支持控制台(Console)开发人员开始试用联系人

第 10 章 为外部网络访问配置代理

如果您的网络配置限制了通过代理的出站流量,您可以在 Red Hat Advanced Cluster Security for Kubernetes 中配置代理设置,以通过代理路由流量。

当您将代理与 Red Hat Advanced Cluster Security for Kubernetes 搭配使用时:

  • 来自 Central 和 Scanner 的所有传出 HTTP、HTTPS 和其他 TCP 流量都通过代理。
  • Central 和 Scanner 之间的流量不会通过代理。
  • 代理配置不会影响其他 Red Hat Advanced Cluster Security for Kubernetes 组件。

  • 当您没有使用离线模式时,在安全集群中运行的 Collector 需要在运行时下载额外的 eBPF 探测或内核模块:

    • 收集器尝试通过联系 Sensor 来下载它们。
    • 然后,Sensor 将这个请求转发到 Central。
    • Central 使用代理在 https://collector-modules.stackrox.io 找到模块或探测。

10.1. 在现有部署上配置代理

要在现有部署中配置代理,您必须将 proxy-config secret 导出为 YAML 文件,更新该文件中的代理配置,并将其上传为 secret。

注意

如果您在 OpenShift Container Platform 集群上配置了全局代理,Operator Lifecycle Manager (OLM)会自动配置使用集群范围代理管理的 Operator。但是,您还可以配置已安装的 Operator 来覆盖全局代理或注入自定义证书颁发机构(CA)证书。

如需更多信息,请参阅 Operator Lifecycle Manager 中的配置代理支持

流程

  1. 将现有 secret 保存为 YAML 文件: 

    $ oc -n stackrox get secret proxy-config \
  -o go-template='{{index .data "config.yaml" | \
  base64decode}}{{"\n"}}' > /tmp/proxy-config.yaml
  2. 编辑 YAML 配置文件中要修改的字段,如在安装过程中 Configure proxy 中指定的。

  3. 保存更改后,运行以下命令替换 secret: 

    $ oc -n stackrox create secret generic proxy-config \
  --from-file=config.yaml=/tmp/proxy-config.yaml -o yaml --dry-run | \
  oc label -f - --local -o yaml app.kubernetes.io/name=stackrox | \
  oc apply -f -
    重要
    • 您必须至少等待 1 分钟,直到 OpenShift Container Platform 将更改传播到 Central 和 Scanner。
    • 如果在更改代理配置后看到传出连接的问题,您必须重启您的 Central 和 Scanner pod。
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.