第 2 章 监管
对于在私有云、多云和混合云环境中部署的工作负载,企业必须满足内部对软件工程、安全工程、弹性、安全性以及规范标准的要求。Red Hat Advanced Cluster Management for Kubernetes 监管功能为企业引进自己的安全策略提供了一个可扩展的策略框架。
2.1. 监管架构
使用 Red Hat Advanced Cluster Management for Kubernetes 监管声明周期来增强集群的安全性。产品监管生命周期基于定义的策略、流程和程序,以便可以通过一个中央接口页面来管理安全性和合规性。参阅以下监管架构图:
监管架构由以下组件组成:
监管仪表板:提供云监管和风险详情的概述信息,其中包括策略和集群违反情况。请参阅管理安全策略部分,以了解 Red Hat Advanced Cluster Management for Kubernetes 策略的结构,以及如何使用 Red Hat Advanced Cluster Management for Kubernetes Governance 仪表板。
备注:
-
当策略传播到受管集群时,首先会复制到 hub 集群上的集群命名空间中,并使用
namespaceName.policyName命名并标记。在创建策略时,请确保namespaceName.policyName的长度不超过 63 个字符,因为 Kubernetes 对标签值有限制。 -
当您在 hub 集群中搜索策略时,您可能还会在受管集群命名空间中收到复制策略的名称。例如,如果您在
default命名空间中搜索policy-dhaz-cert,hub 集群中的以下策略名称可能也会出现在受管集群命名空间中:default.policy-dhaz-cert。
-
当策略传播到受管集群时,首先会复制到 hub 集群上的集群命名空间中,并使用
- 基于策略的监管框架: 支持根据与集群关联的属性(如一个地区)支持策略创建和部署到各种受管集群。以下是在开源社区中向集群部署策略的预定义策略和说明的示例。另外,当出现违反策略的情况时,可以将自动化配置为运行并采取用户选择的任何操作。
- 策略控制器:根据您的指定控制在受管集群中评估一个或多个策略,并为违反行为生成 Kubernetes 事件。违反行为会被传播到 hub 集群中。安装中包含的策略控制器如下: Kubernetes 配置、证书和 IAM。使用高级配置自定义策略控制器。
-
开源社区:在 Red Hat Advanced Cluster Management 策略框架的基础上支持社区贡献。策略控制器和第三方策略也是
stostron/policy-collection存储库的一部分。您可以使用 GitOps 贡献和部署策略。如需更多信息,请参阅管理安全策略部分中的使用 GitOps 部署策略。了解如何将第三方策略与 Red Hat Advanced Cluster Management for Kubernetes 集成。
继续阅读相关主题:
