2.6. 管理安全策略
使用监管仪表板创建、查看和管理安全策略和策略违反情况。您可以通过 CLI 和控制台为您的策略创建 YAML 文件。
在Governance 页面中,您可以通过按类别或标准过滤违反情况来自定义概述视图,折叠概述以查看较少的信息,您可以搜索策略。您还可以根据策略或集群违反过滤违反表视图。
策略列表列出了以下策略详情:Policy name、Namespace, Remediation、Cluster violations、Controls, Automation 和 Created。您可以通过选择 Actions 图标来编辑、启用或禁用、通知或删除策略。您可以通过选择要展开行的下拉箭头来查看特定策略的类别和标准。
查看 Automation 列中频率字段的以下描述:
-
Manual run:手动将此自动化设置为运行一次。在自动化运行后,它将设置为
disabled。 -
Run once mode:违反策略时,自动化将运行一次。在自动化运行后,它将设置为
disabled。在将自动化设置为禁用后,您必须继续手动运行自动化。当使用 once mode 时,target_clusters的额外变量会自动提供违反策略的集群列表。Ansible Tower 作业模板必须为EXTRA VARIABLES部分启用PROMPT ON LAUNCH。 -
Disable automation:当调度的自动化被设置为
禁用时,在更新设置前不会运行自动化。
当您在表列表中选择一个策略时,控制台中会显示以下信息标签页:
- Details :选择 Details 选项卡来查看策略详情和放置详情。
- Status:选择 status 标签来查看违反情况的表列表。您可以根据集群或模板过滤您的视图。要查看策略的合规性状态,请点击 View history 链接,从 Status 选项卡中查看违反消息的列表。
查看以下主题以了解更多有关创建和更新您的安全策略的信息。
更多主题,请参阅监管。
2.6.1. 为监管配置 Ansible Tower
Red Hat Advanced Cluster Management for Kubernetes 监管可与 Ansible Tower 自动化集成,以创建策略违反自动化。您可以从 Red Hat Advanced Cluster Management 控制台配置自动化。
2.6.1.1. 先决条件
- Red Hat OpenShift Container Platform 4.5 或更高版本
- 已安装 Ansible Tower 版本 3.7.3 或更高版本。安装最新版本的 Ansible Tower 是最佳实践方案。如需了解更多详细信息,请参阅 Red Hat Ansible Tower 文档。
- 将 Ansible Automation Platform Resource Operator 安装到 hub 集群,将 Ansible 作业连接到管理框架。为了获得最佳结果,在使用 AnsibleJob 启动 Ansible Tower 作业时,Ansible Tower 作业模板在运行时应该是等价的。如果没有 Ansible Automation Platform Resource Operator,您可以在 Red Hat OpenShift Container Platform OperatorHub 页面中找到它。
有关安装和配置 Ansible Tower 自动化的更多信息,请参阅设置 Ansible 任务。
2.6.1.2. 从控制台创建策略违反自动化
完成以下步骤以配置策略违反自动化:
- 登录到您的 Red Hat Advanced Cluster Management hub 集群。
- 在导航菜单中选择 Governance。
- 单击 Automation 列中的 Configure,为特定策略配置自动化。
- Create policy violation automation 面板会显示。
在 Credential 部分,单击下拉菜单来选择 Ansible 凭据。如果需要添加凭证,请参阅管理凭证概述。
注:此凭证复制到与策略相同的命名空间中。该凭据供创建用于启动自动化的
AnsibleJob资源使用。控制台的 Credentials 部分中的 Ansible 凭据更改会被自动更新。- 单击下拉列表,以选择作业模板。
-
在 Extra variables 部分,添加来自
PolicyAutomation的extra_vars部分中的参数值。 选择自动化的频率。您可以选择 Manual run、Run once mode 或 Disable automation。
-
Manual run:手动将此自动化设置为运行一次。在自动化运行后,它将设置为
disabled。 -
Run once mode:违反策略时,自动化将运行一次。在自动化运行后,它将设置为
disabled。在将自动化设置为禁用后,您必须继续手动运行自动化。当使用 once mode 时,target_clusters的额外变量会自动提供违反策略的集群列表。Ansible Tower 作业模板必须为EXTRA VARIABLES部分启用了PROMPT ON LAUNCH。 -
Disable automation:当调度的自动化被设置为
禁用时,在更新设置前不会运行自动化。
-
Manual run:手动将此自动化设置为运行一次。在自动化运行后,它将设置为
- 点 Save。
- 当您从 History 选项卡中选择 View Job 链接时,链接会将您定向到搜索页面上的作业模板。
- 在添加了策略违反自动化后,状态会被更新为 Successful。
- 策略违反自动化的名称现在显示在 Automation 列中。
您的策略违反自动化是从控制台创建的。
2.6.1.3. 通过 CLI 创建策略违反自动化
完成以下步骤,通过 CLI 配置策略违反自动化:
-
在终端中,使用
oc login命令登录到 Red Hat Advanced Cluster Management hub 集群。 - 查找或创建您要向其添加自动化的策略。请注意策略名称和命名空间。
使用以下示例创建
PolicyAutomation资源,作为指南:apiVersion: policy.open-cluster-management.io/v1beta1 kind: PolicyAutomation metadata: name: policyname-policy-automation spec: automationDef: extra_vars: your_var: your_value name: Policy Compliance Template secret: ansible-tower type: AnsibleJob mode: disabled policyRef: policyname-
上例中的 Ansible 作业模板名称是
Policy Compliance Template。更改该值,使其与您的任务模板名称匹配。 -
在
extra_vars部分中,添加您需要传递给 Ansible 作业模板的任何参数。 将模式设置为
once或disabled。once模式只运行作业一次,然后模式会被设置为disabled。-
once mode:违反策略时,自动化将运行一次。在自动化运行后,它将设置为
disabled。在将自动化设置为禁用后,您必须继续手动运行自动化。当使用 once mode 时,target_clusters的额外变量会自动提供违反策略的集群列表。Ansible Tower 作业模板必须为EXTRA VARIABLES部分启用了PROMPT ON LAUNCH。 -
Disable automation:当调度的自动化被设置为
禁用时,在更新设置前不会运行自动化。
-
once mode:违反策略时,自动化将运行一次。在自动化运行后,它将设置为
-
将
policyRef设置为您的策略的名称。 -
在与包含 Ansible Tower 凭据的
PolicyAutomation资源相同的命名空间中创建一个 secret。在上例中,secret 名称为ansible-tower。使用应用程序生命周期中的示例来查看如何创建 secret。 创建
PolicyAutomation资源。备注:
可以通过在
PolicyAutomation资源中添加以下注解来立即运行策略自动化:metadata: annotations: policy.open-cluster-management.io/rerun: "true"-
当策略为
once模式时,当策略不合规时自动化将运行。添加名为target_clusters的extra_vars变量,值是每个受管集群名称的数组,其中的策略不合规。
