红帽全球峰会2.6.6. 管理安全策略
创建一个安全策略,根据您指定的安全标准、类别和控制,报告并验证您的集群合规性。要为 Red Hat Advanced Cluster Management for Kubernetes 创建策略,您必须在受管集群上创建 YAML 文件。
注:您可以将现有策略复制到 Policy YAML 中。当您粘贴现有策略时,会自动输入参数字段的值。您还可以使用搜索功能搜索策略 YAML 文件中的内容。
查看以下部分:
2.6.6.1. 创建安全策略
您可以使用命令行界面 (CLI) 或者从控制台创建安全策略。需要集群管理员访问权限。
重要 :您必须定义放置规则和放置绑定,才能将策略应用到特定集群。为 Cluster selector 字段输入有效的值,以定义 PlacementRule 和 PlacementBinding。如需有效表达式,请参阅 Kubernetes 文档中的支持基于集合的要求的资源。查看 Red Hat Advanced Cluster Management 策略所需的对象定义:
- PlacementRule:定义必须部署策略的集群选择器。
- PlacementBinding :将放置绑定到放置规则。
在策略概述中查看策略 YAML 文件的更多描述。
2.6.6.1.1. 使用命令行界面创建安全策略
完成以下步骤,使用命令行界面 (CLI) 创建策略:
运行以下命令来创建策略:
kubectl create -f policy.yaml -n <namespace>
定义策略使用的模板。要编辑
.yaml文件,请添加templates字段来定义模板。您的策略可能类似以下 YAML 文件:apiVersion: policy.open-cluster-management.io/v1 kind: Policy metadata: name: policy1 spec: remediationAction: "enforce" # or inform disabled: false # or true namespaces: include: ["default"] exclude: ["kube*"] policy-templates: - objectDefinition: apiVersion: policy.open-cluster-management.io/v1 kind: ConfigurationPolicy metadata: namespace: kube-system # will be inferred name: operator spec: remediationAction: "inform" object-templates: complianceType: "musthave" # at this level, it means the role must exist and must have the following rules apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: name: example objectDefinition: rules: - complianceType: "musthave" # at this level, it means if the role exists the rule is a musthave apiGroups: ["extensions", "apps"] resources: ["deployments"] verbs: ["get", "list", "watch", "create", "delete","patch"]定义
PlacementRule。务必更改PlacementRule,以通过clusterNames或clusterLabels指定需要应用策略的集群。查看 放置规则示例概述您
PlacementRule可能类似如下内容:apiVersion: apps.open-cluster-management.io/v1 kind: PlacementRule metadata: name: placement1 spec: clusterConditions: - type: ManagedClusterConditionAvailable status: "True" clusterNames: - "cluster1" - "cluster2" clusterLabels: matchLabels: cloud: IBM定义一个
PlacementBinding来绑定您的策略和PlacementRule。您PlacementBinding可能类似以下 YAML 示例:apiVersion: policy.open-cluster-management.io/v1 kind: PlacementBinding metadata: name: binding1 placementRef: name: placement1 apiGroup: apps.open-cluster-management.io kind: PlacementRule subjects: - name: policy1 apiGroup: policy.open-cluster-management.io kind: Policy
2.6.6.1.1.1. 通过 CLI 查看您的安全策略
完成以下步骤,通过 CLI 查看您的安全策略:
运行以下命令,查看具体安全策略的详情:
kubectl get securitypolicy <policy-name> -n <namespace> -o yaml
运行以下命令,查看您的安全策略的描述:
kubectl describe securitypolicy <name> -n <namespace>
2.6.6.1.2. 从控制台创建集群安全策略
从控制台创建新策略时,也会在 YAML 编辑器中创建 YAML 文件。
进入 click Governance 页面并点 Create policy。
输入或选择您想要的策略。选择策略后会自动输入参数值。
您的 YAML 文件可能类似以下策略:
+
apiVersion: policy.open-cluster-management.io/v1
kind: Policy
metadata:
name: policy-pod
annotations:
policy.open-cluster-management.io/categories: 'SystemAndCommunicationsProtections,SystemAndInformationIntegrity'
policy.open-cluster-management.io/controls: 'control example'
policy.open-cluster-management.io/standards: 'NIST,HIPAA'
spec:
complianceType: musthave
namespaces:
exclude: ["kube*"]
include: ["default"]
object-templates:
- complianceType: musthave
objectDefinition:
apiVersion: v1
kind: Pod
metadata:
name: pod1
spec:
containers:
- name: pod-name
image: 'pod-image'
ports:
- containerPort: 80
remediationAction: enforce
disabled: false
---
apiVersion: apps.open-cluster-management.io/v1
kind: PlacementBinding
metadata:
name: binding-pod
placementRef:
name: placement-pod
kind: PlacementRule
apiGroup: apps.open-cluster-management.io
subjects:
- name: policy-pod
kind: Policy
apiGroup: policy.open-cluster-management.io
---
apiVersion: apps.open-cluster-management.io/v1
kind: PlacementRule
metadata:
name: placement-pod
spec:
clusterConditions:
- type: ManagedClusterConditionAvailable
status: "True"
clusterLabels:
matchLabels:
cloud: "IBM"点击 Create Policy。从控制台创建了安全策略。
2.6.6.1.2.1. 从控制台查看您的安全策略
在控制台中查看任何安全策略及其状态。
导航到 Governance 页面,查看您的策略的表列表。注:您可以通过选择 Policies 标签页或 Cluster violations 标签页来过滤策略列表。
选择一个策略来查看更多详情。此时会显示 Details、Clusters 和 Templates 标签页。当无法决定集群或策略状态时,会显示以下信息: No status。
