform。此值是可选的,因为该值会覆盖 spec.policy-templates 中提供的任何值。

spec.disabled

必填

将值设为 truefalsedisabled 参数提供启用和禁用策略的功能。

spec.policy-templates[].objectDefinition

必填

用于列出包含必须接受评估或应用到受管集群的 Kubernetes 对象的配置策略。

4.6.3. 角色策略示例
复制链接

应用角色策略来为集群中的特定角色设置规则和权限。如需有关角色的更多信息,请参阅基于角色的访问控制

要了解如何管理角色策略,请参阅管理配置策略以了解更多信息。请参阅 Kubernetes 配置策略控制器,以查看监控控制器的其他配置策略。

4.7. 角色绑定策略
复制链接

Kubernetes 配置策略控制器负责监控角色绑定策略的状态。应用角色绑定策略,将策略绑定到受管集群中的命名空间。

在以下部分了解更多有关命名空间策略结构的详细信息:

4.7.1. 角色绑定策略 YAML 结构
复制链接

apiVersion: policy.open-cluster-management.io/v1
kind: Policy
metadata:
  name:
  namespace:
  annotations:
    policy.open-cluster-management.io/standards:
    policy.open-cluster-management.io/categories:
    policy.open-cluster-management.io/controls:
    policy.open-cluster-management.io/description:
spec:
  remediationAction:
  disabled:
  policy-templates:
    - objectDefinition:
        apiVersion: policy.open-cluster-management.io/v1
        kind: ConfigurationPolicy
        metadata:
          name:
        spec:
          remediationAction:
          severity:
          namespaceSelector:
            exclude:
            include:
            matchLabels:
            matchExpressions:
          object-templates:
            - complianceType:
              objectDefinition:
                kind: RoleBinding # role binding must exist
                apiVersion: rbac.authorization.k8s.io/v1
                metadata:
                  name:
                subjects:
                - kind:
                  name:
                  apiGroup:
                roleRef:
                  kind:
                  name:
                  apiGroup:
                ...
Copy to Clipboard Toggle word wrap

4.7.2. 角色绑定策略表
复制链接

Expand
字段可选或必需的描述

apiVersion

必填

将值设置为 policy.open-cluster-management.io/v1

kind

必填

将值设为 Policy 以表示策略类型。

metadata.name

必填

用于标识策略资源的名称。

metadata.namespace

必填

策略的命名空间。

spec.remediationAction

选填

指定您的策略的修复。参数值是 enforceinform。这个值是可选的,因为它会覆盖 spec.policy-templates 中提供的任何值。

spec.disabled

必填

将值设为 truefalsedisabled 参数提供启用和禁用策略的功能。

spec.policy-templates[].objectDefinition

必填

用于列出包含必须接受评估或应用到受管集群的 Kubernetes 对象的配置策略。

4.7.3. 角色绑定策略示例
复制链接

有关策略 YAML 结构和其他字段的完整描述,请参阅 Hub 集群策略框架。请参阅 Kubernetes 配置策略控制器文档,以了解其他配置策略。

4.8. 安全性上下文约束策略
复制链接

Kubernetes 配置策略控制器负责监控安全性上下文约束 (SCC) 策略的状态。应用安全性上下文约束 (SCC) 策略,通过在策略中定义条件来控制 Pod 的权限。

在以下部分了解更多有关 SCC 策略的详细信息:

4.8.1. SCC 策略 YAML 结构
复制链接

apiVersion: policy.open-cluster-management.io/v1
kind: Policy
metadata:
  name:
  namespace:
  annotations:
    policy.open-cluster-management.io/standards:
    policy.open-cluster-management.io/categories:
    policy.open-cluster-management.io/controls:
    policy.open-cluster-management.io/description:
spec:
  remediationAction:
  disabled:
  policy-templates:
    - objectDefinition:
        apiVersion: policy.open-cluster-management.io/v1
        kind: ConfigurationPolicy
        metadata:
          name:
        spec:
          remediationAction:
          severity:
          namespaceSelector:
            exclude:
            include:
            matchLabels:
            matchExpressions:
          object-templates:
            - complianceType:
              objectDefinition:
                apiVersion: security.openshift.io/v1
                kind: SecurityContextConstraints
                metadata:
                  name:
                allowHostDirVolumePlugin:
                allowHostIPC:
                allowHostNetwork:
                allowHostPID:
                allowHostPorts:
                allowPrivilegeEscalation:
                allowPrivilegedContainer:
                fsGroup:
                readOnlyRootFilesystem:
                requiredDropCapabilities:
                runAsUser:
                seLinuxContext:
                supplementalGroups:
                users:
                volumes:
                ...
Copy to Clipboard Toggle word wrap

4.8.2. SCC 策略表
复制链接

Expand
字段可选或必需的描述

apiVersion

必填

将值设置为 policy.open-cluster-management.io/v1

kind

必填

将值设为 Policy 以表示策略类型。

metadata.name

必填

用于标识策略资源的名称。

metadata.namespace

必填

策略的命名空间。

spec.remediationAction

选填

指定您的策略的修复。参数值是 enforceinform。这个值是可选的,因为它会覆盖 spec.policy-templates 中提供的任何值。

spec.disabled

必填

将值设为 truefalsedisabled 参数提供启用和禁用策略的功能。

spec.policy-templates[].objectDefinition

必填

用于列出包含必须接受评估或应用到受管集群的 Kubernetes 对象的配置策略。

有关 SCC 策略内容的解释,请参阅 OpenShift Container Platform 文档中的管理安全性上下文约束

4.8.3. SCC 策略示例
复制链接

应用安全性上下文约束 (SCC) 策略,通过在策略中定义条件来控制 Pod 的权限。如需更多信息,请参阅管理安全性上下文约束

请参阅 policy-scc.yaml 查看策略示例。有关策略 YAML 结构和其他字段的完整描述,请参阅 Hub 集群策略框架 文档。请参阅 Kubernetes 配置策略控制器文档,以了解其他配置策略。

4.9. ETCD 加密策略
复制链接

应用 etcd-encryption 策略,在 ETCD 数据存储中检测或启用敏感数据的加密。Kubernetes 配置策略控制器负责监控 etcd-encryption 策略的状态。如需更多信息,请参阅 OpenShift Container Platform 文档中的加密 etcd 数据。 :ETCD 加密策略只支持 Red Hat OpenShift Container Platform 4 及更新的版本。

在以下部分了解更多有关 etcd-encryption 策略结构的详细信息:

4.9.1. ETCD 加密策略 YAML 结构
复制链接

etcd-encryption 策略可能类似以下 YAML 文件: 

apiVersion: policy.open-cluster-management.io/v1
kind: Policy
metadata:
  name:
  namespace:
  annotations:
    policy.open-cluster-management.io/standards:
    policy.open-cluster-management.io/categories:
    policy.open-cluster-management.io/controls:
    policy.open-cluster-management.io/description:
spec:
  remediationAction:
  disabled:
  policy-templates:
    - objectDefinition:
        apiVersion: policy.open-cluster-management.io/v1
        kind: ConfigurationPolicy
        metadata:
          name:
        spec:
          remediationAction:
          severity:
          object-templates:
            - complianceType:
              objectDefinition:
                apiVersion: config.openshift.io/v1
                kind: APIServer
                metadata:
                  name:
                spec:
                  encryption:
                ...
Copy to Clipboard Toggle word wrap

