Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

第 2 章 使用 Compliance Operator

您可以将 RHACS 配置为使用 Compliance Operator 进行 OpenShift Container Platform 集群的合规性报告和补救。Compliance Operator 的结果在 RHACS Compliance Dashboard 中报告。

注意

您必须在您要检查合规的每个安全集群中安装 Compliance Operator。

Compliance Operator 自动审查许多技术实施,并将其与行业标准、基准和基准的某些方面进行比较。

Compliance Operator 不是一个审核员(auditor)。为了遵守这些各种标准或认证,您必须与授权的审计员参与,如合格的安全评估者(QSA)、联合授权局(JAB)或其他行业认可监管机构来评估您的环境。

Compliance Operator 根据与此类标准相关的通用信息和实践提出建议,并协助补救,但实际合规是您的责任。您需要与授权的审核员合作,以达到符合标准的要求。

有关最新更新,请参阅 Compliance Operator 发行注记

2.1.1. 安装 Compliance Operator
复制链接

使用 Operator Hub 安装 Compliance Operator。

重要

如果在 Sensor 完全正常工作后安装 Compliance Operator,您必须在安全集群中重启 Sensor。

有关重启 Sensor 的更多信息,请参阅"添加资源"部分中的"重启 Sensor"。

流程

  1. 在 Web 控制台中,进入 Operators OperatorHub 页面。
  2. Filter by keyword 框中输入 Compliance operator 以查找 Compliance Operator。
  3. 选择 Compliance Operator 查看详情页面。
  4. 阅读 Operator 的信息,然后点 Install

后续步骤

其他资源

2.1.2. 在安全集群中重启 Sensor
复制链接

如果在安装 RHACS 后安装 Compliance Operator,则需要使用命令行界面(CLI)或用户界面(UI)在安全集群中重启 Sensor。

流程

  • 要从 CLI 重启 Sensor,请运行以下命令: 

    $ oc -n stackrox delete pod -lapp=sensor
    Copy to Clipboard Toggle word wrap

  • 要从 UI 重启 Sensor,请执行以下步骤:

    1. 将活动项目更改为 stackrox
    2. 进入 Workloads Pods
    3. 找到名称以 sensor- 开头的 pod,然后单击 Actions Delete Pod

2.1.3. 配置 ScanSettingBinding 对象
复制链接

openshift-compliance 命名空间中创建 ScanSettingBinding 对象,以使用 ciscis-node 配置集扫描集群。

重要

  • 如果使用合规性 2.0 功能,您可以使用 RHACS 创建合规性扫描计划而不是在 Compliance Operator 上创建 ScanSettingBinding 来调度扫描。

    有关使用合规性 2.0 功能调度合规性扫描的更多信息,请参阅"添加资源"部分中的"自定义和自动化合规性扫描"。

  • 本例使用 ocp4-cisocp4-cis-node 配置集,但 OpenShift Container Platform 提供了额外的配置集。如需更多信息,请参阅"添加资源"部分中的"了解 Compliance Operator"。
重要

Compliance 2.0 只是一个技术预览功能。技术预览功能不受红帽产品服务等级协议(SLA)支持,且功能可能并不完整。红帽不推荐在生产环境中使用它们。这些技术预览功能可以使用户提早试用新的功能,并有机会在开发阶段提供反馈意见。

有关红帽技术预览功能支持范围的更多信息,请参阅技术预览功能支持范围

流程

选择以下选项之一:

  • 使用 CLI 创建 YAML 文件和对象。例如:

    1. 使用以下文本创建名为 sscan.yaml 的文件: 

      apiVersion: compliance.openshift.io/v1alpha1
kind: ScanSettingBinding
metadata:
  name: cis-compliance
profiles:
  - name: ocp4-cis-node
    kind: Profile
    apiGroup: compliance.openshift.io/v1alpha1
  - name: ocp4-cis
    kind: Profile
    apiGroup: compliance.openshift.io/v1alpha1
settingsRef:
  name: default
  kind: ScanSetting
  apiGroup: compliance.openshift.io/v1alpha1
      Copy to Clipboard Toggle word wrap

    2. 运行以下命令来创建 ScanSettingBinding 对象: 

      $ oc create -f sscan.yaml -n openshift-compliance
      Copy to Clipboard Toggle word wrap

      如果成功,会显示以下信息: 

      $ scansettingbinding.compliance.openshift.io/cis-compliance created
      Copy to Clipboard Toggle word wrap

  • 通过执行以下步骤来创建对象:

    1. 将活动项目更改为 openshift-compliance
    2. + 打开 Import YAML 页面。
    3. 粘贴上例中的 YAML,然后点 Create

验证

  1. 在 RHACS 中运行合规性扫描。

    有关使用 compliance 1.0 功能运行合规性扫描的更多信息,请参阅"添加资源"部分中的"运行合规性扫描"。

  2. 确保显示 ocp4-cisocp4-cis-node 结果。

其他资源

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat