Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

4.15. 管理安全策略

创建一个安全策略,根据您指定的安全标准、类别和控制,报告并验证您的集群合规性。

查看以下部分:

4.15.1. 创建安全策略
复制链接

您可以从命令行或控制台创建安全策略。

需要的访问权限:集群管理员

重要 :您必须定义放置和放置绑定,才能将策略应用到特定集群。PlacementBinding 资源绑定放置。为 cluster Label selector 字段输入有效值,以定义 PlacementPlacementBinding 资源。* 要使用 放置资源ManagedClusterSet 资源必须绑定到带有 ManagedClusterSetBinding 资源的 Placement 资源的命名空间。如需了解更多详细信息 ,请参阅创建 ManagedClusterSetBinding 资源

4.15.1.1. 使用命令行界面创建安全策略
复制链接

完成以下步骤以从命令行创建策略:

  1. 运行以下命令来创建策略: 

    oc create -f policy.yaml -n <policy-namespace>
    Copy to Clipboard Toggle word wrap

  2. 定义策略使用的模板。通过添加 policy-templates 字段来定义模板来编辑 YAML 文件。您的策略可能类似以下 YAML 文件: 

    apiVersion: policy.open-cluster-management.io/v1
kind: Policy
metadata:
  name: policy1
spec:
  remediationAction: "enforce" # or inform
  disabled: false # or true
  namespaceSelector:
    include:
    - "default"
    - "my-namespace"
  policy-templates:
    - objectDefinition:
        apiVersion: policy.open-cluster-management.io/v1
        kind: ConfigurationPolicy
        metadata:
          name: operator
          # namespace: # will be supplied by the controller via the namespaceSelector
        spec:
          remediationAction: "inform"
          object-templates:
          - complianceType: "musthave" # at this level, it means the role must exist and must have the following rules
            apiVersion: rbac.authorization.k8s.io/v1
            kind: Role
            metadata:
              name: example
            objectDefinition:
              rules:
                - complianceType: "musthave" # at this level, it means if the role exists the rule is a musthave
                  apiGroups: ["extensions", "apps"]
                  resources: ["deployments"]
                  verbs: ["get", "list", "watch", "create", "delete","patch"]
    Copy to Clipboard Toggle word wrap

  3. 定义一个 PlacementBinding 资源,将您的策略绑定到 放置资源。您的 PlacementBinding 资源可能类似以下 YAML 示例: 

    apiVersion: policy.open-cluster-management.io/v1
kind: PlacementBinding
metadata:
  name: binding1
placementRef:
  name: placement1
  apiGroup: cluster.open-cluster-management.io
  kind: Placement
subjects:
- name: policy1
  apiGroup: policy.open-cluster-management.io
  kind: Policy
    Copy to Clipboard Toggle word wrap
4.15.1.1.1. 从命令行查看您的安全策略
复制链接

完成以下步骤,通过 CLI 查看您的安全策略:

  1. 运行以下命令,查看具体安全策略的详情: 

    oc get policies.policy.open-cluster-management.io <policy-name> -n <policy-namespace> -o yaml
    Copy to Clipboard Toggle word wrap

  2. 运行以下命令,查看您的安全策略的描述: 

    oc describe policies.policy.open-cluster-management.io <policy-name> -n <policy-namespace>
    Copy to Clipboard Toggle word wrap

4.15.1.2. 从控制台创建集群安全策略
复制链接

登录到 Red Hat Advanced Cluster Management 后,进入 Governance 页面并点 Create policy。从控制台创建新策略时,也会在 YAML 编辑器中创建 YAML 文件。要查看 YAML 编辑器,请在 Create policy 表单的开头选择切换来启用它。

  1. 完成 Create policy 表单,然后选择 提交按钮。您的 YAML 文件可能类似以下策略: 

    apiVersion: policy.open-cluster-management.io/v1
kind: Policy
metadata:
  name: policy-pod
  annotations:
    policy.open-cluster-management.io/categories: 'SystemAndCommunicationsProtections,SystemAndInformationIntegrity'
    policy.open-cluster-management.io/controls: 'control example'
    policy.open-cluster-management.io/standards: 'NIST,HIPAA'
    policy.open-cluster-management.io/description:
spec:
  complianceType: musthave
  namespaces:
    exclude: ["kube*"]
    include: ["default"]
    pruneObjectBehavior: None
  object-templates:
  - complianceType: musthave
    objectDefinition:
      apiVersion: v1
      kind: Pod
      metadata:
        name: pod1
      spec:
        containers:
        - name: pod-name
          image: 'pod-image'
          ports:
          - containerPort: 80
  remediationAction: enforce
  disabled: false
    Copy to Clipboard Toggle word wrap

    请参阅以下 PlacementBinding 示例: 

    apiVersion: policy.open-cluster-management.io/v1
kind: PlacementBinding
metadata:
  name: binding-pod
placementRef:
  name: placement-pod
  kind: Placement
  apiGroup: cluster.open-cluster-management.io
subjects:
- name: policy-pod
  kind: Policy
  apiGroup: policy.open-cluster-management.io
    Copy to Clipboard Toggle word wrap

    请参阅以下 放置 示例: 

    apiVersion: cluster.open-cluster-management.io/v1beta1
 kind: Placement
 metadata:
   name: placement-pod
spec:
  predicates:
  - requiredClusterSelector:
      labelSelector:
        matchLabels:
          cloud: "IBM"
    tolerations:
        - key: cluster.open-cluster-management.io/unavailable
          operator: Exists
        - key: cluster.open-cluster-management.io/unreachable
          operator: Exists
    Copy to Clipboard Toggle word wrap
  2. 可选: 为您的策略添加描述。
  3. 点击 Create Policy。从控制台创建了安全策略。
4.15.1.2.1. 从控制台查看您的安全策略
复制链接

在控制台中查看任何安全策略及其状态。

  1. 进入 Governance 页面,以查看您的策略的表列表。注: 您可以选择 Policies 标签页或 Cluster violations 选项卡来过滤策略列表。
  2. 选择一个策略来查看更多详情。此时会显示 DetailsClustersTemplates 标签页。当无法决定集群或策略状态时,会显示以下信息: No status
  3. 或者,选择 Policies 选项卡来查看策略列表。展开一个策略行,以查看 Description,Standards,Controls, 和 Categories 详情。

4.15.1.3. 从命令行创建策略集
复制链接

默认情况下,策略集是在没有策略或放置的情况下创建的。您必须为策略集合创建放置,并至少有一个策略存在于集群中。在创建策略集时,您可以添加多个策略。

运行以下命令从命令行创建策略集: 

oc apply -f <policyset-filename>
Copy to Clipboard Toggle word wrap

4.15.1.4. 从控制台创建策略集
复制链接

  1. 在导航菜单中选择 Governance
  2. 选择 Policy set 选项卡。
  3. 选择 Create policy set 按钮并完成表单。
  4. 添加您的策略集的详细信息,然后选择 Submit 按钮。

您的策略从 policy 表中列出。

4.15.2. 更新安全策略
复制链接

了解如何更新安全策略。

4.15.2.1. 从命令行将策略添加到策略集
复制链接

  1. 运行以下命令来编辑您的策略集: 

    oc edit policysets <your-policyset-name>
    Copy to Clipboard Toggle word wrap
  2. 将策略名称添加到策略集的 policies 部分的列表中。
  3. 使用以下命令在策略集的 placement 部分中应用添加的策略: 
oc apply -f <your-added-policy.yaml>
Copy to Clipboard Toggle word wrap

PlacementBindingPlacement 都被创建。

注: 如果您删除放置绑定,策略仍会由策略集放置。

4.15.2.2. 从控制台在策略集中添加策略
复制链接

  1. 选择 Policy set 选项卡,在策略集中添加一个策略。
  2. 选择 Actions 图标并选择 Edit。此时会出现 Edit policy set 表单。
  3. 进入到表单的 Policies 部分,以选择要添加到策略集的策略。

4.15.2.3. 禁用安全策略
复制链接

您的策略默认是启用的。从控制台禁用您的策略。

登录到 Red Hat Advanced Cluster Management for Kubernetes 控制台后,进入 Governance 页面来查看您的策略的表列表。