4.9.2. ETCD 加密策略表
复制链接

Expand
表 4.6. 参数表
字段可选或必需的描述

apiVersion

必填

将值设置为 policy.open-cluster-management.io/v1

kind

必填

将值设为 Policy 以表示策略类型。

metadata.name

必填

用于标识策略资源的名称。

metadata.namespace

必填

策略的命名空间。

spec.remediationAction

选填

指定您的策略的修复。参数值是 enforceinform。这个值是可选的,因为它会覆盖 spec.policy-templates 中提供的任何值。

spec.disabled

必填

将值设为 truefalsedisabled 参数提供启用和禁用策略的功能。

spec.policy-templates[].objectDefinition

必填

用于列出包含必须接受评估或应用到受管集群的 Kubernetes 对象的配置策略。

4.9.3. ETCD 加密策略示例
复制链接

请参阅 Hub 集群策略框架 文档和 Kubernetes 配置策略控制器,以查看策略和配置策略字段的更多详情。

4.10. Compliance operator 策略
复制链接

您可以使用 Compliance Operator 自动检查许多技术实施,并将这些技术与行业标准、基准和基准的某些方面进行比较。Compliance Operator 不是一个审核员。为了遵循这些各种标准,您需要与授权的审核员(如限定安全评估器(QSA)、联合授权授权局(JAB)或其他行业认可的监管机构)合作来评估您的环境。

从 Compliance Operator 生成的建议基于通常可用的信息和实践有关这些标准的信息和实践,并可能会协助您进行补救,但实际合规会负责。与授权审核员合作以实现符合标准。

有关最新更新,请参阅 Compliance Operator 发行注记

4.10.1. Compliance Operator 策略概述
复制链接

您可以使用合规 operator 策略在受管集群上安装合规 Operator。compliance operator 策略在 Red Hat Advanced Cluster Management 中作为 Kubernetes 配置策略创建。OpenShift Container Platform 支持 compliance operator 策略。

注: Compliance operator 策略依赖于 OpenShift Container Platform Compliance Operator,它不受 IBM Power 或 IBM Z 架构的支持。如需有关 Compliance Operator 的更多信息,请参阅 OpenShift Container Platform 文档中的了解 Compliance Operator。

4.10.2. Compliance operator 资源
复制链接

创建合规 Operator 策略时,会创建以下资源:

  • Operator 安装的合规性 operator 命名空间(openshift- compliance): 
apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: comp-operator-ns
spec:
  remediationAction: inform # will be overridden by remediationAction in parent policy
  severity: high
  object-templates:
    - complianceType: musthave
      objectDefinition:
        apiVersion: v1
        kind: Namespace
        metadata:
          name: openshift-compliance
Copy to Clipboard Toggle word wrap
  • 用于指定目标命名空间的 operator 组(compliance-operator): 
apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: comp-operator-operator-group
spec:
  remediationAction: inform # will be overridden by remediationAction in parent policy
  severity: high
  object-templates:
    - complianceType: musthave
      objectDefinition:
        apiVersion: operators.coreos.com/v1
        kind: OperatorGroup
        metadata:
          name: compliance-operator
          namespace: openshift-compliance
        spec:
          targetNamespaces:
            - openshift-compliance
Copy to Clipboard Toggle word wrap
  • 用于引用名称和频道的订阅(comp-operator-subscription)。订阅会拉取配置集作为一个容器,它支持:请参阅以下示例,使用当前版本替换 4.x
apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: comp-operator-subscription
spec:
  remediationAction: inform  # will be overridden by remediationAction in parent policy
  severity: high
  object-templates:
    - complianceType: musthave
      objectDefinition:
        apiVersion: operators.coreos.com/v1alpha1
        kind: Subscription
        metadata:
          name: compliance-operator
          namespace: openshift-compliance
        spec:
          channel: "4.x"
          installPlanApproval: Automatic
          name: compliance-operator
          source: redhat-operators
          sourceNamespace: openshift-marketplace
Copy to Clipboard Toggle word wrap

安装 compliance operator 策略后,会创建以下 pod:compliance-operatorocp4rhcos4

4.10.3. 其他资源
复制链接

  • 如需更多信息,请参阅 OpenShift Container Platform 文档中的 了解 Compliance Operator 部分以了解更多详细信息。
  • 安装 compliance Operator 后,您还可以创建并应用 E8 扫描策略和 OpenShift CIS 扫描策略。如需更多信息,请参阅 E8 扫描策略OpenShift CIS 扫描策略
  • 要了解如何管理合规 Operator 策略,请参阅管理安全策略以了解更多详细信息。有关配置策略的更多主题,请参阅 Kubernetes 配置策略控制器。

4.11. E8 扫描策略
复制链接

一个 Essential 8(E8)扫描策略会部署一个扫描,检查 master 和 worker 节点是否满足 E8 安全配置集。您必须安装 Compliance Operator 以应用 E8 扫描策略。

E8 扫描策略在 Red Hat Advanced Cluster Management 中作为 Kubernetes 配置策略创建。OpenShift Container Platform 支持 E8 扫描策略。如需更多信息,请参阅 OpenShift Container Platform 文档中的 了解 Compliance Operator 部分以了解更多详细信息。

4.11.1. E8 扫描策略资源
复制链接

当您创建 E8 扫描策略时,会创建以下资源:

  • ScanSettingBinding 资源 (e8) 用于识别要扫描的配置集: 

    apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: compliance-suite-e8
spec:
  remediationAction: inform
  severity: high
  object-templates:
    - complianceType: musthave # this template checks if scan has completed by checking the status field
      objectDefinition:
        apiVersion: compliance.openshift.io/v1alpha1
        kind: ScanSettingBinding
        metadata:
          name: e8
          namespace: openshift-compliance
        profiles:
        - apiGroup: compliance.openshift.io/v1alpha1
          kind: Profile
          name: ocp4-e8
        - apiGroup: compliance.openshift.io/v1alpha1
          kind: Profile
          name: rhcos4-e8
        settingsRef:
          apiGroup: compliance.openshift.io/v1alpha1
          kind: ScanSetting
          name: default
    Copy to Clipboard Toggle word wrap

  • 一个 ComplianceSuite 资源 (compliance-suite-e8),用于通过检查 status 字段来验证扫描是否已完成: 

    apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: compliance-suite-e8
spec:
  remediationAction: inform
  severity: high
  object-templates:
    - complianceType: musthave # this template checks if scan has completed by checking the status field
      objectDefinition:
        apiVersion: compliance.openshift.io/v1alpha1
        kind: ComplianceSuite
        metadata:
          name: e8
          namespace: openshift-compliance
        status:
          phase: DONE
    Copy to Clipboard Toggle word wrap

  • 一个 ComplianceCheckResult 资源 (compliance-suite-e8-results),它通过检查 ComplianceCheckResult 自定义资源 (CR) 来报告扫描套件的结果: 

    apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: compliance-suite-e8-results
spec:
  remediationAction: inform
  severity: high
  object-templates:
    - complianceType: mustnothave # this template reports the results for scan suite: e8 by looking at ComplianceCheckResult CRs
      objectDefinition:
        apiVersion: compliance.openshift.io/v1alpha1
        kind: ComplianceCheckResult
        metadata:
          namespace: openshift-compliance
          labels:
            compliance.openshift.io/check-status: FAIL
            compliance.openshift.io/suite: e8
    Copy to Clipboard Toggle word wrap

注: 支持自动补救。将补救操作设置为 enforce 以创建 ScanSettingBinding 资源。

如需更多信息,请参阅管理安全策略注: 删除 E8 策略后,它会从目标集群或集群中移除。

4.12. OpenShift CIS 扫描策略
复制链接

OpenShift CIS 扫描策略会部署一个扫描来检查 master 和 worker 节点是否与 OpenShift CIS 安全基准相符。您必须安装 Compliance operator 以应用 OpenShift CIS 策略。

OpenShift CIS 扫描策略在 Red Hat Advanced Cluster Management 中作为 Kubernetes 配置策略创建。OpenShift Container Platform 支持 OpenShift CIS 扫描策略。如需更多信息,请参阅 OpenShift Container Platform 文档中的 了解 Compliance Operator 部分以了解更多详细信息。

