支持控制台(Console)开发人员开始试用联系人

2.6. 管理监管仪表板

使用 监管 仪表板创建、查看和编辑资源,管理您的安全策略和策略违反情况。您可以使用命令行和控制台为您的策略创建 YAML 文件。从控制台继续读取 监管 仪表板的详细信息。

2.6.1. 监管页面

Governance page OverviewPolicy set and Policies 中显示以下标签页。阅读以下描述以了解显示哪些信息:

  • 概述

    以下概述卡显示在 Overview 选项卡中: Policy set violations,Policy violations,Clusters,Categories, Controls,Standards

  • 策略集合

    创建和管理 hub 集群策略集。

  • 策略(policy)

    • 创建和管理安全策略。策略列表列出了以下策略详情:显示 NameNamespaceCluster violations
    • 您可以编辑、启用或禁用,将补救设置为 inform 或 enforce,或通过选择 Actions 图标来删除策略。您可以通过选择要展开行的下拉箭头来查看特定策略的类别和标准。
    • Manage 列中 重新排序您的表列。为要显示的对话框选择 Manage 列 图标。要重新排序列,选择 Reorder 图标并移动列名称。对于您要出现在表中的列,点特定列名称的复选框,然后选择 Save 按钮。

    • 选择多个策略并点击 Actions 按钮来完成批量操作。您还可以点 Filter 按钮自定义您的策略表。

      当您在表列表中选择一个策略时,控制台中会显示以下信息标签页:

      • Details :选择 Details 选项卡来查看策略详情和放置详情。在 Placement 表中,Compliance 列提供了查看所显示集群的合规性的链接。
      • Results :选择 Results 选项卡来查看与放置关联的所有集群的表列表。
  • Message 列中,点 View details 链接来查看模板详情、模板 YAML 和相关资源。您还可以查看相关的资源。点 View history 链接查看违反消息以及最后一次报告的时间。

2.6.2. 监管自动化配置

如果为特定策略配置了自动化,您可以选择自动化来查看更多详情。查看以下自动化调度频率选项的描述:

  • Manual run:手动将此自动化设置为运行一次。在自动化运行后,它将设置为 disabled注:您只能在禁用调度频率时选择 Manual run 模式。
  • Run once mode:违反策略时,自动化将运行一次。在自动化运行后,它将设置为 disabled。在将自动化设置为禁用后,您必须继续手动运行自动化。当使用 once mode 时,target_clusters 的额外变量会自动提供违反策略的集群列表。Ansible Automation Platform Job 模板需要为 EXTRA VARIABLES 段(也称为 extra_vars)启用 PROMPT ON LAUNCH
  • 运行 everyEvent 模式 :违反策略时,每个受管集群的唯一策略都会运行自动化。使用 DelayAfterRunSeconds 参数在同一集群中重启自动化前设置最小秒数。如果策略在延迟期内违反多次,并保持在违反的状态,则自动化会在延迟期后运行一次。默认值为 0 秒,它仅适用于 everyEvent 模式。当您运行 everyEvent 模式时,target_clusters 和 Ansible Automation Platform 作业模板的额外变量与 once mode 相同。
  • Disable automation:当调度的自动化被设置为禁用时,在更新设置前不会运行自动化。

Ansible Automation Platform 作业的 extra_vars 中会自动提供以下变量:

  • policy_name:在 hub 集群上启动 Ansible Automation Platform 作业的不合规根策略的名称。
  • policy_namespace: root 策略的命名空间。
  • hub_cluster :hub 集群的名称,它由集群 DNS 对象中的值决定。
  • policy_sets :此参数包含根策略的所有关联的策略集名称。如果策略不在策略集中,policy_set 参数为空。
  • policy_violations :此参数包含不合规集群名称的列表,值是每个不合规集群的策略 status 字段。

2.6.3. 其他资源

查看以下主题以了解更多有关创建和更新您的安全策略的信息。

2.6.4. 为监管配置 Ansible Automation Platform

Red Hat Advanced Cluster Management for Kubernetes 监管可与 Red Hat Ansible Automation Platform 集成,以创建策略违反自动化。您可以从 Red Hat Advanced Cluster Management 控制台配置自动化。

2.6.4.1. 先决条件

  • Red Hat OpenShift Container Platform 4.12 或更高版本
  • 已安装 Ansible Automation Platform 版本 3.7.3 或更高版本。最佳实践是安装最新支持的 Ansible Automation Platform 版本。如需了解更多详细信息,请参阅 Red Hat Ansible Automation Platform 文档

  • 从 Operator Lifecycle Manager 安装 Ansible Automation Platform Resource Operator。在 Update Channel 部分中,选择 stable-2.x-cluster-scoped。选择 All namespaces on the cluster (default) 安装模式。

    注: 在运行 Ansible Automation Platform 作业模板时,请确保 Ansible Automation Platform 作业模板是幂等的。如果没有 Ansible Automation Platform Resource Operator,您可以在 Red Hat OpenShift Container Platform OperatorHub 页面中找到它。

有关安装和配置 Red Hat Ansible Automation Platform 的更多信息,请参阅设置 Ansible 任务

2.6.4.2. 从控制台创建策略违反自动化

登录到 Red Hat Advanced Cluster Management hub 集群后,从导航菜单中选择 Governance,然后点 Policies 选项卡来查看策略表。

单击 Automation 列中的 Configure,为特定策略配置自动化。当策略自动化面板出现时,您可以创建自动化。在 Ansible credential 部分中,单击下拉菜单来选择 Ansible 凭据。如果您需要添加凭证,请参阅管理凭证概述

:此凭证复制到与策略相同的命名空间中。该凭据供创建用于启动自动化的 AnsibleJob 资源使用。控制台的 Credentials 部分中的 Ansible 凭据更改会被自动更新。

选择了凭据后,单击 Ansible 作业下拉列表来选择作业模板。在 Extra variables 部分,添加来自 PolicyAutomationextra_vars 部分中的参数值。选择自动化的频率。您可以选择 Run once modeRun everyEvent modeDisable automation

选择 Submit 保存您的策略违反自动化。当您从 Ansible 作业详情侧面板选择 View Job 链接时,链接会将您定向到 Search 页面上的作业模板。成功创建自动化后,它会显示在 Automation 列中。

注: 当您删除具有关联策略自动化的策略时,策略自动化会在清理过程中自动删除。

您的策略违反自动化是从控制台创建的。

2.6.4.3. 通过 CLI 创建策略违反自动化

完成以下步骤,通过 CLI 配置策略违反自动化:

  1. 在终端中,使用 oc login 命令登录到 Red Hat Advanced Cluster Management hub 集群。
  2. 查找或创建您要向其添加自动化的策略。请注意策略名称和命名空间。

  3. 使用以下示例创建 PolicyAutomation 资源,作为指南: 

    apiVersion: policy.open-cluster-management.io/v1beta1
kind: PolicyAutomation
metadata:
  name: policyname-policy-automation
spec:
  automationDef:
    extra_vars:
      your_var: your_value
    name: Policy Compliance Template
    secret: ansible-tower
    type: AnsibleJob
  mode: disabled
  policyRef: policyname
  4. 上例中的 Automation 模板名称是 Policy Compliance Template。更改该值,使其与您的任务模板名称匹配。
  5. extra_vars 部分中,添加您需要传递给 Automation 模板的任何参数。
  6. 将模式设置为 onceeveryEventdisabled
  7. policyRef 设置为您的策略的名称。
  8. 在与包含 Ansible Automation Platform 凭据的 PolicyAutomation 资源相同的命名空间中创建一个 secret。在上例中,secret 名称为 ansible-tower。使用应用程序生命周期中的示例来查看如何创建 secret。

  9. 创建 PolicyAutomation 资源。

    备注:

    • 可以通过在 PolicyAutomation 资源中添加以下注解来立即运行策略自动化: 

      metadata:
  annotations:
    policy.open-cluster-management.io/rerun: "true"
    • 当策略为 once 模式时,当策略不合规时自动化将运行。添加名为 target_clustersextra_vars 变量,值是每个受管集群名称的数组,其中的策略不合规。
    • 当策略处于 everyEvent 模式且 DelayAfterRunSeconds 超过定义的时间值时,策略不合规,且自动化会针对每个策略违反。
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.