Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

2.5. 支持的策略

查看支持的策略示例,了解如何在 Red Hat Advanced Cluster Management for Kubernetes 中创建和管理策略时如何在 hub 集群上定义规则、流程和控制。

:您可以将现有策略复制到 Policy YAML 中。当您粘贴现有策略时,会自动输入参数字段的值。您还可以使用搜索功能搜索策略 YAML 文件中的内容。

2.5.1. 开箱即用策略的支持列表
复制链接

Expand
策略Red Hat OpenShift Container Platform 3.11Red Hat OpenShift Container Platform 4

内存用量策略

x

x

命名空间策略

x

x

镜像漏洞策略

x

x

Pod 策略

x

x

Pod 安全策略(已弃用)

  

角色策略

x

x

角色绑定策略

x

x

安全性上下文约束策略(SCC)

x

x

ETCD 加密策略

 

x

Gatekeeper 策略

 

x

Compliance operator 策略

 

x

E8 扫描策略

 

x

OpenShift CIS 扫描策略

 

x

策略设置

 

x

Kyverno 添加网络

 

x

Kyverno 添加配额

 

x

Kyverno 同步 secret

 

x

查看以下策略示例以查看如何应用特定策略:

更多主题,请参阅监管

2.5.2. 内存用量策略
复制链接

Kubernetes 配置策略控制器负责监控内存用量策略的状态。使用内存用量策略来限制或约束您的内存和计算用量。如需更多信息,请参阅 Kubernetes 文档中的限制范围

在以下部分了解更多有关内存用量策略结构的详细信息:

2.5.2.1. 内存用量策略 YAML 结构
复制链接

您的内存用量策略可能类似以下 YAML 文件: 

apiVersion: policy.open-cluster-management.io/v1
kind: Policy
metadata:
  name: policy-limitrange
  namespace:
spec:
  complianceType:
  remediationAction:
  namespaces:
    exclude:
    include:
  object-templates:
    - complianceType:
      objectDefinition:
        apiVersion:
        kind:
        metadata:
          name:
        spec:
          limits:
          - default:
              memory:
            defaultRequest:
              memory:
            type:
        ...
Copy to Clipboard Toggle word wrap

2.5.2.2. 内存用量策略表
复制链接

Expand
字段描述

apiVersion

必需。将值设置为 policy.open-cluster-management.io/v1

kind

必需。将值设为 Policy 以表示策略类型。

metadata.name

必需。用于标识策略资源的名称。

metadata.namespaces

可选。

spec.namespace

必需。策略应用到的节点集群内命名空间。输入 include 的参数值,这是您要将策略应用到的命名空间。exclude 参数指定您明确不希望将策略应用到的命名空间。:在策略控制器的对象模板中指定的命名空间会覆盖对应父策略中的命名空间。

remediationAction

可选。指定您的策略的修复。参数值是 enforceinform

disabled

必需。将值设为 truefalsedisabled 参数提供启用和禁用策略的功能。

spec.complianceType

必需。将值设为 "musthave"

spec.object-template

可选。用于列出必须接受评估或应用到受管集群的任何其他 Kubernetes 对象。

2.5.2.3. 内存用量策略示例
复制链接

请参阅 policy-limitmemory.yaml 查看策略示例。如需了解更多详细信息,请参阅管理安全策略。请参阅 Kubernetes 配置策略控制器以查看控制器监控的其他配置策略。

2.5.3. 命名空间策略
复制链接

Kubernetes 配置策略控制器负责监控命名空间策略的状态。应用命名空间策略来为您的命名空间定义特定规则。

在以下部分了解更多有关命名空间策略结构的详细信息:

2.5.3.1. 命名空间策略 YAML 结构
复制链接

apiVersion: policy.open-cluster-management.io/v1
kind: Policy
metadata:
  name: policy-namespace-1
  namespace:
spec:
  complianceType:
  remediationAction:
  namespaces:
    exclude:
    include:
  object-templates:
    - complianceType:
      objectDefinition:
        kind:
        apiVersion:
        metadata:
          name:
    ...
Copy to Clipboard Toggle word wrap

2.5.3.2. 命名空间策略 YAML 表
复制链接

Expand
字段描述

apiVersion

必需。将值设置为 policy.open-cluster-management.io/v1

kind

必需。将值设为 Policy 以表示策略类型。

metadata.name

必需。用于标识策略资源的名称。

metadata.namespaces

可选。

spec.namespace

必需。策略应用到的节点集群内命名空间。输入 include 的参数值,这是您要将策略应用到的命名空间。exclude 参数指定您明确不希望将策略应用到的命名空间。:在策略控制器的对象模板中指定的命名空间会覆盖对应父策略中的命名空间。

remediationAction

可选。指定您的策略的修复。参数值是 enforceinform

disabled

必需。将值设为 truefalsedisabled 参数提供启用和禁用策略的功能。

spec.complianceType

必需。将值设为 "musthave"

spec.object-template

可选。用于列出必须接受评估或应用到受管集群的任何其他 Kubernetes 对象。

2.5.3.3. 命名空间策略示例
复制链接

请参阅 policy-namespace.yaml 查看策略示例。

如需了解更多详细信息,请参阅管理安全策略。请参阅 Kubernetes 配置策略控制器以了解其他配置策略。

2.5.4. 镜像漏洞策略
复制链接

应用镜像漏洞策略,以利用 Container Security Operator 来检测容器镜像是否有漏洞。如果没有安装 Container Security Operator,该策略会在受管集群上安装它。

镜像漏洞策略由 Kubernetes 配置策略控制器负责检查。有关 Security Operator 的更多信息,请参阅 Quay 存储库中的 Container Security Operator

备注:

查看以下部分以了解更多信息:

2.5.4.1. 镜像漏洞策略 YAML 结构
复制链接

apiVersion: policy.open-cluster-management.io/v1
kind: Policy
metadata:
  name: policy-imagemanifestvulnpolicy
  namespace: default
  annotations:
    policy.open-cluster-management.io/standards: NIST-CSF
    policy.open-cluster-management.io/categories: DE.CM Security Continuous Monitoring
    policy.open-cluster-management.io/controls: DE.CM-8 Vulnerability Scans
spec:
  remediationAction:
  disabled:
  policy-templates:
  - objectDefinition:
      apiVersion: policy.open-cluster-management.io/v1
      kind: ConfigurationPolicy
      metadata:
        name:
      spec:
        remediationAction:
        severity: high
        object-templates:
          - complianceType:
            objectDefinition:
              apiVersion: operators.coreos.com/v1alpha1
              kind: Subscription
              metadata:
                name: container-security-operator
                namespace:
              spec:
                channel:
                installPlanApproval:
                name:
                source:
                sourceNamespace:
  - objectDefinition:
      apiVersion: policy.open-cluster-management.io/v1
      kind: ConfigurationPolicy
      metadata:
        name:
      spec:
        remediationAction:
        severity:
        namespaceSelector:
          exclude:
          include:
        object-templates:
          - complianceType:
            objectDefinition:
              apiVersion: secscan.quay.redhat.com/v1alpha1
              kind: ImageManifestVuln # checking for a kind
---
apiVersion: policy.open-cluster-management.io/v1
kind: PlacementBinding
metadata:
  name: binding-policy-imagemanifestvulnpolicy
  namespace: default
placementRef:
  name:
  kind:
  apiGroup:
subjects:
- name:
  kind:
  apiGroup:
---
apiVersion: apps.open-cluster-management.io/v1
kind: PlacementRule
metadata:
  name: placement-policy-imagemanifestvulnpolicy
  namespace: default
spec:
  clusterConditions:
  - status:
    type:
  clusterSelector:
    matchExpressions:
      []  # selects all clusters if not specified
Copy to Clipboard Toggle word wrap

2.5.4.2. 镜像漏洞策略 YAML 表
复制链接

Expand
字段描述

apiVersion

必需。将值设置为 policy.open-cluster-management.io/v1

kind

必需。将值设为 Policy 以表示策略类型。

metadata.name

必需。用于标识策略资源的名称。

metadata.namespaces

可选。

spec.namespace

必需。策略应用到的节点集群内命名空间。输入 include 的参数值,这是您要将策略应用到的命名空间。exclude 参数指定您明确不希望将策略应用到的命名空间。:在策略控制器的对象模板中指定的命名空间会覆盖对应父策略中的命名空间。

remediationAction

可选。指定您的策略的修复。参数值是 enforceinform

disabled

必需。将值设为 truefalsedisabled 参数提供启用和禁用策略的功能。

spec.complianceType

必需。将值设为 "musthave"

spec.object-template

可选。用于列出必须接受评估或应用到受管集群的任何其他 Kubernetes 对象。

2.5.4.3. 镜像漏洞策略示例
复制链接

请参阅 policy-imagemanifestvuln.yaml。如需更多信息,请参阅管理安全策略

请参阅 Kubernetes 配置策略控制器,以查看配置控制器监控的其他配置策略。

2.5.5. Pod 策略
复制链接

Kubernetes 配置策略控制器负责监控 Pod 策略的状态。应用 Pod 策略来为 Pod 定义容器规则。集群中必须存在 pod 才能使用此信息。

在以下部分了解更多有关 pod 策略结构的详细信息:

2.5.5.1. Pod 策略 YAML 结构
复制链接

apiVersion: policy.open-cluster-management.io/v1
kind: Policy
metadata:
  name: policy-pod
  namespace:
spec:
  complianceType:
  remediationAction:
  namespaces:
    exclude:
    include:
  object-templates:
    - complianceType:
      objectDefinition:
        apiVersion:
        kind: Pod # pod must exist
        metadata:
          name:
        spec:
          containers:
          - image:
            name:
            ports:
            - containerPort:
    ...
Copy to Clipboard Toggle word wrap