4.12.1. OpenShift CIS 资源
复制链接

创建 OpenShift CIS 扫描策略时,会创建以下资源:

  • 用于识别要扫描的配置集的 ScanSettingBinding 资源 (cis): 

    apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: compliance-cis-scan
spec:
  remediationAction: inform
  severity: high
  object-templates:
    - complianceType: musthave # this template creates ScanSettingBinding:cis
      objectDefinition:
        apiVersion: compliance.openshift.io/v1alpha1
        kind: ScanSettingBinding
        metadata:
          name: cis
          namespace: openshift-compliance
        profiles:
        - apiGroup: compliance.openshift.io/v1alpha1
          kind: Profile
          name: ocp4-cis
        - apiGroup: compliance.openshift.io/v1alpha1
          kind: Profile
          name: ocp4-cis-node
        settingsRef:
          apiGroup: compliance.openshift.io/v1alpha1
          kind: ScanSetting
          name: default
    Copy to Clipboard Toggle word wrap

  • 一个 ComplianceSuite 资源 (compliance-suite-cis),用于通过检查 status 字段来验证扫描是否已完成: 

    apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: compliance-suite-cis
spec:
  remediationAction: inform
  severity: high
  object-templates:
    - complianceType: musthave # this template checks if scan has completed by checking the status field
      objectDefinition:
        apiVersion: compliance.openshift.io/v1alpha1
        kind: ComplianceSuite
        metadata:
          name: cis
          namespace: openshift-compliance
        status:
          phase: DONE
    Copy to Clipboard Toggle word wrap

  • 一个 ComplianceCheckResult 资源 (compliance-suite-cis-results),它通过检查 ComplianceCheckResult 自定义资源 (CR) 来报告扫描套件的结果: 

    apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: compliance-suite-cis-results
spec:
  remediationAction: inform
  severity: high
  object-templates:
    - complianceType: mustnothave # this template reports the results for scan suite: cis by looking at ComplianceCheckResult CRs
      objectDefinition:
        apiVersion: compliance.openshift.io/v1alpha1
        kind: ComplianceCheckResult
        metadata:
          namespace: openshift-compliance
          labels:
            compliance.openshift.io/check-status: FAIL
            compliance.openshift.io/suite: cis
    Copy to Clipboard Toggle word wrap

有关创建策略的更多信息,请参阅管理安全策略

4.13. 镜像漏洞策略
复制链接

应用镜像漏洞策略,以利用 Container Security Operator 来检测容器镜像是否有漏洞。如果没有安装 Container Security Operator,该策略会在受管集群上安装它。

镜像漏洞策略由 Kubernetes 配置策略控制器负责检查。有关 Security Operator 的更多信息,请参阅 Quay 存储库中的 Container Security Operator

备注:

查看以下部分以了解更多信息:

4.13.1. 镜像漏洞策略 YAML 结构
复制链接

在创建容器安全 Operator 策略时,它会涉及以下策略:

  • 创建订阅的策略 (container-security-operator) 来引用名称和频道。此配置策略必须将 spec.remediationAction 设置为 enforce 来创建资源。订阅会拉取配置集,作为订阅支持的容器。查看以下示例: 

    apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: policy-imagemanifestvuln-example-sub
spec:
  remediationAction: enforce  # will be overridden by remediationAction in parent policy
  severity: high
  object-templates:
    - complianceType: musthave
      objectDefinition:
        apiVersion: operators.coreos.com/v1alpha1
        kind: Subscription
        metadata:
          name: container-security-operator
          namespace: openshift-operators
        spec:
          channel: quay-v3.3 # specify a specific channel if desired
          installPlanApproval: Automatic
          name: container-security-operator
          source: redhat-operators
          sourceNamespace: openshift-marketplace
    Copy to Clipboard Toggle word wrap

  • 一个 inform 配置策略来审核 ClusterServiceVersion,以确保容器安全 Operator 安装成功。查看以下示例: 

    apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: policy-imagemanifestvuln-status
spec:
  remediationAction: inform  # will be overridden by remediationAction in parent policy
  severity: high
  object-templates:
    - complianceType: musthave
      objectDefinition:
        apiVersion: operators.coreos.com/v1alpha1
        kind: ClusterServiceVersion
        metadata:
          namespace: openshift-operators
        spec:
          displayName: Red Hat Quay Container Security Operator
        status:
          phase: Succeeded   # check the CSV status to determine if operator is running or not
    Copy to Clipboard Toggle word wrap

  • 一个 inform 配置策略,用于审核镜像漏洞扫描创建的任何 ImageManifestVuln 对象。查看以下示例: 

    apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: policy-imagemanifestvuln-example-imv
spec:
  remediationAction: inform  # will be overridden by remediationAction in parent policy
  severity: high
  namespaceSelector:
    exclude: ["kube-*"]
    include: ["*"]
  object-templates:
    - complianceType: mustnothave # mustnothave any ImageManifestVuln object
      objectDefinition:
        apiVersion: secscan.quay.redhat.com/v1alpha1
        kind: ImageManifestVuln # checking for a Kind
    Copy to Clipboard Toggle word wrap

4.13.2. 镜像漏洞策略示例
复制链接

如需更多信息,请参阅:

4.14. Red Hat OpenShift Platform Plus 策略集
复制链接

配置并应用 OpenShift Platform Plus 策略集 (openshift-plus) 来安装 Red Hat OpenShift Platform Plus。

OpenShift Platform Plus 策略集包含两个部署的 PolicySets。OpenShift Plus 策略集应用设置为安装 OpenShift Platform Plus 产品的多个策略。Red Hat Advanced Cluster Security 安全集群服务和 Compliance Operator 部署到所有 OpenShift Container Platform 受管集群。

4.14.1. 先决条件
复制链接

  • 在 Amazon Web Services (AWS)环境上安装 Red Hat OpenShift Container Platform。
  • Red Hat Advanced Cluster Management for Kubernetes 可以:
  • 安装策略生成器 Kustomize 插件。如需更多信息,请参阅策略生成器文档。

4.14.2. OpenShift Platform Plus 策略设置组件
复制链接

当您将策略设置为 hub 集群时,会安装以下 OpenShift Platform Plus 组件:

Expand
表 4.7. 组件表
组件策略描述

Red Hat Advanced Cluster Security

policy-acs-central-ca-bundle

用于将中央服务器安装到 Red Hat Advanced Cluster Management for Kubernetes hub 集群和受管集群的策略。

policy-acs-central-status

用于接收 Red Hat Advanced Cluster Security 状态的部署。

policy-acs-operator-central

配置 Red Hat Advanced Cluster Security central operator。

policy-acs-sync-resources

用于验证 Red Hat Advanced Cluster Security 资源是否已创建的策略。

OpenShift Container Platform

policy-advanced-managed-cluster-status

受管 hub 集群。受管集群的管理器。

Compliance operator

policy-compliance-operator-install

用于安装 Compliance operator 的策略。

Red Hat Quay

policy-config-quay

Red Hat Quay 的配置策略。

policy-install-quay

用于安装 Red Hat Quay 的策略。

policy-quay-status

安装到 Red Hat Advanced Cluster Management hub 集群中。

Red Hat Advanced Cluster Management

policy-ocm-observability

设置 Red Hat Advanced Cluster Management observability 服务。

Red Hat OpenShift Data Platform

policy-odf

Red Hat Advanced Cluster Management observability 和 Quay 使用的 hub 集群组件的可用存储。

policy-odf-status

用于配置 Red Hat OpenShift Data Platform 状态的策略。

4.14.3. 其他资源
复制链接

4.15. 管理安全策略
复制链接

创建一个安全策略,根据您指定的安全标准、类别和控制,报告并验证您的集群合规性。

查看以下部分:

