红帽全球峰会2.4. 集成第三方策略控制器
集成第三方策略,在策略模板中创建自定义注解,以指定一个或多个合规标准、控制类别和控制。
您还可以使用来自 policy-collection/community 中的第三方策略。
了解如何集成以下第三方策略:
2.4.1. 集成 gatekeeper 约束和约束模板
Gatekeeper 是一个验证 webhook,它强制执行基于自定义资源定义(CRD)的策略,该策略与 Open Policy Agent(OPA)一起运行。您可以使用 gatekeeper operator 策略在集群中安装 gatekeeper。Gatekeeper 策略可用于评估 Kubernetes 资源合规性。您可以使用 OPA 作为策略引擎,并使用 Rego 作为策略语言。
gatekeeper 策略在 Red Hat Advanced Cluster Management 中作为 Kubernetes 配置策略创建。Gatekeeper 策略包括约束模板(ConstraintTemplates)和 Constraints、审计模板和准入模板。如需更多信息,请参阅 Gatekeeper 上游存储库。
Red Hat Advanced Cluster Management 支持 Gatekeeper 版本 3.3.0,并在 Red Hat Advanced Cluster Management gatekeeper 策略中应用以下约束模板:
ConstraintTemplates和约束: 使用policy-gatekeeper-k8srequiredlabels策略在受管集群上创建 gatekeeper 约束模板。Copy to Clipboard Copied! Toggle word wrap Toggle overflow audit 模板: 使用
policy-gatekeeper-audit定期检查并评估为检测现有错误配置而强制执行的门管理器策略的现有资源。Copy to Clipboard Copied! Toggle word wrap Toggle overflow Admission 模板: 使用
policy-gatekeeper-admission检查由 gatekeeper admission webhook 创建的错误配置:Copy to Clipboard Copied! Toggle word wrap Toggle overflow
如需了解更多详细信息,请参阅 policy-gatekeeper-sample.yaml。
2.4.2. 策略生成器
策略生成器是 Red Hat Advanced Cluster Management for Kubernetes 应用程序生命周期订阅 GitOps 工作流的一部分,该工作流使用 Kustomize 生成 Red Hat Advanced Cluster Management for Kubernetes 策略。策略生成器从 Kubernetes 清单 YAML 文件构建 Red Hat Advanced Cluster Management for Kubernetes 策略,该文件通过用于配置它的 PolicyGenerator 清单 YAML 文件提供。策略生成器作为 Kustomize 生成器插件实施。有关 Kustomize 的更多信息,请参阅 Kustomize 文档。
此 Red Hat Advanced Cluster Management 版本捆绑的策略生成器版本是 v1.8.0。
2.4.2.1. 策略生成器功能
策略生成器及其与 Red Hat Advanced Cluster Management 应用程序生命周期 订阅 GitOps 工作流的集成简化了 Kubernetes 资源对象的分发到受管 OpenShift 集群,并通过 Red Hat Advanced Cluster Management 策略简化了 Kubernetes 集群的分发。特别是,使用策略生成器完成以下操作:
- 将任何 Kubernetes 清单文件转换为 Red Hat Advanced Cluster Management 配置策略。
- 在将输入 Kubernetes 清单插入到生成的 Red Hat Advanced Cluster Management 策略前对其进行补丁。
- 生成额外的配置策略,以便能够通过 Red Hat Advanced Cluster Management for Kubernetes 报告 Gatekeeper 和 Kyverno 策略违反情况。
- 在 hub 集群上生成策略集。如需了解更多详细信息,请参阅策略设置控制器。
如需更多信息,请查看以下主题:
2.4.2.2. 策略生成器配置结构
策略生成器是一个 Kustomize 生成器插件,它配置了一个 PolicyGenerator kind 和 policy.open-cluster-management.io/v1 API 版本的清单。
要使用该插件,请首先在 kustomization.yaml 文件中添加一个 generators 部分。查看以下示例:
generators: - policy-generator-config.yaml
generators:
- policy-generator-config.yaml
