第3章 Compliance Operator の使用
3.1. Red Hat Advanced Cluster Security for Kubernetes で Compliance Operator を使用する
Compliance Operator を使用して、OpenShift Container Platform クラスターでコンプライアンスのレポートと修正を行うように RHACS を設定できます。Compliance Operator からの結果は、RHACS Compliance Dashboard で報告できます。
3.1.1. Compliance Operator のインストール
Operator Hub を使用して Compliance Operator をインストールします。
手順
以下の手順を実行して、Operator をインストールします。
- Web コンソールで、Operators → OperatorHub ページに移動します。
- compliance operator を Filter by keyword ボックスに入力して、Compliance Operator を検索します。
- Compliance Operator を選択して、詳細ページを表示します。
- Operator に関する情報を読み、Install をクリックします。
3.1.2. ScanSettingBinding オブジェクトの設定
openshift-compliance namespace で ScanSettingBinding オブジェクトを作成し、cis および cis-node プロファイルを使用してクラスターをスキャンします。
この例では cis プロファイルおよび cis-node プロファイルを使用しますが、OpenShift Container Platform は追加のプロファイルを提供します。詳細は、関連情報セクションの「コンプライアンスオペレーターについて」を参照してください。
手順
以下のオプションのいずれかを選択します。
CLI を使用して、YAML ファイルとオブジェクトを作成します。以下に例を示します。
次のテキストを使用して、
sscan.yamlという名前のファイルを作成します。apiVersion: compliance.openshift.io/v1alpha1 kind: ScanSettingBinding metadata: name: cis-compliance profiles: - name: ocp4-cis-node kind: Profile apiGroup: compliance.openshift.io/v1alpha1 - name: ocp4-cis kind: Profile apiGroup: compliance.openshift.io/v1alpha1 settingsRef: name: default kind: ScanSetting apiGroup: compliance.openshift.io/v1alpha1次のコマンドを実行して、
ScanSettingBindingオブジェクトを作成します。$ oc create -f sscan.yaml -n openshift-compliance
成功すると、次のメッセージが表示されます。
$ scansettingbinding.compliance.openshift.io/cis-compliance created
Web コンソールを使用して、次の手順を実行してオブジェクトを作成します。
-
アクティブなプロジェクトを
openshift-complianceに変更します。 - + をクリックして、Import YAML ページを開きます。
- 前の例の YAML を貼り付けて、Create をクリックします。
-
アクティブなプロジェクトを
関連情報
- Compliance Operator について
- OpenShift Container Platform での Compliance Operator スキャン
オプション: RHACS のインストール 後 に Compliance Operator をインストールした場合は、次のオプションのいずれかを実行して、セキュアなクラスターで Sensor を再起動します。
以下のコマンドを実行します。
$ oc -n stackrox delete pod -lapp=sensor
OpenShift Container Platform Web コンソールで、以下の手順を実行します。
-
アクティブなプロジェクトを
stackroxに変更します。 - Workloads → Pods に移動します。
-
名前が
sensor-で始まる Pod を見つけて、Actions → Delete Pod をクリックします。
-
アクティブなプロジェクトを
検証
これらの手順を実行した後、RHACS でコンプライアンススキャンを実行し、ocp4-cis および ocp4-cis-node の結果が表示されることを確認します。詳細は、関連情報セクションのコンプライアンススキャンの実行を参照してください。