4.15.1. 创建安全策略
复制链接

您可以从命令行或控制台创建安全策略。

需要的访问权限:集群管理员

重要 :您必须定义放置和放置绑定,才能将策略应用到特定集群。PlacementBinding 资源绑定放置。为 cluster Label selector 字段输入有效值,以定义 PlacementPlacementBinding 资源。* 要使用 放置资源ManagedClusterSet 资源必须绑定到带有 ManagedClusterSetBinding 资源的 Placement 资源的命名空间。如需了解更多详细信息 ,请参阅创建 ManagedClusterSetBinding 资源

4.15.1.1. 使用命令行界面创建安全策略
复制链接

完成以下步骤以从命令行创建策略:

  1. 运行以下命令来创建策略: 

    oc create -f policy.yaml -n <policy-namespace>
    Copy to Clipboard Toggle word wrap

  2. 定义策略使用的模板。通过添加 policy-templates 字段来定义模板来编辑 YAML 文件。您的策略可能类似以下 YAML 文件: 

    apiVersion: policy.open-cluster-management.io/v1
kind: Policy
metadata:
  name: policy1
spec:
  remediationAction: "enforce" # or inform
  disabled: false # or true
  namespaceSelector:
    include:
    - "default"
    - "my-namespace"
  policy-templates:
    - objectDefinition:
        apiVersion: policy.open-cluster-management.io/v1
        kind: ConfigurationPolicy
        metadata:
          name: operator
          # namespace: # will be supplied by the controller via the namespaceSelector
        spec:
          remediationAction: "inform"
          object-templates:
          - complianceType: "musthave" # at this level, it means the role must exist and must have the following rules
            apiVersion: rbac.authorization.k8s.io/v1
            kind: Role
            metadata:
              name: example
            objectDefinition:
              rules:
                - complianceType: "musthave" # at this level, it means if the role exists the rule is a musthave
                  apiGroups: ["extensions", "apps"]
                  resources: ["deployments"]
                  verbs: ["get", "list", "watch", "create", "delete","patch"]
    Copy to Clipboard Toggle word wrap

  3. 定义一个 PlacementBinding 资源,将您的策略绑定到 放置资源。您的 PlacementBinding 资源可能类似以下 YAML 示例: 

    apiVersion: policy.open-cluster-management.io/v1
kind: PlacementBinding
metadata:
  name: binding1
placementRef:
  name: placement1
  apiGroup: cluster.open-cluster-management.io
  kind: Placement
subjects:
- name: policy1
  apiGroup: policy.open-cluster-management.io
  kind: Policy
    Copy to Clipboard Toggle word wrap
4.15.1.1.1. 从命令行查看您的安全策略
复制链接

完成以下步骤,通过 CLI 查看您的安全策略:

  1. 运行以下命令,查看具体安全策略的详情: 

    oc get policies.policy.open-cluster-management.io <policy-name> -n <policy-namespace> -o yaml
    Copy to Clipboard Toggle word wrap

  2. 运行以下命令,查看您的安全策略的描述: 

    oc describe policies.policy.open-cluster-management.io <policy-name> -n <policy-namespace>
    Copy to Clipboard Toggle word wrap
4.15.1.2. 从控制台创建集群安全策略
复制链接

登录到 Red Hat Advanced Cluster Management 后,进入 Governance 页面并点 Create policy。从控制台创建新策略时,也会在 YAML 编辑器中创建 YAML 文件。要查看 YAML 编辑器,请在 Create policy 表单的开头选择切换来启用它。

  1. 完成 Create policy 表单,然后选择 提交按钮。您的 YAML 文件可能类似以下策略: 

    apiVersion: policy.open-cluster-management.io/v1
kind: Policy
metadata:
  name: policy-pod
  annotations:
    policy.open-cluster-management.io/categories: 'SystemAndCommunicationsProtections,SystemAndInformationIntegrity'
    policy.open-cluster-management.io/controls: 'control example'
    policy.open-cluster-management.io/standards: 'NIST,HIPAA'
    policy.open-cluster-management.io/description:
spec:
  complianceType: musthave
  namespaces:
    exclude: ["kube*"]
    include: ["default"]
    pruneObjectBehavior: None
  object-templates:
  - complianceType: musthave
    objectDefinition:
      apiVersion: v1
      kind: Pod
      metadata:
        name: pod1
      spec:
        containers:
        - name: pod-name
          image: 'pod-image'
          ports:
          - containerPort: 80
  remediationAction: enforce
  disabled: false
    Copy to Clipboard Toggle word wrap

    请参阅以下 PlacementBinding 示例: 

    apiVersion: policy.open-cluster-management.io/v1
kind: PlacementBinding
metadata:
  name: binding-pod
placementRef:
  name: placement-pod
  kind: Placement
  apiGroup: cluster.open-cluster-management.io
subjects:
- name: policy-pod
  kind: Policy
  apiGroup: policy.open-cluster-management.io
    Copy to Clipboard Toggle word wrap

    请参阅以下 放置 示例: 

    apiVersion: cluster.open-cluster-management.io/v1beta1
 kind: Placement
 metadata:
   name: placement-pod
spec:
  predicates:
  - requiredClusterSelector:
      labelSelector:
        matchLabels:
          cloud: "IBM"
    tolerations:
        - key: cluster.open-cluster-management.io/unavailable
          operator: Exists
        - key: cluster.open-cluster-management.io/unreachable
          operator: Exists
    Copy to Clipboard Toggle word wrap
  2. 可选: 为您的策略添加描述。
  3. 点击 Create Policy。从控制台创建了安全策略。
4.15.1.2.1. 从控制台查看您的安全策略
复制链接

在控制台中查看任何安全策略及其状态。

  1. 进入 Governance 页面,以查看您的策略的表列表。注: 您可以选择 Policies 标签页或 Cluster violations 选项卡来过滤策略列表。
  2. 选择一个策略来查看更多详情。此时会显示 DetailsClustersTemplates 标签页。当无法决定集群或策略状态时,会显示以下信息: No status
  3. 或者,选择 Policies 选项卡来查看策略列表。展开一个策略行,以查看 Description,Standards,Controls, 和 Categories 详情。
4.15.1.3. 从命令行创建策略集
复制链接

默认情况下,策略集是在没有策略或放置的情况下创建的。您必须为策略集合创建放置,并至少有一个策略存在于集群中。在创建策略集时,您可以添加多个策略。

运行以下命令从命令行创建策略集: 

oc apply -f <policyset-filename>
Copy to Clipboard Toggle word wrap
4.15.1.4. 从控制台创建策略集
复制链接
  1. 在导航菜单中选择 Governance
  2. 选择 Policy set 选项卡。
  3. 选择 Create policy set 按钮并完成表单。
  4. 添加您的策略集的详细信息,然后选择 Submit 按钮。

您的策略从 policy 表中列出。

4.15.2. 更新安全策略
复制链接

了解如何更新安全策略。

4.15.2.1. 从命令行将策略添加到策略集
复制链接

  1. 运行以下命令来编辑您的策略集: 

    oc edit policysets <your-policyset-name>
    Copy to Clipboard Toggle word wrap
  2. 将策略名称添加到策略集的 policies 部分的列表中。
  3. 使用以下命令在策略集的 placement 部分中应用添加的策略: 
oc apply -f <your-added-policy.yaml>
Copy to Clipboard Toggle word wrap

PlacementBindingPlacement 都被创建。

注: 如果您删除放置绑定,策略仍会由策略集放置。

4.15.2.2. 从控制台在策略集中添加策略
复制链接
  1. 选择 Policy set 选项卡,在策略集中添加一个策略。
  2. 选择 Actions 图标并选择 Edit。此时会出现 Edit policy set 表单。
  3. 进入到表单的 Policies 部分,以选择要添加到策略集的策略。
4.15.2.3. 禁用安全策略
复制链接

您的策略默认是启用的。从控制台禁用您的策略。

登录到 Red Hat Advanced Cluster Management for Kubernetes 控制台后,进入 Governance 页面来查看您的策略的表列表。

选择 Actions 图标 > Disable policy。此时会出现 Disable Policy 对话框。

点击 Disable policy。您的策略已禁用。

4.15.3. 删除安全策略
复制链接

从命令行或控制台删除安全策略。

使用以下步骤从命令行删除:

  1. 运行以下命令来删除安全策略: 

    oc delete policies.policy.open-cluster-management.io <policy-name> -n <policy-namespace>
    Copy to Clipboard Toggle word wrap
  2. 运行以下命令验证您的策略是否已移除:oc get policies.policy.open-cluster-management.io <policy-name> -n <policy-namespace>

使用以下步骤从控制台删除安全策略。

  1. 在导航菜单中点 Governance 来查看您的策略的表列表。
  2. 在策略违反表中点击您要删除的策略的 Actions 图标。
  3. 点击 Remove
  4. Remove policy 对话框中点击 Remove policy
4.15.3.1. 从控制台创建策略集
复制链接
  1. Policy set 选项卡中,选择策略集的 Actions 图标。当您单击 Delete 时,会出现 Permanently delete Policyset? 对话框。
  2. 点击 Delete 按钮。

4.15.4. 清理由策略创建的资源
复制链接

在配置策略中使用 pruneObjectBehavior 参数来清理策略创建的资源。当设置 pruneObjectBehavior 时,仅在删除与其关联的配置策略(或父策略)后,才会清理相关的对象。

查看可用于参数的值的以下描述:

  • DeleteIfCreated :清理策略创建的所有资源。
  • DeleteAll :清理策略管理的所有资源。
  • None:这是默认值,维护之前版本中的相同行为,但没有删除相关资源。

您可以在命令行中创建策略时,直接在 YAML 文件中设置值。

在控制台中,您可以在 Policy 模板 步骤的 Prune Object Behavior 部分中选择值。

备注:

  • 如果安装 Operator 的策略定义了 pruneObjectBehavior 参数,则需要额外的清理来完成 Operator 卸载。您可能需要在这个清理过程中删除 operator ClusterServiceVersion 对象。
  • 当您在受管集群中禁用 config-policy-addon 资源时,会忽略 pruneObjbectBehavior。要在策略上自动清理相关资源,您必须在禁用附加组件前从受管集群中删除策略。

4.15.5. 策略命令行工具
复制链接

使用policytools命令行工具,您可以本地与策略交互以帮助创建和调试。可以从中心集群控制台下载policytools命令行工具。请参阅命令行工具

template-resolver

template-resolverpolicytools 的子命令,用于解析嵌入策略中的受管集群和 hub 集群模板。template-resolver 从文件或标准输入中读取。

要使用 hub 集群模板解析策略,您必须使用导入到 Red Hat Advanced Cluster Management 的受管集群的名称提供 --cluster -name 参数,您必须提供 --hub-kubeconfig 参数,并带有引用 hub 集群的 kubeconfig 文件的路径。

如果输入策略使用.ObjectName.ObjectNamespace模板变量,则需要使用--object-name--object-namespace参数设置值。

template-resolver子命令连接到受管集群和中心集群以检索解析模板所需的信息。使用--save-resources--save-hub-resources参数提供路径来保存模板解析器检索到的资源。这些保存的文件可以用作dryrun子命令的输入。

DryRun

dryrunpolicytools的一个子命令,它通过使用集群状态的静态输入资源在本地评估ConfigurationPolicy资源。

要运行策略,请使用--policy标志将路径添加到ConfigurationPolicy YAML。您可以提供额外的资源 YAML 文件,用作当前集群状态。例如,如果您的策略为命名空间定义了特定配置,请提供当前命名空间状态以查看该策略的作用。多个资源可以位于同一个资源文件中。

默认情况下, dryrun会打印策略中定义的对象的期望状态与这些资源的当前状态之间的差异,以及ConfigurationPolicy创建的合规性消息。要将合规消息保存到单独的文件,请使用--messages-path参数。要保存完整的策略状态(包括有关相关对象的其他信息),请使用--status-path参数。

如果根据输入,策略不符合要求,则该工具返回非零退出代码。要将结果状态与已知状态进行比较,请使用--desired-status参数。例如,要验证策略是否报告缺少的资源,请在.relatedObjects列表中提供一个包含缺少的资源的 YAML 文件。要验证该策略是否为NonCompliant ,请创建一个包含compliant: NonCompliant行的 YAML 文件。

4.15.6. 其他资源
复制链接

4.15.7. 在断开连接的环境中管理 Operator 策略
复制链接

您可能需要在没有连接到互联网(断开连接)的 Red Hat OpenShift Container Platform 集群上部署 Red Hat Advanced Cluster Management for Kubernetes 策略。如果您使用您部署的策略来部署安装 Operator Lifecycle Manager Operator 的策略,您必须按照以下步骤 镜像 Operator 目录

完成以下步骤以验证对 Operator 镜像的访问:

  1. 请参阅验证所需软件包可用来验证您与策略一起使用的软件包是否可用。您必须验证由以下策略部署到的任何受管集群使用的每个镜像 registry 的可用性:

    • container-security-operator
    • 已弃用: gatekeeper-operator-product
    • compliance-operator

  2. 请参阅配置镜像内容源策略以验证源是否可用。镜像内容源策略必须存在于每个断开连接的受管集群中,并可使用策略进行部署以简化流程。请参阅以下镜像源位置表:

    Expand
    监管策略类型镜像源位置

    容器安全性

    registry.redhat.io/quay

    Compliance

    registry.redhat.io/compliance

    Gatekeeper

    registry.redhat.io/rhacm2

继续阅读以获取应用 Red Hat Openshift Platform Plus 策略集的指导。应用 Red Hat OpenShift 策略集时,Red Hat Advanced Cluster Security secured 集群服务和 Compliance Operator 部署到所有 OpenShift Container Platform 受管集群。

4.15.8.1. 先决条件
复制链接

应用策略集前完成以下步骤:

  1. 要允许将订阅应用到集群,您必须应用 policy-configure-subscription-admin-hub.yaml 策略,并将补救操作设置为 enforce。将以下 YAML 复制并粘贴到控制台的 YAML 编辑器中: 

