第 2 章 与 CI 系统集成

流程

1. 在 RHACS 门户中，进入 Platform Configuration Policy Management。
2. 使用全局搜索搜索 Lifecycle Stage:Build。

流程

1. 在 RHACS 门户中，进入 Platform Configuration Policy Management。
2. 单击 + New Policy。
3. 输入策略的 Name。
4. 选择策略的严重性级别：Critical, High, Medium, 或 Low。

5. 选择适用于策略的生命周期阶段，Build, Deploy, 或 Runtime。您可以选择多个阶段。

   注意

   如果您为与 CI 系统创建新策略，请选择 Build 作为生命周期阶段。

   • 构建时策略适用于镜像字段，如 CVE 和 Dockerfile 指令。
   • Deployment-time 策略可以包含所有构建时策略标准。它们也可以具有来自集群配置的数据，如以特权模式运行或挂载 Docker 守护进程套接字。
   • 运行时策略可以包含所有构建时间和部署时间策略标准，以及运行时期间进程执行的数据。
6. 在 Description,Rationale, 和 Remediation 字段中输入有关策略的信息。当 CI 验证构建时，将显示这些字段中的数据。因此，包含解释该策略的所有信息。
7. 从 Categories 下拉菜单中选择类别。

8. 从 通知下拉菜单中选择通知程序，该下拉菜单在出现违反此策略时接收警报通知。

   注意

   您必须将 RHACS 与通知供应商（如 Webhook、JIRA 或 PagerDuty）集成，才能接收警报通知。只有在您使用 RHACS 集成任何通知供应商时，才会显示通知程序。

9. 使用 Restrict to Scope 仅为特定集群、命名空间或标签启用此策略。您可以添加多个范围，还可在 RE2 语法中使用正则表达式进行命名空间和标签。
10. 使用 Exclude by Scope 来排除部署、集群、命名空间和标签。此字段表示策略不适用于您指定的实体。您可以添加多个范围，还可在 RE2 语法中使用正则表达式进行命名空间和标签。但是，您无法使用正则表达式来选择部署。

11. 对于 Excluded Images （仅限Build Lifecycle），请从您不想为其触发违反的列表中选择所有镜像。

    注意

    Excluded Images (Build Lifecycle only) 设置仅在检查持续集成系统中的镜像（构建生命周期阶段）时才适用。如果您使用此策略检查运行部署( Deploy 生命周期阶段)或运行时活动( Runtime 生命周期阶段)，则它无效。

12. 在 Policy Criteria 部分中，配置将触发该策略的属性。
13. 在面板标头中选择 Next。
14. 新策略面板显示在启用策略时触发的违反情况的预览。
15. 在面板标头中选择 Next。

16. 选择策略的强制行为。强制设置仅适用于您为 Lifecycle Stages 选项选择的阶段。选择 ON 强制执行策略并报告违反情况。选择 OFF 只报告违反情况。

    注意

    每个生命周期阶段的强制行为都有所不同。

    • 对于 Build 阶段，当镜像与策略条件匹配时，RHACS 将无法进行 CI 构建。

    • 对于 Deploy 阶段，如果 RHACS 准入控制器配置并运行，RHACS 会阻止创建和更新与策略条件匹配的部署。

      • 在带有准入控制器强制的集群中，Kubernetes 或 OpenShift Container Platform API 服务器会阻止所有不合规的部署。在其他集群中，RHACS 编辑不合规部署，以防止调度 pod。
      • 对于现有部署，策略更改仅在发生 Kubernetes 事件时在下次检测条件时导致强制。有关强制的更多信息，请参阅"部署阶段的安全策略强制"。
    • 对于 Runtime 阶段，RHACS 会停止与策略条件匹配的所有 pod。
    警告

    策略实施可能会影响运行应用程序或开发流程。在启用强制选项前，请通知所有利益相关者，并计划如何响应自动强制操作。