2.5.5.2. Pod 策略表
复制链接

Expand
字段描述

apiVersion

必需。将值设置为 policy.open-cluster-management.io/v1

kind

必需。将值设为 Policy 以表示策略类型。

metadata.name

必需。用于标识策略资源的名称。

metadata.namespaces

可选。

spec.namespace

必需。策略应用到的节点集群内命名空间。输入 include 的参数值,这是您要将策略应用到的命名空间。exclude 参数指定您明确不希望将策略应用到的命名空间。:在策略控制器的对象模板中指定的命名空间会覆盖对应父策略中的命名空间。

remediationAction

可选。指定您的策略的修复。参数值是 enforceinform

disabled

必需。将值设为 truefalsedisabled 参数提供启用和禁用策略的功能。

spec.complianceType

必需。将值设为 "musthave"

spec.object-template

可选。用于列出必须接受评估或应用到受管集群的任何其他 Kubernetes 对象。

2.5.5.3. Pod 策略示例
复制链接

请参阅 policy-pod.yaml 查看策略示例。

请参阅 Kubernetes 配置策略控制器,以查看配置控制器监控的其他配置策略。请参阅管理配置策略以管理其他策略。

2.5.6. Pod 安全策略
复制链接

Kubernetes 配置策略控制器负责监控 Pod 安全策略的状态。应用 Pod 安全策略来保护 Pod 和容器。如需更多信息,请参阅 Kubernetes 文档中的 Pod 安全策略

在以下部分了解更多有关 Pod 安全策略结构的详细信息:

2.5.6.1. Pod 安全策略 YAML 结构
复制链接

apiVersion: policy.open-cluster-management.io/v1
kind: Policy
metadata:
  name: policy-podsecuritypolicy
  namespace:
spec:
  complianceType:
  remediationAction:
  namespaces:
    exclude:
    include:
  object-templates:
    - complianceType:
      objectDefinition:
        apiVersion:
        kind: PodSecurityPolicy # no privileged pods
        metadata:
          name:
          annotations:
        spec:
          privileged:
          allowPrivilegeEscalation:
          allowedCapabilities:
          volumes:
          hostNetwork:
          hostPorts:
          hostIPC:
          hostPID:
          runAsUser:
            rule:
          seLinux:
            rule:
          supplementalGroups:
            rule:
          fsGroup:
            rule:
     ...
Copy to Clipboard Toggle word wrap

2.5.6.2. Pod 安全策略表
复制链接

Expand
字段描述

apiVersion

必需。将值设置为 policy.open-cluster-management.io/v1

kind

必需。将值设为 Policy 以表示策略类型。

metadata.name

必需。用于标识策略资源的名称。

metadata.namespaces

可选。

spec.namespace

必需。策略应用到的节点集群内命名空间。输入 include 的参数值,这是您要将策略应用到的命名空间。exclude 参数指定您明确不希望将策略应用到的命名空间。:在策略控制器的对象模板中指定的命名空间会覆盖对应父策略中的命名空间。

remediationAction

可选。指定您的策略的修复。参数值是 enforceinform

disabled

必需。将值设为 truefalsedisabled 参数提供启用和禁用策略的功能。

spec.complianceType

必需。将值设为 "musthave"

spec.object-template

可选。用于列出必须接受评估或应用到受管集群的任何其他 Kubernetes 对象。

2.5.6.3. Pod 安全策略示例
复制链接

请参阅 policy-psp.yaml 查看示例策略。如需更多信息,请参阅管理配置策略

请参阅 Kubernetes 配置策略控制器以查看控制器监控的其他配置策略。

2.5.7. 角色策略
复制链接

Kubernetes 配置策略控制器负责监控角色策略的状态。在 object-template 中定义角色来为集群中的特定角色设置规则和权限。

在以下部分了解更多有关角色策略结构的详细信息:

2.5.7.1. 角色策略 YAML 结构
复制链接

apiVersion: policy.open-cluster-management.io/v1
kind: Policy
metadata:
  name: policy-role
  namespace:
  annotations:
    policy.open-cluster-management.io/standards: NIST-CSF
    policy.open-cluster-management.io/categories: PR.AC Identity Management Authentication and Access Control
    policy.open-cluster-management.io/controls: PR.AC-4 Access Control
spec:
  remediationAction: inform
  disabled: false
  policy-templates:
    - objectDefinition:
        apiVersion: policy.open-cluster-management.io/v1
        kind: ConfigurationPolicy
        metadata:
          name: policy-role-example
        spec:
          remediationAction: inform # will be overridden by remediationAction in parent policy
          severity: high
          namespaceSelector:
            include: ["default"]
          object-templates:
            - complianceType: mustonlyhave # role definition should exact match
              objectDefinition:
                apiVersion: rbac.authorization.k8s.io/v1
                kind: Role
                metadata:
                  name: sample-role
                rules:
                  - apiGroups: ["extensions", "apps"]
                    resources: ["deployments"]
                    verbs: ["get", "list", "watch", "delete","patch"]
---
apiVersion: policy.open-cluster-management.io/v1
kind: PlacementBinding
metadata:
  name: binding-policy-role
  namespace:
placementRef:
  name: placement-policy-role
  kind: PlacementRule
  apiGroup: apps.open-cluster-management.io
subjects:
- name: policy-role
  kind: Policy
  apiGroup: policy.open-cluster-management.io
---
apiVersion: apps.open-cluster-management.io/v1
kind: PlacementRule
metadata:
  name: placement-policy-role
  namespace:
spec:
  clusterConditions:
    - type: ManagedClusterConditionAvailable
      status: "True"
  clusterSelector:
    matchExpressions:
      []

         ...
Copy to Clipboard Toggle word wrap

2.5.7.2. 角色策略表
复制链接

Expand
字段描述

apiVersion

必需。将值设置为 policy.open-cluster-management.io/v1

kind

必需。将值设为 Policy 以表示策略类型。

metadata.name

必需。用于标识策略资源的名称。

metadata.namespaces

可选。

spec.namespace

必需。策略应用到的节点集群内命名空间。输入 include 的参数值,这是您要将策略应用到的命名空间。exclude 参数指定您明确不希望将策略应用到的命名空间。:在策略控制器的对象模板中指定的命名空间会覆盖对应父策略中的命名空间。

remediationAction

可选。指定您的策略的修复。参数值是 enforceinform

disabled

必需。将值设为 truefalsedisabled 参数提供启用和禁用策略的功能。

spec.complianceType

必需。将值设为 "musthave"

spec.object-template

可选。用于列出必须接受评估或应用到受管集群的任何其他 Kubernetes 对象。

2.5.7.3. 角色策略示例
复制链接

应用角色策略来为集群中的特定角色设置规则和权限。如需有关角色的更多信息,请参阅基于角色的访问控制。查看角色策略示例,请参阅 policy-role.yaml

要了解如何管理角色策略,请参阅管理配置策略以了解更多信息。请参阅 Kubernetes 配置策略控制器,以查看监控控制器的其他配置策略。

2.5.8. 角色绑定策略
复制链接

Kubernetes 配置策略控制器负责监控角色绑定策略的状态。应用角色绑定策略,将策略绑定到受管集群中的命名空间。

在以下部分了解更多有关命名空间策略结构的详细信息:

2.5.8.1. 角色绑定策略 YAML 结构
复制链接

apiVersion: policy.open-cluster-management.io/v1
kind: Policy
metadata:
  name:
  namespace:
spec:
  complianceType:
  remediationAction:
  namespaces:
    exclude:
    include:
  object-templates:
    - complianceType:
      objectDefinition:
        kind: RoleBinding # role binding must exist
        apiVersion: rbac.authorization.k8s.io/v1
        metadata:
          name: operate-pods-rolebinding
        subjects:
        - kind: User
          name: admin # Name is case sensitive
          apiGroup:
        roleRef:
          kind: Role #this must be Role or ClusterRole
          name: operator # this must match the name of the Role or ClusterRole you wish to bind to
          apiGroup: rbac.authorization.k8s.io
    ...
Copy to Clipboard Toggle word wrap

2.5.8.2. 角色绑定策略表
复制链接

Expand
字段描述

apiVersion

必需。将值设置为 policy.open-cluster-management.io/v1

kind

必需。将值设为 Policy 以表示策略类型。

metadata.name

必需。用于标识策略资源的名称。

metadata.namespaces

必需。创建了策略的受管集群内命名空间。

spec

必需。有关如何标识和修复合规违反情况的规格。

metadata.name

必需。用于标识策略资源的名称。

metadata.namespaces

可选。

spec.complianceType

必需。将值设为 "musthave"

spec.namespace

必需。要将策略应用到的受管集群命名空间。输入 include 的参数值,这是您要将策略应用到的命名空间。exclude 参数指定您明确不希望将策略应用到的命名空间。:在策略控制器的对象模板中指定的命名空间会覆盖对应父策略中的命名空间。

spec.remediationAction

必需。指定您的策略的修复。参数值是 enforceinform

spec.object-template

必需。用于列出必须接受评估或应用到受管集群的任何其他 Kubernetes 对象。

2.5.8.3. 角色绑定策略示例
复制链接

请参阅 policy-rolebinding.yaml 查看策略示例。有关管理其他策略的更多信息,请参阅管理配置策略

请参阅 Kubernetes 配置策略控制器以了解其他配置策略。

2.5.9. 安全性上下文约束策略
复制链接

Kubernetes 配置策略控制器负责监控安全性上下文约束 (SCC) 策略的状态。应用安全性上下文约束 (SCC) 策略,通过在策略中定义条件来控制 Pod 的权限。

在以下部分了解更多有关 SCC 策略的详细信息:

2.5.9.1. SCC 策略 YAML 结构
复制链接

apiVersion: policy.open-cluster-management.io/v1
kind: Policy
metadata:
  name: policy-scc
  namespace: open-cluster-management-policies
spec:
  complianceType:
  remediationAction:
  namespaces:
    exclude:
    include:
  object-templates:
    - complianceType:
      objectDefinition:
        apiVersion:
        kind: SecurityContextConstraints # restricted scc
        metadata:
          annotations:
            kubernetes.io/description:
          name: sample-restricted-scc
        allowHostDirVolumePlugin:
        allowHostIPC:
        allowHostNetwork:
        allowHostPID:
        allowHostPorts:
        allowPrivilegeEscalation:
        allowPrivilegedContainer:
        allowedCapabilities:
        defaultAddCapabilities:
        fsGroup:
         type:
        groups:
        - system:
        priority:
        readOnlyRootFilesystem:
        requiredDropCapabilities:
        runAsUser:
          type:
        seLinuxContext:
          type:
        supplementalGroups:
          type:
        users:
        volumes:
Copy to Clipboard Toggle word wrap