    apiVersion: policy.open-cluster-management.io/v1
kind: Policy
metadata:
  name: policy-configure-subscription-admin-hub
  annotations:
    policy.open-cluster-management.io/standards: NIST SP 800-53
    policy.open-cluster-management.io/categories: CM Configuration Management
    policy.open-cluster-management.io/controls: CM-2 Baseline Configuration
spec:
  remediationAction: inform
  disabled: false
  policy-templates:
    - objectDefinition:
        apiVersion: policy.open-cluster-management.io/v1
        kind: ConfigurationPolicy
        metadata:
          name: policy-configure-subscription-admin-hub
        spec:
          remediationAction: inform
          severity: low
          object-templates:
            - complianceType: musthave
              objectDefinition:
                apiVersion: rbac.authorization.k8s.io/v1
                kind: ClusterRole
                metadata:
                  name: open-cluster-management:subscription-admin
                rules:
                - apiGroups:
                  - app.k8s.io
                  resources:
                  - applications
                  verbs:
                  - '*'
                - apiGroups:
                  - apps.open-cluster-management.io
                  resources:
                  - '*'
                  verbs:
                  - '*'
                - apiGroups:
                  - ""
                  resources:
                  - configmaps
                  - secrets
                  - namespaces
                  verbs:
                  - '*'
            - complianceType: musthave
              objectDefinition:
                apiVersion: rbac.authorization.k8s.io/v1
                kind: ClusterRoleBinding
                metadata:
                  name: open-cluster-management:subscription-admin
                roleRef:
                  apiGroup: rbac.authorization.k8s.io
                  kind: ClusterRole
                  name: open-cluster-management:subscription-admin
                subjects:
                - apiGroup: rbac.authorization.k8s.io
                  kind: User
                  name: kube:admin
                - apiGroup: rbac.authorization.k8s.io
                  kind: User
                  name: system:admin
---
apiVersion: policy.open-cluster-management.io/v1
kind: PlacementBinding
metadata:
  name: binding-policy-configure-subscription-admin-hub
placementRef:
  name: placement-policy-configure-subscription-admin-hub
  kind: Placement
  apiGroup: cluster.open-cluster-management.io
subjects:
- name: policy-configure-subscription-admin-hub
  kind: Policy
  apiGroup: policy.open-cluster-management.io
---
apiVersion: cluster.open-cluster-management.io/v1beta1
kind: Placement
metadata:
  name: placement-policy-configure-subscription-admin-hub
spec:
  predicates:
  - requiredClusterSelector:
      labelSelector:
        matchExpressions:
        - {key: name, operator: In, values: ["local-cluster"]}
    tolerations:
        - key: cluster.open-cluster-management.io/unavailable
          operator: Exists
        - key: cluster.open-cluster-management.io/unreachable
          operator: Exists
    Copy to Clipboard Toggle word wrap

  2. 要从命令行界面应用前面的 YAML,请运行以下命令: 

    oc apply -f policy-configure-subscription-admin-hub.yaml
    Copy to Clipboard Toggle word wrap
  3. 安装 Policy Generator kustomize 插件。使用 Kustomize v4.5 或更高版本。请参阅生成策略以安装 Operator

  4. 策略安装到 policies 命名空间。您必须将该命名空间绑定到 ClusterSet。例如,复制并应用以下示例 YAML 将命名空间绑定到默认的 ClusterSet

    apiVersion: cluster.open-cluster-management.io/v1beta2
kind: ManagedClusterSetBinding
metadata:
    name: default
    namespace: policies
spec:
    clusterSet: default
    Copy to Clipboard Toggle word wrap

  5. 运行以下命令以从命令行界面应用 ManagedClusterSetBinding 资源: 

    oc apply -f managed-cluster.yaml
    Copy to Clipboard Toggle word wrap

满足先决条件后,您可以应用策略集。

4.15.8.2. 应用 Red Hat OpenShift Platform Plus 策略集
复制链接
  1. 使用 openshift-plus/policyGenerator.yaml 文件,其中包含 Red Hat OpenShift Plus 的先决条件配置。

  2. 使用 kustomize 命令将策略应用到您的 hub 集群: 

    kustomize build --enable-alpha-plugins  | oc apply -f -
    Copy to Clipboard Toggle word wrap

    注: 对于您不想安装的 OpenShift Platform Plus 的任何组件,请编辑 policyGenerator.yaml 文件并删除或注释掉这些组件的策略。

4.15.8.3. 其他资源
复制链接

4.15.9. 使用 OperatorPolicy 资源安装 Operator
复制链接

要在受管集群上安装 Operator Lifecycle Manager (OLM)受管 Operator,请使用 Policy 定义中的 OperatorPolicy 策略模板。

4.15.9.1. 创建 OperatorPolicy 资源来安装 Quay
复制链接

请参阅以下 operator 策略示例,它使用 Red Hat operator 目录在 stable 频道中 安装最新的 Quay Operator: 

apiVersion: policy.open-cluster-management.io/v1
kind: Policy
metadata:
  name: install-quay
  namespace: open-cluster-management-global-set
spec:
  disabled: false
  policy-templates:
    - objectDefinition:
        apiVersion: policy.open-cluster-management.io/v1beta1
        kind: OperatorPolicy
        metadata:
          name: install-quay
        spec:
          remediationAction: enforce
          severity: critical
          complianceType: musthave
          upgradeApproval: None
          subscription:
            channel: <stable-version>
            name: quay-operator
            source: redhat-operators
            sourceNamespace: openshift-marketplace
Copy to Clipboard Toggle word wrap

添加 OperatorPolicy 策略模板后,会使用控制器在集群中创建 operatorGroupsubscription 对象。因此,其余安装由 OLM 完成。您可以查看受管集群中 OperatorPolicy 资源的 .status.Conditions.status.relatedObjects 字段中拥有的资源的健康状态。

要验证 Operator 策略状态,请在受管集群中运行以下命令: 

oc -n <managed cluster namespace> get operatorpolicy install-quay
Copy to Clipboard Toggle word wrap
4.15.9.2. 其他资源
复制链接

请参阅 Operator 策略控制器

第 5 章 Gatekeeper operator 概述
复制链接

Gatekeeper operator 安装 Gatekeeper,它是一个使用审计功能验证 Webhook。从 Operator Lifecycle Manager operator 目录在 Red Hat OpenShift Container Platform 集群上安装 Gatekeeper Operator。使用 Red Hat Advanced Cluster Management for Kubernetes,您可以使用 Gatekeeper operator 策略在 hub 集群上安装 Gatekeeper。安装 Gatekeeper 后,将其用于以下优点:

  • 使用 Red Hat Advanced Cluster Management 策略集成在受管集群中部署并检查 Gatekeeper ConstraintTemplates 和约束。
  • 强制基于 Kubernetes 自定义资源定义的策略,该策略与 Open Policy Agent (OPA)一起运行。
  • 使用 Gatekeeper 约束评估 Kubernetes API 的 Kubernetes 资源合规性请求。
  • 使用 OPA 作为策略引擎,并使用 Rego 作为策略语言。

先决条件: 您必须有一个 Red Hat Advanced Cluster Management for Kubernetes 或 Red Hat OpenShift Container Platform Plus 订阅,才能将 Gatekeeper 策略应用到集群。

如需了解更多有关使用 Gatekeeper operator 的信息,请参阅以下资源:

5.1. 常规支持
复制链接

要了解从 Gatekeeper operator 获得的支持,请参阅以下列表:

  • 支持 Gatekeeper operator 的当前版本、前面的版本以及这些版本的所有 z-stream 版本。
  • 获得之前和当前版本的维护支持和相关安全漏洞修复。
  • 支持所有接受标准支持的 Red Hat OpenShift Container Platform 版本。 : 在接受扩展支持的 OpenShift Container Platform 版本或版本上不支持 Gatekeeper operator。

要查看 Gatekeeper operator 的发行注记,请参阅 gatekeeper-operator-bundle

5.2. Operator 频道
复制链接

使用 Gatekeeper operator,您可以访问两种类型的频道来帮助您进行升级。这些频道是 stable 频道和 y-stream 版本 频道。

使用 stable 频道,您可以访问最新的可用版本,无论是 x-streamy-stream 还是 z-streamstable 频道包括最新的 y-stream 频道的最新版本。

使用 y-stream 版本 频道,您可以访问特定 y-stream 版本的所有 z-stream 版本。

5.3. 配置 Gatekeeper operator
复制链接

从 Operator Lifecycle Manager 目录安装 Gatekeeper Operator,以便在集群中安装 Gatekeeper。在 Red Hat Advanced Cluster Management 中,您可以使用策略来使用监管框架安装 Gatekeeper operator。安装 Gatekeeper operator 后,配置 Gatekeeper operator 自定义资源来安装 Gatekeeper。

5.3.1. 先决条件
复制链接

  • 需要的访问权限:集群管理员。
  • 通过完成OpenShift Container Platform 文档中的向集群添加操作员附加资源部分,了解如何使用操作员生命周期管理器 (OLM) 和 OperatorHub。

5.3.2. Gatekeeper 自定义资源示例
复制链接

Gatekeeper operator 自定义资源告诉 Gatekeeper Operator 在集群中启动 Gatekeeper 安装。要安装 Gatekeeper,请使用以下示例 YAML,其中包括示例和默认值: 

apiVersion: operator.gatekeeper.sh/v1alpha1
kind: Gatekeeper
metadata:
  name: gatekeeper
spec:
  audit:
    replicas: 1
    auditEventsInvolvedNamespace: Enabled
1 

    logLevel: DEBUG
    auditInterval: 10s
    constraintViolationLimit: 55
    auditFromCache: Enabled
    auditChunkSize: 66
    emitAuditEvents: Enabled
    containerArguments:
2 

    - name: ""
      value: ""
    resources:
      limits:
        cpu: 500m
        memory: 150Mi
      requests:
        cpu: 500m
        memory: 130Mi
  validatingWebhook: Enabled
  mutatingWebhook: Enabled
  webhook:
    replicas: 3
    emitAdmissionEvents: Enabled
    admissionEventsInvolvedNamespace: Enabled
3 

    disabledBuiltins:
     - http.send
    operations:
4 

     - "CREATE"
     - "UPDATE"
     - "CONNECT"
    failurePolicy: Fail
    containerArguments:
5 

    - name: ""
      value: ""
    resources:
      limits:
        cpu: 480m
        memory: 140Mi
      requests:
        cpu: 400m
        memory: 120Mi
  nodeSelector:
    region: "EMEA"
  affinity:
    podAffinity:
      requiredDuringSchedulingIgnoredDuringExecution:
        - labelSelector:
            matchLabels:
              auditKey: "auditValue"
          topologyKey: topology.kubernetes.io/zone
  tolerations:
    - key: "Example"
      operator: "Exists"
      effect: "NoSchedule"
  podAnnotations:
    some-annotation: "this is a test"
    other-annotation: "another test"
  config:
6 

    matches:
      - excludedNamespaces: ["test-*", "my-namespace"]
        processes: ["*"]
    disableDefaultMatches: false
7
Copy to Clipboard Toggle word wrap
1
对于版本 3.14 及之后的版本,启用 auditEventsInvolvedNamespace 参数来管理您要创建的命名空间审计事件。启用此参数时,Gatekeeper 控制器部署使用以下参数运行 :--audit-events-involved-namespace=true
3
对于版本 3.14 及之后的版本,启用 admissionEventsInvolvedNamespace 参数来管理您要创建的命名空间准入事件。当启用此参数时,Gatekeeper 控制器部署使用以下参数运行 :--admission-events-involved-namespace=true
4
对于版本 3.14 及更高版本,要管理 webhook 操作,请为 operations 参数使用以下值:" CREATE", "UPDATE" , "CONNECT", 和 "DELETE"
2 5
对于版本 3.17 及更高版本,请通过提供要传递给容器的参数名称和值列表来指定 containerArguments。从参数名称中省略前导短划线。省略的值被视为 true。如果之前由 operator 或来自其他字段的配置设置了参数,则您提供的参数将被忽略。请参阅以下拒绝列表且当前不支持的标记:
  • port
  • prometheus-port
  • health-addr
  • validating-webhook-configuration-name
  • mutating-webhook-configuration-name
  • disable-cert-rotation
  • client-cert-name
  • tls-min-version
6
使用 config 部分,将命名空间从特定进程中排除 hub 集群中所有约束。
7
disableDefaultMatches 参数是一个布尔值参数,它禁用附加 Gatekeeper operator 提供的默认 exempt 命名空间。默认 exempt 命名空间是 OpenShift Container Platform 或 Kubernetes 系统命名空间。默认情况下,此参数设为 false,以允许附加默认命名空间。

5.3.3. 为同步详情配置 auditFromCache
复制链接

对于版本 3.14 或更高版本,Gatekeeper operator 使用 auditFromCache 参数为审计配置公开 Gatekeeper operator 自定义资源中的设置,该参数默认是禁用的。配置 auditFromCache 参数,以从约束中收集资源。

当您将 auditFromCache 参数设置为 Automatic 时,Gatekeeper operator 会从约束中收集资源,并将这些资源插入到 Gatekeeper Config 资源中。如果资源不存在,则 Gatekeeper operator 会创建 Config 资源。

如果将 auditFromCache 参数设置为 Enabled,则需要使用对象手动将 Gatekeeper Config 资源设置为同步到缓存。如需更多信息,请参阅 Gatekeeper 文档中的配置审计

要为来自约束的资源集合配置 auditFromCache 参数,请完成以下步骤:

  1. Gatekeeper 资源中将 auditFromCache 设置为 Automatic。请参见以下示例: 

    apiVersion: operator.gatekeeper.sh/v1alpha1
kind: Gatekeeper
metadata:
  name: gatekeeper
spec:
  audit:
    replicas: 2
    logLevel: DEBUG
    auditFromCache: Automatic
    Copy to Clipboard Toggle word wrap

  2. 要验证资源是否已添加到您的 Config 资源中,请查看 syncOnly 参数部分是否已添加。运行以下命令: 

    oc get configs.config.gatekeeper.sh config -n openshift-gatekeeper-system
    Copy to Clipboard Toggle word wrap

    您的 Config 资源可能类似以下示例: 

    apiVersion: config.gatekeeper.sh/v1alpha1
kind: Config
metadata:
 name: config
 namespace: "openshift-gatekeeper-system"
spec:
 sync:
   syncOnly:
   - group: ""
     version: "v1"
     kind: "Namespace"
   - group: ""
     version: "v1"
     kind: "Pod"
    Copy to Clipboard Toggle word wrap

可选: 您可以运行以下命令来查看 Gatekeeper operator 自定义资源的描述信息: 

oc explain gatekeeper.spec.audit.auditFromCache
Copy to Clipboard Toggle word wrap

5.3.4. 其他资源
复制链接

5.4. 管理 Gatekeeper operator 安装策略
复制链接

使用 Red Hat Advanced Cluster Management 策略在受管集群上安装 Gatekeeper operator 和 Gatekeeper。

需要的访问权限: 集群管理员

要创建、查看和更新 Gatekeeper Operator 安装策略,请完成以下部分:

5.4.1. 使用 Gatekeeper operator 策略安装 Gatekeeper
复制链接

使用配置策略控制器来安装 Gatekeeper operator 策略。在安装过程中,Operator 组和订阅会拉取 gatekeeper operator 将其安装到受管集群中。然后,策略会创建一个 Gatekeeper 自定义资源来配置 Gatekeeper。

Red Hat Advanced Cluster Management 配置策略控制器检查 Gatekeeper operator 策略,并支持 enforce 补救操作。当您将控制器设置为 强制 时,它会在受管集群上自动创建 Gatekeeper operator 对象。

5.4.2. 从控制台创建 Gatekeeper 策略
复制链接

从控制台创建 Gatekeeper 策略时,您必须将补救 enforce 设置为安装 Gatekeeper。

5.4.2.1. 查看 Gatekeeper operator 策略
复制链接

要在控制台中查看您的 Gatekeeper operator 策略及其状态,请完成以下步骤:

  1. 选择 policy-gatekeeper-operator 策略来查看更多详细信息。
  2. 选择 Clusters 选项卡来查看策略违反情况。

5.4.3. 升级 Gatekeeper 和 Gatekeeper operator
复制链接

您可以升级 Gatekeeper 和 Gatekeeper operator 的版本。当使用 Gatekeeper operator 策略安装 Gatekeeper operator 时,请注意 installPlanApproval 的值。当您将 upgradeApproval 设置为 Automatic 时,Operator 会自动升级。

如果将 upgradeApproval 设置为 Manual,则必须为每个安装 Gatekeeper operator 的集群手动批准升级。

5.4.4. 禁用 Gatekeeper operator 策略
复制链接

要禁用 policy-gatekeeper-operator 策略,请从控制台的 Actions 菜单中选择 Disable 选项,或者从 CLI 设置 spec.disabled: true

5.4.5. 删除 Gatekeeper operator 策略
复制链接

要从 CLI 删除 Gatekeeper operator 策略,请完成以下步骤:

  1. 运行以下命令来删除 Gatekeeper operator 策略: 

    oc delete policies.policy.open-cluster-management.io <policy-gatekeeper-operator-name> -n <namespace>
    Copy to Clipboard Toggle word wrap

  2. 运行以下命令验证您是否删除了您的策略: 

    oc get policies.policy.open-cluster-management.io <policy-gatekeeper-operator-name> -n <namespace>
    Copy to Clipboard Toggle word wrap

要从控制台删除 Gatekeeper operator 策略,点 policy-gatekeeper-operator 策略的 Actions 图标,然后选择 Delete

要卸载 Gatekeeper 策略,请完成以下部分中的步骤:

5.4.6.1. 删除 Gatekeeper 约束
复制链接

要从受管集群中删除 Gatekeeper 约束和 ConstraintTemplate,请完成以下步骤:

  1. 编辑 Gatekeeper 约束或 ConstraintTemplate 策略。
  2. 找到用于创建 Gatekeeper ConstraintConstraintTemplate 的模板。
  3. 从模板列表中删除条目。(如果策略是唯一的模板,则删除该策略。)
  4. 保存并应用策略。

注: constraint 和 ConstraintTemplate 直接在 policy-templates 中提供,而不是在 ConfigurationPolicy 中提供。

5.4.6.2. 删除 Gatekeeper 实例
复制链接

要从受管集群中删除 Gatekeeper 实例,请完成以下步骤:

  1. 编辑 Gatekeeper operator 策略。
  2. 找到用于创建 Gatekeeper 自定义资源的 ConfigurationPolicy 模板。
  3. ConfigurationPolicy 模板的 complianceType 的值改为 mustnothave。更改值会删除 Gatekeeper operator 自定义资源,信号到 Gatekeeper operator 来清理 Gatekeeper 部署。
5.4.6.3. 删除 Gatekeeper operator
复制链接

要从受管集群中删除 Gatekeeper Operator,请完成以下步骤:

  1. 编辑 Gatekeeper operator 策略。
  2. 找到用于创建 Subscription CR 的 OperatorPolicy 模板。
  3. OperatorPolicy 模板的 complianceType 的值改为 mustnothave

5.4.7. 其他资源
复制链接

如需了解更多详细信息,请参阅以下资源:

5.5. 集成 Gatekeeper 约束和约束模板
复制链接

要创建 Gatekeeper 策略,请使用 ConstraintTemplates 和约束。在 Policy 资源的 policy-templates 中添加模板和限制。查看 Red Hat Advanced Cluster Management 策略中使用 Gatekeeper 约束的以下 YAML 示例:

  • ConstraintTemplates 和约束: 使用 Red Hat Advanced Cluster Management 策略在 hub 集群上进行多集群发布 Gatekeeper 约束和 Gatekeeper 审计结果聚合。以下示例定义了一个 Gatekeeper ConstraintTemplate 和 constraint (K8sRequiredLabels),以确保在所有命名空间中设置了 gatekeeper 标签: 

    apiVersion: policy.open-cluster-management.io/v1
kind: Policy
metadata:
  name: require-gatekeeper-labels-on-ns
spec:
  remediationAction: inform
    1 
    
  disabled: false
  policy-templates:
    - objectDefinition:
        apiVersion: templates.gatekeeper.sh/v1beta1
        kind: ConstraintTemplate
        metadata:
          name: k8srequiredlabels
          annotations:
            policy.open-cluster-management.io/severity: low
    2 
    
        spec:
          crd:
            spec:
              names:
                kind: K8sRequiredLabels
              validation:
                openAPIV3Schema:
                  properties:
                    labels:
                      type: array
                      items: string
          targets:
            - target: admission.k8s.gatekeeper.sh
              rego: |
                package k8srequiredlabels
                violation[{"msg": msg, "details": {"missing_labels": missing}}] {
                  provided := {label | input.review.object.metadata.labels[label]}
                  required := {label | label := input.parameters.labels[_]}
                  missing := required - provided
                  count(missing) > 0
                  msg := sprintf("you must provide labels: %v", [missing])
                }
    - objectDefinition:
        apiVersion: constraints.gatekeeper.sh/v1beta1
        kind: K8sRequiredLabels
        metadata:
          name: ns-must-have-gk
          annotations:
            policy.open-cluster-management.io/severity: low
    3 
    
        spec:
          enforcementAction: dryrun
          match:
            kinds:
              - apiGroups: [""]
                kinds: ["Namespace"]
          parameters:
            labels: ["gatekeeper"]
    Copy to Clipboard Toggle word wrap
    1
    因为 remediationAction 被设置为 inform,所以 Gatekeeper 约束的 enforcementAction 字段会被覆盖来 warn。这意味着 Gatekeeper 会检测并警告您创建或更新缺少 gatekeeper 标签的命名空间。如果策略 remediationAction 设置为 enforce,则 Gatekeeper 约束 enforcementAction 字段会被覆盖为 deny。在这种情况下,此配置可防止任何用户创建或更新缺少 gatekeeper 标签的命名空间。
    2 3
    可选:为每个 Gatekeeper 约束或约束模板设置 policy.open-cluster-management.io/severity 注解的严重性值。有效值与其他 Red Hat Advanced Cluster Management 策略类型相同:low, medium, high, 或 critical

    使用前面的策略,您可能会收到以下策略状态消息:warn - you must provide labels: {"gatekeeper"} (on Namespace default); warn - you must provide labels: {"gatekeeper"} (on Namespace gatekeeper-system)。当您从策略中删除 Gatekeeper 约束或 ConstraintTemplates 时,也会从受管集群中删除约束和 ConstraintTemplates

    要从控制台查看特定受管集群的 Gatekeeper 审计结果,请进入策略模板 结果 页面。如果启用了搜索,请查看失败的审计的 Kubernetes 对象的 YAML。

    备注:

    • 相关 resources 部分仅在 Gatekeeper 生成审计结果时可用。
    • Gatekeeper 审计默认每分钟运行一次。审计结果会发回到 hub 集群,以便在受管集群的 Red Hat Advanced Cluster Management 策略状态中查看。

  • policy-gatekeeper-admission :在 Red Hat Advanced Cluster Management 策略中使用 policy-gatekeeper-admission 配置策略来检查 gatekeeper admission webhook 拒绝的 Kubernetes API 请求:查看以下示例: 

    apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: policy-gatekeeper-admission
spec:
  remediationAction: inform
    1 
    
  severity: low
  object-templates:
    - complianceType: mustnothave
      objectDefinition:
        apiVersion: v1
        kind: Event
        metadata:
          namespace: openshift-gatekeeper-system
    2 
    
          annotations:
            constraint_action: deny
            constraint_kind: K8sRequiredLabels
            constraint_name: ns-must-have-gk
            event_type: violation
    Copy to Clipboard Toggle word wrap
    1
    ConfigurationPolicy remediationAction 参数可以通过在父策略中 remediationAction 来覆盖。
    2
    设置为运行 Gatekeeper 的实际命名空间(如果不同)。

5.5.1. 其他资源
复制链接

如需了解更多详细信息,请参阅以下资源:

法律通告
复制链接

Copyright © 2025 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat