3.6. 为 Kubernetes 源和凭证添加 Red Hat Advanced Cluster Security
要在 Red Hat Advanced Cluster Security for Kubernetes (RHACS)部署上运行扫描,您必须添加一个标识要扫描的 RHACS 实例的源。然后,您必须添加一个包含访问该实例的身份验证数据的凭证。
了解更多
添加 RHACS 源和凭证,以提供扫描 RHACS 实例所需的信息。如需更多信息,请参阅以下信息:
- 要添加 RHACS 源,请参阅 添加 RHACS 源。
- 要添加 RHACS 凭证,请参阅 添加 RHACS 凭证。
要了解更多有关源和凭证以及如何使用它们的信息,请参阅以下信息:
要了解更多有关与 Red Hat Advanced Cluster Security for Kubernetes 实例进行身份验证的信息,请参阅以下信息。此信息包括有关在 RHACS 凭证配置过程中可能需要进行的证书验证和 SSL 通信选项的指导信息:
3.6.1. 为 Kubernetes 源添加 Red Hat Advanced Cluster Security
您可以从初始 Welcome 页面或 Sources 视图中添加源。
先决条件
- 您需要访问 Red Hat Advanced Cluster Security for Kubernetes (RHACS)门户来生成 admin API 令牌值。
- 您需要访问 RHACS 门户来查找 RHACS Central 端点,或者访问 RHACS 配置管理云服务实例详情。
流程
点击选项根据您的位置添加新凭证:
- 在 Welcome 页面中,单击 Add Source。
- 从 Sources 视图,单击 Add。
此时会打开 Add Source 向导。
- 在 Type 页面中,选择 RHACS 作为源类型,然后点 Next。
在 Credentials 页面中,输入以下信息:
- 在 Name 字段中输入描述性名称。
在 IP Address 或 Hostname 字段中,为这个源输入 Red Hat Advanced Cluster Security for Kubernetes Central 地址。
- 如果在 OpenShift 上部署了 RHACS,您可以查看集群的网络路由来查找地址。
- 如果 RHACS 部署在云中,您可以在实例详情中找到此信息。
- 在 Credentials 列表中,选择访问此源集群所需的凭证。如果所需的凭证不存在,点 Add a credential 图标打开 Add Credential 向导。
- 在 Connection 列表中,选择要在扫描此源期间用于安全连接的 SSL 协议。选择 Disable SSL 在扫描此源期间禁用安全通信。
- 如果您需要升级集群的 SSL 验证,以便从证书颁发机构检查验证的 SSL 证书,请选择 Verify SSL Certificate 复选框。
- 点 Save 保存源,然后点 Close 关闭 Add Source 向导。
3.6.2. 添加 RHACS 凭证
您可以在创建源的过程中从 Credentials 视图或 Add Source 向导添加凭证。
先决条件
- 您需要访问 Red Hat Advanced Cluster Security for Kubernetes (RHACS)门户来生成 admin API 令牌值。
- 您需要访问 RHACS 门户来查找 RHACS Central 端点,或者访问 RHACS 配置管理云服务实例详情。
流程
点击选项根据您的位置添加新凭证:
-
在 Credentials 视图中,点
。 - 在 Add Source 向导中,点 Credentials 字段的 Add a credential 图标。
此时会打开 Add Credential 向导。
-
在 Credentials 视图中,点
- 在 Credential Name 字段中输入描述性名称。
- 从RHACS 门户输入 RHACS 的 API 令牌。如果您还没有令牌,您可以在 RHACSConfiguration 管理云服务门户上生成令牌。
- 点 Save 保存凭证并关闭 Add Credential 向导。
3.6.3. 关于源和凭证
要运行扫描,您必须为两个基本结构配置数据: sources 和 credentials。在扫描期间要检查的源类型决定了源和凭证配置所需的数据类型。
源 包含单个资产或一组要在扫描期间检查的多个资产。您可以配置以下类型的源:
- 网络源
- 一个或多个物理机器、虚拟机或容器。这些资产可以表示为主机名、IP 地址、IP 范围或子网。
- vCenter 源
- 管理所有或部分 IT 基础架构的 vCenter Server 系统管理解决方案。
- Satellite 源
- 管理所有或部分 IT 基础架构的 Satellite 系统管理解决方案。
- Red Hat OpenShift 源
- 管理所有或部分 Red Hat OpenShift Container Platform 集群的 Red Hat OpenShift Container Platform 集群。
- Ansible 源
- 管理 Ansible 节点和工作负载的 Ansible 管理解决方案。
- Red Hat Advanced Cluster Security for Kubernetes 源
- 保护 Kubernetes 环境的 RHACS 安全平台解决方案。
当您使用网络源时,您可以确定您应该在单个源中拥有多少个资产。目前,您只能为网络源添加多个资产。以下列表包含您在添加源时应考虑的一些其他因素:
- 无论资产是开发、测试还是生产环境的一部分,以及计算能力和类似问题的需求都是这些资产的考虑因素。
- 因为内部业务实践(如频繁更改安装的软件),还是要更频繁地扫描特定的实体或一组实体。
凭证 包含的数据,如具有足够颁发机构的用户的用户名和密码或 SSH 密钥,以便在该源中包含的资产的所有或部分运行扫描。与源一样,凭证被配置为网络、vCenter、satellite、OpenShift、Ansible 或 RHACS 类型。通常,网络源可能需要多个网络凭证,因为预期许多凭证需要访问广泛 IP 范围内的所有资产。相反,vCenter 或 satellite 源通常使用单个 vCenter 或 satellite 凭证(如果适用)来访问特定的系统管理解决方案服务器,OpenShift、Ansible 或 RHACS 源将使用单个凭证访问单个集群。
您可以从 Sources 视图中添加新源,您可以从 Credentials 视图中添加新凭证。您还可以在源创建过程中添加新或选择之前现有凭证。在源创建过程中,您要直接将凭证与源关联。由于源和凭证必须具有匹配的类型,所以您在源创建过程中添加的任何凭证共享与源相同的类型。另外,如果您要在源创建过程中使用现有凭证,可用凭证列表仅包含同一类型的凭证。例如,在网络源创建过程中,只有网络凭证可供选择。
3.6.4. Red Hat Advanced Cluster Security for Kubernetes 身份验证
对于 Red Hat Advanced Cluster Security for Kubernetes (RHACS)扫描,通过 TLS (Transport Layer Security)加密的 API 令牌从 bearer 令牌身份验证生成连接和访问。默认情况下,RHACS 扫描使用证书验证和安全通信通过 TLS 协议运行。在源创建过程中,您可以从多个不同的 SSL (安全套接字层)和 TLS 协议中选择,以用于证书验证和安全通信。
您可能需要调整证书验证级别,以便在扫描过程中连接到 RHACS 门户。例如,您的 RHACS 实例可能会使用来自证书颁发机构验证的 TLS 证书。在源创建过程中,您可以在扫描该源的过程中升级 TLS 证书验证来检查该证书。相反,您的 RHACS 实例可能会使用自签名证书。在源创建过程中,您可以将 TLS 验证保留为默认值,以便扫描该源不会检查证书。选择保留自签名证书的默认值,可能会避免扫描错误。
如果 RHACS 实例没有配置为使用 Web 应用程序的 TSL 通信,则您可能还需要禁用 TSL 作为扫描期间安全通信的方法。例如,您的 RHACS 实例可能会配置为使用 HTTP 和端口 80 与 Web 应用程序通信。如果是这样,则可以在源创建过程中禁用该源扫描的 TSL 通信。