2.5.9.2. SCC 策略表
复制链接

Expand
字段描述

apiVersion

必需。将值设置为 policy.open-cluster-management.io/v1

kind

必需。将值设为 Policy 以表示策略类型。

metadata.name

必需。用于标识策略资源的名称。

metadata.namespace

必需。创建了策略的受管集群内命名空间。

spec.complianceType

必需。将值设为 "musthave"

spec.remediationAction

必需。指定您的策略的修复。参数值是 enforceinform重要:有些策略可能不支持 enforce 功能。

spec.namespace

必需。要将策略应用到的受管集群命名空间。输入 include 的参数值,这是您要将策略应用到的命名空间。exclude 参数指定您明确不希望将策略应用到的命名空间。:在策略控制器的对象模板中指定的命名空间会覆盖对应父策略中的命名空间。

spec.object-template

必需。用于列出必须接受评估或应用到受管集群的任何其他 Kubernetes 对象。

有关 SCC 策略内容的解释,请参阅 OpenShift Container Platform 文档中的管理安全性上下文约束

2.5.9.3. SCC 策略示例
复制链接

应用安全性上下文约束 (SCC) 策略,通过在策略中定义条件来控制 Pod 的权限。如需更多信息,请参阅管理安全性上下文约束(SCC)

请参阅 policy-scc.yaml 查看策略示例。有关管理其他策略的更多信息,请参阅管理配置策略

请参阅 Kubernetes 配置策略控制器以了解其他配置策略。

2.5.10. ETCD 加密策略
复制链接

应用 etcd-encryption 策略,在 ETCD 数据存储中检测或启用敏感数据的加密。Kubernetes 配置策略控制器负责监控 etcd-encryption 策略的状态。如需更多信息,请参阅 OpenShift Container Platform 文档中的加密 etcd 数据 :ETCD 加密策略只支持 Red Hat OpenShift Container Platform 4 及更新的版本。

在以下部分了解更多有关 etcd-encryption 策略结构的详细信息:

2.5.10.1. ETCD 加密策略 YAML 结构
复制链接

etcd-encryption 策略可能类似以下 YAML 文件: 

apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: policy-etcdencryption
  namespace:
spec:
  complianceType:
  remediationAction:
  namespaces:
    exclude:
    include:
  object-templates:
    - complianceType:
      objectDefinition:
        apiVersion: config.openshift.io/v1
        kind: APIServer
        metadata:
          name: cluster
        spec:
          encryption:
            type:
        ...
Copy to Clipboard Toggle word wrap

2.5.10.2. ETCD 加密策略表
复制链接

Expand
表 2.5. 参数表
字段描述

apiVersion

必需。将值设置为 policy.open-cluster-management.io/v1

kind

必需。将值设为 Policy 以表示策略类型,例如 ConfigurationPolicy

metadata.name

必需。用于标识策略资源的名称。

metadata.namespaces

可选。

spec.namespace

必需。策略应用到的节点集群内命名空间。输入 include 的参数值,这是您要将策略应用到的命名空间。exclude 参数指定您明确不希望将策略应用到的命名空间。:在策略控制器的对象模板中指定的命名空间会覆盖对应父策略中的命名空间。

remediationAction

可选。指定您的策略的修复。参数值是 enforceinform重要:有些策略可能不支持 enforce 功能。

disabled

必需。将值设为 truefalsedisabled 参数提供启用和禁用策略的功能。

spec.complianceType

必需。将值设为 "musthave"

spec.object-template

可选。用于列出必须接受评估或应用到受管集群的任何其他 Kubernetes 对象。请参阅 OpenShift Container Platform 文档中的加密 etcd 数据

2.5.10.3. etcd 加密策略示例
复制链接

如需策略示例,请参阅 policy-etcdencryption.yaml。如需更多信息,请参阅管理安全策略

请参阅 Kubernetes 配置策略控制器以查看控制器监控的其他配置策略。

2.5.11. Compliance operator 策略
复制链接

Compliance Operator 是一个运行 OpenSCAP 的 operator,可让您使 Red Hat OpenShift Container Platform 集群与您需要的安全基准兼容。您可以使用合规 operator 策略在受管集群上安装合规 Operator。

compliance operator 策略在 Red Hat Advanced Cluster Management 中作为 Kubernetes 配置策略创建。OpenShift Container Platform 4.6 和 4.7 支持合规性 Operator 策略。如需更多信息,请参阅 OpenShift Container Platform 文档中的 了解 Compliance Operator 部分以了解更多详细信息。

