第 10 章 为外部网络访问配置代理
如果您的网络配置通过代理限制出站流量,您可以在 Red Hat Advanced Cluster Security for Kubernetes 中配置代理设置,以通过代理路由流量。
当在 Red Hat Advanced Cluster Security for Kubernetes 中使用代理时:
- 来自 Central 和 Scanner 的所有传出 HTTP、HTTPS 和其他 TCP 流量都通过代理。
- Central 和 Scanner 之间的流量不会通过代理。
- 代理配置不会影响其他 Red Hat Advanced Cluster Security for Kubernetes 组件。
如果没有使用离线模式,且在安全集群中运行的 Collector 需要在运行时下载额外的 eBPF 探测:
- 收集器尝试通过联系 Sensor 来下载它们。
- 然后,Sensor 将这个请求转发到 Central。
-
Central 使用代理在
https://collector-modules.stackrox.io中查找模块或探测。
10.1. 在现有部署上配置代理
要在现有部署中配置代理,您必须将 proxy-config secret 导出为 YAML 文件,更新该文件中的代理配置,并将它上传为 secret。
注意
如果您在 OpenShift Container Platform 集群上配置了全局代理,Operator Lifecycle Manager (OLM)会自动配置使用集群范围代理管理的 Operator。但是,您还可以配置已安装的 Operator 来覆盖全局代理,或注入自定义证书颁发机构(CA)证书。
如需更多信息,请参阅 Operator Lifecycle Manager 中的 配置代理支持。
流程
将现有 secret 保存为 YAML 文件:
$ oc -n stackrox get secret proxy-config \ -o go-template='{{index .data "config.yaml" | \ base64decode}}{{"\n"}}' > /tmp/proxy-config.yaml- 按照 Configure proxy during 安装过程中指定,在 YAML 配置文件中编辑您要修改的字段。
保存更改后,运行以下命令替换 secret:
$ oc -n stackrox create secret generic proxy-config \ --from-file=config.yaml=/tmp/proxy-config.yaml -o yaml --dry-run | \ oc label -f - --local -o yaml app.kubernetes.io/name=stackrox | \ oc apply -f -
重要- 您必须至少等待 1 分钟,直到 OpenShift Container Platform 将您的更改传播到 Central 和 Scanner。
- 如果在更改代理配置后看到传出连接的问题,您必须重启 Central 和 Scanner pod。