上例中引用的 policy-generator-config.yaml 文件是一个 YAML 文件,其中包含要生成的策略的说明。简单的策略生成器配置文件可能类似以下示例:
configmap.yaml 代表要包含在策略中的 Kubernetes 清单 YAML 文件。查看以下示例:
生成的 Policy 以及生成的 PlacementRule 和 PlacementBinding 可能类似以下示例:
如需了解更多详细信息,请参阅 policy-generator-plugin 存储库。
2.4.2.3. 生成用于安装 Operator 的策略
Red Hat Advanced Cluster Management 策略的一个常见用途是在一个或多个受管 OpenShift 集群上安装 Operator。查看以下不同安装模式和所需资源的示例。
2.4.2.3.1. 安装 OpenShift GitOps 的策略
本例演示了如何生成一个策略,以使用策略生成器安装 OpenShift GitOps。OpenShift GitOps 操作器 提供所有命名空间 安装模式。首先,需要按照以下示例创建名为 openshift-gitops-subscription.yaml 的订阅清单文件。
要固定到 Operator 的特定版本,您可以添加以下参数和值: spec.startingCSV: openshift-gitops-operator.v<version>。将 <version> 替换为您的首选版本。
接下来,需要名为 policy-generator-config.yaml 的策略生成器配置文件。以下示例显示了一个策略,它将在所有 OpenShift 受管集群上安装 OpenShift GitOps:
所需的最后一个文件是 kustomization.yaml 文件。kustomization.yaml 文件需要以下配置:
generators: - policy-generator-config.yaml
generators:
- policy-generator-config.yaml生成的策略可能类似以下文件:
所有输入来自 OpenShift Container Platform 文档中的策略,并由策略生成器生成。查看 OpenShift Container Platform 文档中的以下 YAML 输入示例:
如需了解更多详细信息,请参阅 了解 OpenShift GitOps 和 Operator 文档。
2.4.2.3.2. 安装 Compliance Operator 的策略
对于使用 命名空间安装模式的 Operator,如 Compliance Operator,还需要 OperatorGroup 清单。本例演示了安装 Compliance Operator 的生成的策略。
首先,必须创建一个带有 Namespace、Subscription 和名为 compliance-operator.yaml 的 OperatorGroup 清单的 YAML 文件。以下示例将这些清单安装到 compliance-operator 命名空间中:
接下来,需要名为 policy-generator-config.yaml 的策略生成器配置文件。以下示例显示了在一个 OpenShift 受管集群上安装 Compliance Operator 的单一策略:
所需的最后一个文件是 kustomization.yaml 文件。kustomization.yaml 文件中需要以下配置:
generators: - policy-generator-config.yaml
generators:
- policy-generator-config.yaml因此,生成的策略应类似以下文件:
如需了解更多详细信息,请参阅 Compliance Operator 文档。
2.4.2.4. 在 OpenShift GitOps (ArgoCD) 上安装策略生成器
基于 ArgoCD 的 OpenShift GitOps 也可用于通过 GitOps 使用策略生成器生成策略。由于 OpenShift GitOps 容器镜像中没有预安装策略生成器,因此需要进行一些自定义。为了继续操作,预计在 Red Hat Advanced Cluster Management hub 集群中安装了 OpenShift GitOps Operator,并确保登录到 hub 集群。
为了使 OpenShift GitOps 在运行 Kustomize 时可以访问策略生成器,需要初始容器将 Red Hat Advanced Cluster Management Application Subscription 容器镜像中的策略生成器二进制文件复制到 OpenShift GitOps 容器,该运行 Kustomize。如需了解更多详细信息,请参阅在部署 pod 前使用初始容器执行任务。另外,OpenShift GitOps 必须被配置为在运行 Kustomize 时提供 --enable-alpha-plugins 标志。使用以下命令开始编辑 OpenShift GitOps argocd 对象:
oc -n openshift-gitops edit argocd openshift-gitops
oc -n openshift-gitops edit argocd openshift-gitops
然后,修改 OpenShift GitOps argocd 对象使其包含以下额外的 YAML 内容。当发布新的 Red Hat Advanced Cluster Management 主版本且您要将策略生成器更新至更新的版本时,您需要更新 registry.redhat.io/rhacm2/multicluster-operators-subscription-rhel8 镜像,供 Init 容器用于较新的标签。查看以下示例,将 <version> 替换为 2.5 或所需的 Red Hat Advanced Cluster Management 版本:
现在,OpenShift GitOps 可以使用策略生成器,OpenShift GitOps 必须被授予在 Red Hat Advanced Cluster Management hub 集群中创建策略的访问权限。创建以下 ClusterRole 资源,名为 openshift-gitops-policy-admin,它有权创建、读取、更新和删除策略和放置。您的 ClusterRole 可能类似以下示例:
另外,创建一个 ClusterRoleBinding 对象来授予 OpenShift GitOps 服务帐户对 openshift-gitops-policy-admin ClusterRole 的访问权限。ClusterRoleBinding 可能类似以下资源:
2.4.2.5. 策略生成器配置参考表
请注意,每个策略可覆盖 policyDefaults 部分中除 namespace 以外的所有字段。
| 字段 | 描述 |
|---|---|
| apiVersion |
必需。将值设置为 |
| complianceType |
可选。决定在将清单与集群上对象进行比较时的策略控制器行为。参数值为 |
| kind |
必需。将值设为 |
| metadata | 必需。用于唯一标识配置文件。 |
| metadata.name | 必需。用于标识策略资源的名称。 |
| placementBindingDefaults |
必需。用于整合 |
| placementBindingDefaults.name | 可选。最佳实践是设置要使用的显式放置绑定名称,而不使用默认值。 |
| policyDefaults |
必需。对于 policies 数组中的条目,这里列出的任何默认值都会被覆盖,但 |
| policyDefaults.categories |
可选。 |
| policyDefaults.controls |
可选。 |
| policyDefaults.consolidateManifests |
可选。这决定了是否为策略中包含的所有清单生成单一配置策略。如果设置为 |
| policyDefaults.informGatekeeperPolicies |
可选。当策略引用违反 gatekeeper 策略清单时,这决定了是否应生成额外的配置策略以便在 Red Hat Advanced Cluster Management 中接收策略违反情况。默认值为 |
| policyDefaults.informKyvernoPolicies |
可选。当策略引用 Kyverno 策略清单时,这决定了在 Kyverno 策略被违反时,是否应生成额外的配置策略来接收 Red Hat Advanced Cluster Management 中的策略违反情况。默认值为 |
| policyDefaults.namespace | 必需。所有策略的命名空间。 |
| policyDefaults.placement | 可选。策略的放置配置。这默认为与所有集群匹配的放置配置。 |
| placement.clusterSelectors |
可选。通过以以下格式 |
| placement.name | 可选。指定一个名称来整合包含相同集群选择器的放置规则。 |
| placement.placementRulePath |
可选。要重复使用现有放置规则,请指定相对于 |
| policyDefaults.remediationAction |
可选。策略的补救机制。参数值是 |
| policyDefaults.severity |
可选。策略违反的严重性。默认值为 |
| policyDefaults.standards |
可选。 |
| policies |
必需。要创建的策略列表以及覆盖默认值或 |
| policies[ ].manifests | 必需。策略中包含的 Kubernetes 对象清单列表。 |
| policies[ ].name | 必需。要创建的策略的名称。 |
| policies[ ].manifests[ ].complianceType |
可选。决定在将清单与集群上对象进行比较时的策略控制器行为。参数值为 |
| policies[ ].manifests[ ].path |
必需。与 |
| policies[ ].manifests[ ].patches |
可选。应用到路径上清单的 Kustomize 补丁程序。如果有多个清单,补丁需要设置 |
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}