注: Compliance operator 策略依赖于 OpenShift Container Platform Compliance Operator,它不受 IBM Power 或 IBM Z 架构的支持。如需有关 Compliance Operator 的更多信息,请参阅 OpenShift Container Platform 文档中的了解 Compliance Operator

2.5.11.1. Compliance operator 资源
复制链接

创建合规 Operator 策略时,会创建以下资源:

  • Operator 安装的合规性 operator 命名空间(openshift- compliance): 
apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: comp-operator-ns
spec:
  remediationAction: inform # will be overridden by remediationAction in parent policy
  severity: high
  object-templates:
    - complianceType: musthave
      objectDefinition:
        apiVersion: v1
        kind: Namespace
        metadata:
          name: openshift-compliance
Copy to Clipboard Toggle word wrap
  • 用于指定目标命名空间的 operator 组(compliance-operator): 
apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: comp-operator-operator-group
spec:
  remediationAction: inform # will be overridden by remediationAction in parent policy
  severity: high
  object-templates:
    - complianceType: musthave
      objectDefinition:
        apiVersion: operators.coreos.com/v1
        kind: OperatorGroup
        metadata:
          name: compliance-operator
          namespace: openshift-compliance
        spec:
          targetNamespaces:
            - openshift-compliance
Copy to Clipboard Toggle word wrap
  • 用于引用名称和频道的订阅(comp-operator-subscription)。订阅会拉取配置集作为一个容器,它支持: 
apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: comp-operator-subscription
spec:
  remediationAction: inform  # will be overridden by remediationAction in parent policy
  severity: high
  object-templates:
    - complianceType: musthave
      objectDefinition:
        apiVersion: operators.coreos.com/v1alpha1
        kind: Subscription
        metadata:
          name: compliance-operator
          namespace: openshift-compliance
        spec:
          channel: "4.7"
          installPlanApproval: Automatic
          name: compliance-operator
          source: redhat-operators
          sourceNamespace: openshift-marketplace
Copy to Clipboard Toggle word wrap

安装 compliance operator 策略后,会创建以下 pod:compliance-operatorocp4rhcos4。请参阅 policy-compliance-operator-install.yaml 示例。

安装 compliance Operator 后,您还可以创建并应用 E8 扫描策略和 OpenShift CIS 扫描策略。如需更多信息,请参阅 E8 扫描策略OpenShift CIS 扫描策略

要了解如何管理合规 Operator 策略,请参阅管理安全策略以了解更多详细信息。有关配置策略的更多主题,请参阅 Kubernetes 配置策略控制器

2.5.12. E8 扫描策略
复制链接

一个 Essential 8(E8)扫描策略会部署一个扫描,检查 master 和 worker 节点是否满足 E8 安全配置集。您必须安装 Compliance Operator 以应用 E8 扫描策略。

E8 扫描策略在 Red Hat Advanced Cluster Management 中作为 Kubernetes 配置策略创建。OpenShift Container Platform 4.7 和 4.6 支持 E8 扫描策略。如需更多信息,请参阅 OpenShift Container Platform 文档中的 了解 Compliance Operator 部分以了解更多详细信息。

2.5.12.1. E8 扫描策略资源
复制链接

当您创建 E8 扫描策略时,会创建以下资源:

  • ScanSettingBinding 资源 (e8) 用于识别要扫描的配置集: 

    apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: compliance-suite-e8
spec:
  remediationAction: inform
  severity: high
  object-templates:
    - complianceType: musthave # this template checks if scan has completed by checking the status field
      objectDefinition:
        apiVersion: compliance.openshift.io/v1alpha1
        kind: ScanSettingBinding
        metadata:
          name: e8
          namespace: openshift-compliance
        profiles:
        - apiGroup: compliance.openshift.io/v1alpha1
          kind: Profile
          name: ocp4-e8
        - apiGroup: compliance.openshift.io/v1alpha1
          kind: Profile
          name: rhcos4-e8
        settingsRef:
          apiGroup: compliance.openshift.io/v1alpha1
          kind: ScanSetting
          name: default
    Copy to Clipboard Toggle word wrap

  • 一个 ComplianceSuite 资源 (compliance-suite-e8),用于通过检查 status 字段来验证扫描是否已完成: 

    apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: compliance-suite-e8
spec:
  remediationAction: inform
  severity: high
  object-templates:
    - complianceType: musthave # this template checks if scan has completed by checking the status field
      objectDefinition:
        apiVersion: compliance.openshift.io/v1alpha1
        kind: ComplianceSuite
        metadata:
          name: e8
          namespace: openshift-compliance
        status:
          phase: DONE
    Copy to Clipboard Toggle word wrap

  • 一个 ComplianceCheckResult 资源 (compliance-suite-e8-results),它通过检查 ComplianceCheckResult 自定义资源 (CR) 来报告扫描套件的结果: 

    apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: compliance-suite-e8-results
spec:
  remediationAction: inform
  severity: high
  object-templates:
    - complianceType: mustnothave # this template reports the results for scan suite: e8 by looking at ComplianceCheckResult CRs
      objectDefinition:
        apiVersion: compliance.openshift.io/v1alpha1
        kind: ComplianceCheckResult
        metadata:
          namespace: openshift-compliance
          labels:
            compliance.openshift.io/check-status: FAIL
            compliance.openshift.io/suite: e8
    Copy to Clipboard Toggle word wrap

注: 支持自动补救。将补救操作设置为 enforce 以创建 ScanSettingBinding 资源。

请参阅 policy-compliance-operator-e8-scan.yaml 示例。如需更多信息,请参阅管理安全策略 : 删除 E8 策略后,它会从目标集群或集群中删除。

2.5.13. OpenShift CIS 扫描策略
复制链接

OpenShift CIS 扫描策略会部署一个扫描来检查 master 和 worker 节点是否与 OpenShift CIS 安全基准相符。您必须安装 Compliance operator 以应用 OpenShift CIS 策略。

OpenShift CIS 扫描策略在 Red Hat Advanced Cluster Management 中作为 Kubernetes 配置策略创建。OpenShift Container Platform 4.9、4.7 和 4.6 支持 OpenShift CIS 扫描策略。如需更多信息,请参阅 OpenShift Container Platform 文档中的 了解 Compliance Operator 部分以了解更多详细信息。

2.5.13.1. OpenShift CIS 资源
复制链接

创建 OpenShift CIS 扫描策略时,会创建以下资源:

  • 用于识别要扫描的配置集的 ScanSettingBinding 资源 (cis): 

    apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: compliance-cis-scan
spec:
  remediationAction: inform
  severity: high
  object-templates:
    - complianceType: musthave # this template creates ScanSettingBinding:cis
      objectDefinition:
        apiVersion: compliance.openshift.io/v1alpha1
        kind: ScanSettingBinding
        metadata:
          name: cis
          namespace: openshift-compliance
        profiles:
        - apiGroup: compliance.openshift.io/v1alpha1
          kind: Profile
          name: ocp4-cis
        - apiGroup: compliance.openshift.io/v1alpha1
          kind: Profile
          name: ocp4-cis-node
        settingsRef:
          apiGroup: compliance.openshift.io/v1alpha1
          kind: ScanSetting
          name: default
    Copy to Clipboard Toggle word wrap

  • 一个 ComplianceSuite 资源 (compliance-suite-cis),用于通过检查 status 字段来验证扫描是否已完成: 

    apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: compliance-suite-cis
spec:
  remediationAction: inform
  severity: high
  object-templates:
    - complianceType: musthave # this template checks if scan has completed by checking the status field
      objectDefinition:
        apiVersion: compliance.openshift.io/v1alpha1
        kind: ComplianceSuite
        metadata:
          name: cis
          namespace: openshift-compliance
        status:
          phase: DONE
    Copy to Clipboard Toggle word wrap

  • 一个 ComplianceCheckResult 资源 (compliance-suite-cis-results),它通过检查 ComplianceCheckResult 自定义资源 (CR) 来报告扫描套件的结果: 

    apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: compliance-suite-cis-results
spec:
  remediationAction: inform
  severity: high
  object-templates:
    - complianceType: mustnothave # this template reports the results for scan suite: cis by looking at ComplianceCheckResult CRs
      objectDefinition:
        apiVersion: compliance.openshift.io/v1alpha1
        kind: ComplianceCheckResult
        metadata:
          namespace: openshift-compliance
          labels:
            compliance.openshift.io/check-status: FAIL
            compliance.openshift.io/suite: cis
    Copy to Clipboard Toggle word wrap

请参阅 policy-compliance-operator-cis-scan.yaml 文件示例。有关创建策略的更多信息,请参阅管理安全策略

2.5.14. Kyverno 添加网络策略
复制链接

Kyverno 添加网络策略配置一个名为 default-deny 的新 NetworkPolicy 资源,它拒绝您在创建新命名空间时的所有流量。您必须安装 Kyverno 控制器才能使用 Kyverno 策略。有关安装策略,请参阅 policy-install-kyverno.yaml

在以下部分了解更多有关 policy-kyverno-add-network-policy 策略结构的详细信息:

2.5.14.1. Kyverno 添加网络策略 YAML 结构
复制链接

您的 policy-kyverno-add-network-policy 策略可能类似以下 YAML 文件: 

apiVersion: kyverno.io/v1
kind: ClusterPolicy
metadata:
  name: add-networkpolicy
  annotations:
    policies.kyverno.io/title: Add Network Policy
    policies.kyverno.io/category: Multi-Tenancy
    policies.kyverno.io/subject: NetworkPolicy
    policies.kyverno.io/description: >-
      By default, Kubernetes allows communications across all Pods within a cluster.
      The NetworkPolicy resource and a CNI plug-in that supports NetworkPolicy must be used to restrict
      communications. A default NetworkPolicy should be configured for each Namespace to
      default deny all ingress and egress traffic to the Pods in the Namespace. Application
      teams can then configure additional NetworkPolicy resources to allow desired traffic
      to application Pods from select sources. This policy will create a new NetworkPolicy resource
      named `default-deny` which will deny all traffic anytime a new Namespace is created.
spec:
  rules:
  - name: default-deny
    match:
      resources:
        kinds:
        - Namespace
    generate:
      apiVersion: networking.k8s.io/v1
      kind: NetworkPolicy
      name: default-deny
      namespace: "{{request.object.metadata.name}}"
      synchronize: true
      data:
        spec:
          # select all pods in the namespace
          podSelector: {}
          # deny all traffic
          policyTypes:
          - Ingress
          - Egress
Copy to Clipboard Toggle word wrap

