第 2 章 与 CI 系统集成

流程

1. 在 RHACS 门户网站中，导航到 Platform Configuration Policies。
2. 使用全局搜索搜索 Lifecycle Stage:Build。

流程

1. 在 RHACS 门户网站中，导航到 Platform Configuration Policies。
2. 单击 + New Policy。
3. 输入策略的 Name。
4. 选择策略的严重性级别：Critical, High, Medium, 或 Low。

5. 选择要应用的 Lifecycle Stages，从 Build、Deploy 或 Runtime。您可以选择多个阶段。

   注意

   如果您创建一个新策略来与 CI 系统集成，请选择 Build 作为生命周期阶段。

   • 构建策略适用于镜像字段，如 CVE 和 Dockerfile 指令。
   • 部署时策略可包括所有构建时策略标准。它们也可以包含来自集群配置的数据，如以特权模式运行或挂载 Docker 守护进程套接字。
   • 运行时策略可包括所有构建时间和部署时间策略标准，以及运行时期间进程执行的数据。
6. 在 Description、Rationale 和 Remediation 字段中输入有关策略的信息。当 CI 验证构建时，会显示来自这些字段的数据。因此，包括解释该策略的所有信息。
7. 从 Categories 下拉菜单中选择一个类别。

8. 从 Notifications 下拉菜单中选择通知程序，该通知在违反此策略时接收警报通知。

   注意

   您必须将 Red Hat Advanced Cluster Security for Kubernetes 与通知提供程序（如 webhook、JIRA 或 PagerDuty）集成以接收警报通知。只有您已将任何通知供应商与 Red Hat Advanced Cluster Security for Kubernetes 集成时，才会显示通知程序。

9. 使用 Restrict to Scope 只在特定集群、命名空间或标签上启用此策略。您可以添加多个范围，并在 RE2 语法中使用正则表达式进行命名空间和标签。
10. 使用范围 排除范围 来排除部署、集群、命名空间和标签。此字段表示策略不适用于您指定的实体。您可以添加多个范围，并在 RE2 语法中使用正则表达式进行命名空间和标签。但是，您无法使用正则表达式来选择部署。

11. 对于 Excluded Images (Build Lifecycle)，请从不想触发策略的违反列表中选择所有镜像。

    注意

    Excluded Images (Build Lifecycle only) 设置仅适用于您在持续集成系统中检查镜像（构建生命周期阶段）。如果您使用此策略来检查正在运行的部署( Deploy 生命周期阶段)或运行时活动( Runtime 生命周期阶段)，则它不会生效。

12. 在 Policy Criteria 部分中，配置将触发该策略的属性。
13. 在面板标题上选择" 下一步"。
14. 新的策略面板显示在启用策略时触发的违反情况的预览。
15. 在面板标题上选择" 下一步"。

16. 选择策略的执行行为。执行设置仅适用于您为 Lifecycle Stages 选项选择的各个阶段。选择 ON 来强制实施策略并报告违反情况。选择 OFF 仅报告违反情况。

    注意

    每个生命周期阶段的执行行为会有所不同。

    • 对于 Build 阶段，当镜像与策略条件匹配时，Red Hat Advanced Cluster Security for Kubernetes 会失败您的 CI 构建。
    • 对于 Deploy 阶段，Red Hat Advanced Cluster Security for Kubernetes 会阻止创建与策略条件匹配的部署。在使用准入控制器强制执行的集群中，Kubernetes 或 OpenShift Container Platform API 服务器会阻断所有不合规的部署。在其他集群中，Red Hat Advanced Cluster Security for Kubernetes 编辑不合规的部署以防止调度 pod。
    • 对于 Runtime 阶段，Red Hat Advanced Cluster Security for Kubernetes 会停止与策略条件匹配的所有 pod。
    警告

    策略执行可能会影响正在运行的应用程序或开发流程。在启用执行选项前，请告知所有利益相关者并规划如何响应自动执行操作。