第 2 章 与 CI 系统集成

流程

1. 在 RHACS 门户网站中，导航至 Platform Configuration Policies。
2. 使用全局搜索来搜索 Lifecycle Stage:Build。

流程

1. 在 RHACS 门户网站中，导航至 Platform Configuration Policies。
2. 单击 + New Policy。
3. 输入策略的 Name。
4. 选择策略的严重性级别：Critical, High, Medium, 或 Low。

5. 从 Build、Deploy 或 Runtime 中选择适用于策略的 Lifecycle Stage。您可以选择多个阶段。

   注意

   如果您创建了与 CI 系统集成的新策略，请选择 Build 作为生命周期阶段。

   • 构建时策略适用于镜像字段，如 CVE 和 Dockerfile 指令。
   • 部署时策略可包括所有构建时策略标准。它们也可以拥有集群配置中的数据，如以特权模式运行或挂载 Docker 守护进程套接字。
   • 运行时策略可以包括所有构建时和部署时策略标准，以及运行时进程执行的数据。
6. 在 Description、Rationale 和 Remediation 字段中输入策略的信息。当 CI 验证构建时，会显示这些字段中的数据。因此，包括所有解释策略的信息。
7. 从 Categories 下拉菜单中选择一个类别。

8. 从 Notifications 下拉菜单中选择通知程序，以便在出现此策略违反时接收警报通知。

   注意

   您必须将 Red Hat Advanced Cluster Security for Kubernetes 与通知提供程序（如 webhook、JIRA 或 PagerDuty）集成，以接收警报通知。只有当您集成了任何带有 Red Hat Advanced Cluster Security for Kubernetes 的通知供应商时，通知程序才会显示。

9. 使用 Restrict to Scope，只为特定集群、命名空间或标签启用此策略。您可以添加多个范围，并在 RE2 语法中为命名空间和标签使用正则表达式。
10. 使用 Exclude by Scope 来排除部署、集群、命名空间和标签。此字段表示策略不会应用到您指定的实体。您可以添加多个范围，并在 RE2 语法中为命名空间和标签使用正则表达式。但是，您不能使用正则表达式来选择部署。

11. 对于 排除的镜像（仅限Build Lifecycle），请从列表中选择您不想触发策略违反的所有镜像。

    注意

    排除的镜像(Build Lifecycle) 设置只在您在持续集成系统（构建生命周期阶段）检查镜像时应用。如果您使用此策略检查运行的部署（ Deploy 生命周期阶段）或运行时活动（运行时生命周期阶段）时，它不会生效。

12. 在 Policy Criteria 部分中，配置将触发该策略的属性。
13. 在面板头上选择 Next。
14. 新策略面板显示启用策略时会触发的违反情况。
15. 在面板头上选择 Next。

16. 选择策略的强制行为。强制设置仅适用于您为 Lifecycle Stages 选项选择的各个阶段。选择 ON 强制执行策略并报告违反情况。选择 OFF 仅报告违反情况。

    注意

    各个生命周期阶段的行为都不同。

    • 对于 Build 阶段，当镜像与策略条件匹配时，Red Hat Advanced Cluster Security for Kubernetes 的构建会失败。
    • 对于 Deploy 阶段，Red Hat Advanced Cluster Security for Kubernetes 会阻止创建与策略条件匹配的部署。在进行准入控制器的集群中，Kubernetes 或 OpenShift Container Platform API 服务器会阻断所有不合规的部署。在其他集群中，Red Hat Advanced Cluster Security for Kubernetes 编辑不合规的部署，以防止调度 pod。
    • 对于 Runtime 阶段，Red Hat Advanced Cluster Security for Kubernetes 会停止所有与策略条件匹配的 pod。
    警告

    策略实施可能会影响正在运行的应用程序或开发过程。在启用强制选项前，请告知所有相关人员并计划如何响应自动化执行操作。