2.5.14.2. Kyverno 添加网络策略示例
复制链接

如需策略示例,请参阅 policy-kyverno-add-network-policy.yaml。请参阅策略概述文档Kubernetes 配置策略控制器,以查看策略和配置策略字段的更多详情。

2.5.15. Kyverno 添加配额策略
复制链接

Kyverno 添加配额策略会在创建新命名空间时配置新的 ResourceQuotaLimitRange 资源。您必须安装 Kyverno 控制器才能使用 Kyverno 策略。有关安装策略,请参阅 policy-install-kyverno.yaml

在以下部分了解更多有关 policy-kyverno-add-quota 策略结构的详细信息:

2.5.15.1. Kyverno 添加配额策略 YAML 结构
复制链接

您的 policy-kyverno-add-quota 策略可能类似以下 YAML 文件: 

apiVersion: kyverno.io/v1
kind: ClusterPolicy
metadata:
  name: add-ns-quota
  annotations:
    policies.kyverno.io/title: Add Quota
    policies.kyverno.io/category: Multi-Tenancy
    policies.kyverno.io/subject: ResourceQuota, LimitRange
    policies.kyverno.io/description: >-
      To better control the number of resources that can be created in a given
      Namespace and provide default resource consumption limits for Pods,
      ResourceQuota and LimitRange resources are recommended.
      This policy will generate ResourceQuota and LimitRange resources when
      a new Namespace is created.
spec:
  rules:
  - name: generate-resourcequota
    match:
      resources:
        kinds:
        - Namespace
    generate:
      apiVersion: v1
      kind: ResourceQuota
      name: default-resourcequota
      synchronize: true
      namespace: "{{request.object.metadata.name}}"
      data:
        spec:
          hard:
            requests.cpu: '4'
            requests.memory: '16Gi'
            limits.cpu: '4'
            limits.memory: '16Gi'
  - name: generate-limitrange
    match:
      resources:
        kinds:
        - Namespace
    generate:
      apiVersion: v1
      kind: LimitRange
      name: default-limitrange
      synchronize: true
      namespace: "{{request.object.metadata.name}}"
      data:
        spec:
          limits:
          - default:
              cpu: 500m
              memory: 1Gi
            defaultRequest:
              cpu: 200m
              memory: 256Mi
            type: Container
Copy to Clipboard Toggle word wrap

2.5.15.2. Kyverno 添加配额策略示例
复制链接

如需策略示例,请参阅 policy-kyverno-add-quota.yaml。请参阅策略概述文档Kubernetes 配置策略控制器,以查看策略和配置策略字段的更多详情。

2.5.16. Kyverno sync secret 策略
复制链接

Kyverno sync secret 策略会将名为 regcred 的 secret(存在于 default 命名空间中) 复制到您在检测到更改时创建和更新 secret 的新命名空间中。您必须安装 Kyverno 控制器才能使用 Kyverno 策略。有关安装策略,请参阅 policy-install-kyverno.yaml

在以下部分了解更多有关 policy-kyverno-sync-secrets 策略结构的详细信息:

2.5.16.1. Kyverno 同步 secret 策略 YAML 结构
复制链接

您的 policy-kyverno-sync-secrets 策略可能类似以下 YAML 文件: 

apiVersion: kyverno.io/v1
kind: ClusterPolicy
metadata:
  name: sync-secrets
  annotations:
    policies.kyverno.io/title: Sync Secrets
    policies.kyverno.io/category: Sample
    policies.kyverno.io/subject: Secret
    policies.kyverno.io/description: >-
      Secrets like registry credentials often need to exist in multiple
      Namespaces so Pods there have access. Manually duplicating those Secrets
      is time consuming and error prone. This policy will copy a
      Secret called `regcred` which exists in the `default` Namespace to
      new Namespaces when they are created. It will also push updates to
      the copied Secrets should the source Secret be changed.
spec:
  rules:
  - name: sync-image-pull-secret
    match:
      resources:
        kinds:
        - Namespace
    generate:
      apiVersion: v1
      kind: Secret
      name: regcred
      namespace: "{{request.object.metadata.name}}"
      synchronize: true
      clone:
        namespace: default
        name: regcred
Copy to Clipboard Toggle word wrap

2.5.16.2. Kyverno 同步 secret 策略策略示例
复制链接

如需策略示例,请参阅 policy-kyverno-sync-secrets.yaml。请参阅策略概述文档Kubernetes 配置策略控制器,以查看策略和配置策略字段的更多详情。

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat