2.7.3. 启用完整性 shield 保护(技术预览)
在 Red Hat Advanced Cluster Management for Kubernetes 集群中启用完整性 shield 保护 Kubernetes 资源的完整性。
2.7.3.1. 先决条件
在 Red Hat Advanced Cluster Management 受管集群中启用完整性 shield 保护需要以下先决条件:
-
安装具有一个或多个受管集群的 Red Hat Advanced Cluster Management hub 集群,以及集群管理员对集群的访问权限,以使用
oc 或kubectl命令。 安装完整性 shield.在安装完整性 shield 前,您必须在集群中安装 Open Policy Agent 或 gatekeeper。完成以下步骤以安装完整性 shield operator:
运行以下命令,在命名空间中安装完整性 shield operator 以获得完整性 shield:
kubectl create -f https://raw.githubusercontent.com/stolostron/integrity-shield/master/integrity-shield-operator/deploy/integrity-shield-operator-latest.yaml
使用以下命令安装完整性 shield 自定义资源:
kubectl create -f https://raw.githubusercontent.com/stolostron/integrity-shield/master/integrity-shield-operator/config/samples/apis_v1_integrityshield.yaml -n integrity-shield-operator-system
完整性屏蔽需要一对密钥来签名和验证集群中需要保护的资源签名。设置签名和验证密钥对:
使用以下命令生成一个新的 GPG 密钥:
gpg --full-generate-key
使用以下命令将您的新 GPG 公钥导出到文件中:
gpg --export signer@enterprise.com > /tmp/pubring.gpg
-
安装
yq以运行用于签署 Red Hat Advanced Cluster Management 策略的脚本。 -
启用完整性 shield 保护和签名 Red Hat Advanced Cluster Management 包括从 integrity
-shield仓库检索和提交源。您必须安装 Git。
