第 2 章 与 CI 系统集成

流程

1. 在 RHACS 门户中，进入 Platform Configuration Policy Management。
2. 使用全局搜索搜索 Lifecycle Stage:Build。

流程

1. 在 RHACS 门户中，进入 Platform Configuration Policy Management。
2. 单击 + New Policy。
3. 输入策略的 Name。
4. 选择策略的严重性级别：Critical, High, Medium, 或 Low。

5. 选择适用于策略的生命周期阶段，Build, Deploy, 或 Runtime。您可以选择多个阶段。

   注意

   如果您创建了一个与 CI 系统集成的新策略，请选择 Build 作为生命周期阶段。

   • 构建时策略适用于 CVE 和 Dockerfile 指令等镜像字段。
   • 部署时策略可以包含所有构建时策略标准。它们也可以有集群配置中的数据，如以特权模式运行或挂载 Docker 守护进程套接字。
   • 运行时策略可包括所有构建时间和部署时间策略标准，以及有关进程在运行时执行的数据。
6. 在 Description,Rationale, 和 Remediation 字段中输入有关策略的信息。当 CI 验证构建时，会显示这些字段中的数据。因此，包括解释策略的所有信息。
7. 从 Categories 下拉菜单中选择一个类别。

8. 从 Notifications 下拉菜单中选择一个通知程序，在针对此策略发生违反时接收警报通知。

   注意

   您必须将 RHACS 与通知提供程序（如 Webhook、JIRA 或 PagerDuty）集成，才能接收警报通知。只有在您使用 RHACS 集成了任何通知供应商时，notifiers 才会显示。

9. 使用 Restrict to Scope 只为特定集群、命名空间或标签启用此策略。您可以添加多个范围，并将 RE2 语法中的正则表达式用于命名空间和标签。
10. 使用 Exclude by Scope 来排除部署、集群、命名空间和标签。此字段表示策略不适用于您指定的实体。您可以添加多个范围，并将 RE2 语法中的正则表达式用于命名空间和标签。但是，您无法使用正则表达式来选择部署。

11. 对于 Excluded Images (Build Lifecycle only)，请从您不想触发策略违反列表中选择所有镜像。

    注意

    Excluded Images (Build Lifecycle only) 设置仅在检查持续集成系统( Build 生命周期阶段)中的镜像时适用。如果您使用此策略检查正在运行的部署( Deploy 生命周期阶段)或运行时活动( Runtime 生命周期阶段)，则它不会生效。

12. 在 Policy Criteria 部分中，配置触发该策略的属性。
13. 在面板标头中选择 Next。
14. 新策略面板显示启用策略时触发的违反情况的预览。
15. 在面板标头中选择 Next。

16. 选择策略的强制行为。强制设置仅适用于您为 Lifecycle Stages 选项选择的阶段。选择 ON 来强制执行策略并报告违反情况。选择 OFF 来仅报告违反情况。

    注意

    每个生命周期阶段的强制行为都有所不同。

    • 对于 Build 阶段，当镜像与策略条件匹配时，RHACS 会失败。

    • 对于 Deploy 阶段，RHACS 会阻止在 RHACS 准入控制器配置并运行时与策略条件匹配的部署创建或更新。

      • 在带有准入控制器强制的集群中，Kubernetes 或 OpenShift Container Platform API 服务器会阻止所有不合规的部署。在其他集群中，RHACS 编辑不合规的部署以防止调度 pod。
      • 对于现有部署，当 Kubernetes 事件发生时，策略更改只会导致在下一个条件检测时进行强制。有关强制的更多信息，请参阅"部署阶段的安全策略强制"。
    • 对于 Runtime 阶段，RHACS 会停止与策略条件匹配的所有 pod。
    警告

    策略实施可能会影响运行应用程序或开发流程。在启用强制选项前，请通知所有利益相关者，并计划如何响应自动化执行操作。