选择 Actions 图标 > Disable policy。此时会出现 Disable Policy 对话框。

点击 Disable policy。您的策略已禁用。

4.15.3. 删除安全策略
复制链接

从命令行或控制台删除安全策略。

使用以下步骤从命令行删除:

  1. 运行以下命令来删除安全策略: 

    oc delete policies.policy.open-cluster-management.io <policy-name> -n <policy-namespace>
    Copy to Clipboard Toggle word wrap
  2. 运行以下命令验证您的策略是否已移除:oc get policies.policy.open-cluster-management.io <policy-name> -n <policy-namespace>

使用以下步骤从控制台删除安全策略。

  1. 在导航菜单中点 Governance 来查看您的策略的表列表。
  2. 在策略违反表中点击您要删除的策略的 Actions 图标。
  3. 点击 Remove
  4. Remove policy 对话框中点击 Remove policy

4.15.3.1. 从控制台创建策略集
复制链接

  1. Policy set 选项卡中,选择策略集的 Actions 图标。当您单击 Delete 时,会出现 Permanently delete Policyset? 对话框。
  2. 点击 Delete 按钮。

4.15.4. 清理由策略创建的资源
复制链接

在配置策略中使用 pruneObjectBehavior 参数来清理策略创建的资源。当设置 pruneObjectBehavior 时,仅在删除与其关联的配置策略(或父策略)后,才会清理相关的对象。

查看可用于参数的值的以下描述:

  • DeleteIfCreated :清理策略创建的所有资源。
  • DeleteAll :清理策略管理的所有资源。
  • None:这是默认值,维护之前版本中的相同行为,但没有删除相关资源。

您可以在命令行中创建策略时,直接在 YAML 文件中设置值。

在控制台中,您可以在 Policy 模板 步骤的 Prune Object Behavior 部分中选择值。

备注:

  • 如果安装 Operator 的策略定义了 pruneObjectBehavior 参数,则需要额外的清理来完成 Operator 卸载。您可能需要在这个清理过程中删除 operator ClusterServiceVersion 对象。
  • 当您在受管集群中禁用 config-policy-addon 资源时,会忽略 pruneObjbectBehavior。要在策略上自动清理相关资源,您必须在禁用附加组件前从受管集群中删除策略。

4.15.5. 策略命令行工具
复制链接

使用policytools命令行工具,您可以本地与策略交互以帮助创建和调试。可以从中心集群控制台下载policytools命令行工具。请参阅命令行工具

template-resolver

template-resolverpolicytools 的子命令,用于解析嵌入策略中的受管集群和 hub 集群模板。template-resolver 从文件或标准输入中读取。

要使用 hub 集群模板解析策略,您必须使用导入到 Red Hat Advanced Cluster Management 的受管集群的名称提供 --cluster -name 参数,您必须提供 --hub-kubeconfig 参数,并带有引用 hub 集群的 kubeconfig 文件的路径。

如果输入策略使用.ObjectName.ObjectNamespace模板变量,则需要使用--object-name--object-namespace参数设置值。

template-resolver子命令连接到受管集群和中心集群以检索解析模板所需的信息。使用--save-resources--save-hub-resources参数提供路径来保存模板解析器检索到的资源。这些保存的文件可以用作dryrun子命令的输入。

DryRun

dryrunpolicytools的一个子命令,它通过使用集群状态的静态输入资源在本地评估ConfigurationPolicy资源。

要运行策略,请使用--policy标志将路径添加到ConfigurationPolicy YAML。您可以提供额外的资源 YAML 文件,用作当前集群状态。例如,如果您的策略为命名空间定义了特定配置,请提供当前命名空间状态以查看该策略的作用。多个资源可以位于同一个资源文件中。

默认情况下, dryrun会打印策略中定义的对象的期望状态与这些资源的当前状态之间的差异,以及ConfigurationPolicy创建的合规性消息。要将合规消息保存到单独的文件,请使用--messages-path参数。要保存完整的策略状态(包括有关相关对象的其他信息),请使用--status-path参数。

如果根据输入,策略不符合要求,则该工具返回非零退出代码。要将结果状态与已知状态进行比较,请使用--desired-status参数。例如,要验证策略是否报告缺少的资源,请在.relatedObjects列表中提供一个包含缺少的资源的 YAML 文件。要验证该策略是否为NonCompliant ,请创建一个包含compliant: NonCompliant行的 YAML 文件。

4.15.6. 其他资源
复制链接

4.15.7. 在断开连接的环境中管理 Operator 策略
复制链接

您可能需要在没有连接到互联网(断开连接)的 Red Hat OpenShift Container Platform 集群上部署 Red Hat Advanced Cluster Management for Kubernetes 策略。如果您使用您部署的策略来部署安装 Operator Lifecycle Manager Operator 的策略,您必须按照以下步骤 镜像 Operator 目录

完成以下步骤以验证对 Operator 镜像的访问:

  1. 请参阅验证所需软件包可用来验证您与策略一起使用的软件包是否可用。您必须验证由以下策略部署到的任何受管集群使用的每个镜像 registry 的可用性:

    • container-security-operator
    • 已弃用: gatekeeper-operator-product
    • compliance-operator

  2. 请参阅配置镜像内容源策略以验证源是否可用。镜像内容源策略必须存在于每个断开连接的受管集群中,并可使用策略进行部署以简化流程。请参阅以下镜像源位置表:

    Expand
    监管策略类型镜像源位置

    容器安全性

    registry.redhat.io/quay

    Compliance

    registry.redhat.io/compliance

    Gatekeeper

    registry.redhat.io/rhacm2

继续阅读以获取应用 Red Hat Openshift Platform Plus 策略集的指导。应用 Red Hat OpenShift 策略集时,Red Hat Advanced Cluster Security secured 集群服务和 Compliance Operator 部署到所有 OpenShift Container Platform 受管集群。

4.15.8.1. 先决条件
复制链接

应用策略集前完成以下步骤:

  1. 要允许将订阅应用到集群,您必须应用 policy-configure-subscription-admin-hub.yaml 策略,并将补救操作设置为 enforce。将以下 YAML 复制并粘贴到控制台的 YAML 编辑器中: 

    apiVersion: policy.open-cluster-management.io/v1
kind: Policy
metadata:
  name: policy-configure-subscription-admin-hub
  annotations:
    policy.open-cluster-management.io/standards: NIST SP 800-53
    policy.open-cluster-management.io/categories: CM Configuration Management
    policy.open-cluster-management.io/controls: CM-2 Baseline Configuration
spec:
  remediationAction: inform
  disabled: false
  policy-templates:
    - objectDefinition:
        apiVersion: policy.open-cluster-management.io/v1
        kind: ConfigurationPolicy
        metadata:
          name: policy-configure-subscription-admin-hub
        spec:
          remediationAction: inform
          severity: low
          object-templates:
            - complianceType: musthave
              objectDefinition:
                apiVersion: rbac.authorization.k8s.io/v1
                kind: ClusterRole
                metadata:
                  name: open-cluster-management:subscription-admin
                rules:
                - apiGroups:
                  - app.k8s.io
                  resources:
                  - applications
                  verbs:
                  - '*'
                - apiGroups:
                  - apps.open-cluster-management.io
                  resources:
                  - '*'
                  verbs:
                  - '*'
                - apiGroups:
                  - ""
                  resources:
                  - configmaps
                  - secrets
                  - namespaces
                  verbs:
                  - '*'
            - complianceType: musthave
              objectDefinition:
                apiVersion: rbac.authorization.k8s.io/v1
                kind: ClusterRoleBinding
                metadata:
                  name: open-cluster-management:subscription-admin
                roleRef:
                  apiGroup: rbac.authorization.k8s.io
                  kind: ClusterRole
                  name: open-cluster-management:subscription-admin
                subjects:
                - apiGroup: rbac.authorization.k8s.io
                  kind: User
                  name: kube:admin
                - apiGroup: rbac.authorization.k8s.io
                  kind: User
                  name: system:admin
---
apiVersion: policy.open-cluster-management.io/v1
kind: PlacementBinding
metadata:
  name: binding-policy-configure-subscription-admin-hub
placementRef:
  name: placement-policy-configure-subscription-admin-hub
  kind: Placement
  apiGroup: cluster.open-cluster-management.io
subjects:
- name: policy-configure-subscription-admin-hub
  kind: Policy
  apiGroup: policy.open-cluster-management.io
---
apiVersion: cluster.open-cluster-management.io/v1beta1
kind: Placement
metadata:
  name: placement-policy-configure-subscription-admin-hub
spec:
  predicates:
  - requiredClusterSelector:
      labelSelector:
        matchExpressions:
        - {key: name, operator: In, values: ["local-cluster"]}
    tolerations:
        - key: cluster.open-cluster-management.io/unavailable
          operator: Exists
        - key: cluster.open-cluster-management.io/unreachable
          operator: Exists
    Copy to Clipboard Toggle word wrap

  2. 要从命令行界面应用前面的 YAML,请运行以下命令: 

    oc apply -f policy-configure-subscription-admin-hub.yaml
    Copy to Clipboard Toggle word wrap
  3. 安装 Policy Generator kustomize 插件。使用 Kustomize v4.5 或更高版本。请参阅生成策略以安装 Operator

  4. 策略安装到 policies 命名空间。您必须将该命名空间绑定到 ClusterSet。例如,复制并应用以下示例 YAML 将命名空间绑定到默认的 ClusterSet

    apiVersion: cluster.open-cluster-management.io/v1beta2
kind: ManagedClusterSetBinding
metadata:
    name: default
    namespace: policies
spec:
    clusterSet: default
    Copy to Clipboard Toggle word wrap

  5. 运行以下命令以从命令行界面应用 ManagedClusterSetBinding 资源: 

    oc apply -f managed-cluster.yaml
    Copy to Clipboard Toggle word wrap

满足先决条件后,您可以应用策略集。

4.15.8.2. 应用 Red Hat OpenShift Platform Plus 策略集
复制链接

  1. 使用 openshift-plus/policyGenerator.yaml 文件,其中包含 Red Hat OpenShift Plus 的先决条件配置。

  2. 使用 kustomize 命令将策略应用到您的 hub 集群: 

    kustomize build --enable-alpha-plugins  | oc apply -f -
    Copy to Clipboard Toggle word wrap

    注: 对于您不想安装的 OpenShift Platform Plus 的任何组件,请编辑 policyGenerator.yaml 文件并删除或注释掉这些组件的策略。

4.15.8.3. 其他资源
复制链接

4.15.9. 使用 OperatorPolicy 资源安装 Operator
复制链接

要在受管集群上安装 Operator Lifecycle Manager (OLM)受管 Operator,请使用 Policy 定义中的 OperatorPolicy 策略模板。

4.15.9.1. 创建 OperatorPolicy 资源来安装 Quay
复制链接

请参阅以下 operator 策略示例,它使用 Red Hat operator 目录在 stable 频道中 安装最新的 Quay Operator: 

apiVersion: policy.open-cluster-management.io/v1
kind: Policy
metadata:
  name: install-quay
  namespace: open-cluster-management-global-set
spec:
  disabled: false
  policy-templates:
    - objectDefinition:
        apiVersion: policy.open-cluster-management.io/v1beta1
        kind: OperatorPolicy
        metadata:
          name: install-quay
        spec:
          remediationAction: enforce
          severity: critical
          complianceType: musthave
          upgradeApproval: None
          subscription:
            channel: <stable-version>
            name: quay-operator
            source: redhat-operators
            sourceNamespace: openshift-marketplace
Copy to Clipboard Toggle word wrap

添加 OperatorPolicy 策略模板后,会使用控制器在集群中创建 operatorGroupsubscription 对象。因此,其余安装由 OLM 完成。您可以查看受管集群中 OperatorPolicy 资源的 .status.Conditions.status.relatedObjects 字段中拥有的资源的健康状态。

要验证 Operator 策略状态,请在受管集群中运行以下命令: 

oc -n <managed cluster namespace> get operatorpolicy install-quay
Copy to Clipboard Toggle word wrap

4.15.9.2. 其他资源
复制链接

请参阅 Operator 策略控制器

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat