보안 및 컴플라이언스
1. OpenShift Container Platform 보안 및 컴플라이언스
Expand section "1. OpenShift Container Platform 보안 및 컴플라이언스" Collapse section "1. OpenShift Container Platform 보안 및 컴플라이언스"
2. 컨테이너 보안
Expand section "2. 컨테이너 보안" Collapse section "2. 컨테이너 보안"
1. 2.1. 컨테이너 보안 이해
  Expand section "2.1. 컨테이너 보안 이해" Collapse section "2.1. 컨테이너 보안 이해"
  1. 2.1.1. 컨테이너 정의
  2. 2.1.2. OpenShift Container Platform의 정의
2. 2.2. 호스트 및 VM 보안 이해
  Expand section "2.2. 호스트 및 VM 보안 이해" Collapse section "2.2. 호스트 및 VM 보안 이해"
3. 2.3. RHCOS 강화
  Expand section "2.3. RHCOS 강화" Collapse section "2.3. RHCOS 강화"
  1. 2.3.1. RHCOS에서 강화할 대상 선택
  2. 2.3.2. RHCOS 강화 방법 선택
    
    Expand section "2.3.2. RHCOS 강화 방법 선택" Collapse section "2.3.2. RHCOS 강화 방법 선택"
    
    2.3.2.1. 설치 전 강화
    
    2.3.2.2. 설치 중 강화
    
    2.3.2.3. 클러스터가 실행된 후 강화
4. 2.4. 컨테이너 이미지 서명
  Expand section "2.4. 컨테이너 이미지 서명" Collapse section "2.4. 컨테이너 이미지 서명"
5. 2.5. 컴플라이언스 이해
  Expand section "2.5. 컴플라이언스 이해" Collapse section "2.5. 컴플라이언스 이해"
  1. 2.5.1. 컴플라이언스 및 위험 관리 이해
6. 2.6. 컨테이너 콘텐츠 보안
  Expand section "2.6. 컨테이너 콘텐츠 보안" Collapse section "2.6. 컨테이너 콘텐츠 보안"
  1. 2.6.1. 컨테이너 내부 보안
  2. 2.6.2. UBI를 사용하여 재배포 가능한 이미지 생성
  3. 2.6.3. RHEL의 보안 스캔
    
    Expand section "2.6.3. RHEL의 보안 스캔" Collapse section "2.6.3. RHEL의 보안 스캔"
    
    2.6.3.1. OpenShift 이미지 스캔
  4. 2.6.4. 외부 스캔 통합
    
    Expand section "2.6.4. 외부 스캔 통합" Collapse section "2.6.4. 외부 스캔 통합"
    
    2.6.4.1. 이미지 메타데이터
    
    Expand section "2.6.4.1. 이미지 메타데이터" Collapse section "2.6.4.1. 이미지 메타데이터"
    
    2.6.4.1.1. 주석 키 예
    
    2.6.4.1.2. 주석 값 예
    
    2.6.4.2. 이미지 오브젝트에 주석 달기
    
    Expand section "2.6.4.2. 이미지 오브젝트에 주석 달기" Collapse section "2.6.4.2. 이미지 오브젝트에 주석 달기"
    
    2.6.4.2.1. 주석 CLI 명령 예
    
    2.6.4.3. Pod 실행 제어
    
    Expand section "2.6.4.3. Pod 실행 제어" Collapse section "2.6.4.3. Pod 실행 제어"
    
    2.6.4.3.1. 주석 예
    
    2.6.4.4. 통합 참조
    
    Expand section "2.6.4.4. 통합 참조" Collapse section "2.6.4.4. 통합 참조"
    
    2.6.4.4.1. REST API 호출 예
7. 2.7. 안전하게 컨테이너 레지스트리 사용
  Expand section "2.7. 안전하게 컨테이너 레지스트리 사용" Collapse section "2.7. 안전하게 컨테이너 레지스트리 사용"
8. 2.8. 빌드 프로세스 보안
  Expand section "2.8. 빌드 프로세스 보안" Collapse section "2.8. 빌드 프로세스 보안"
9. 2.9. 컨테이너 배포
  Expand section "2.9. 컨테이너 배포" Collapse section "2.9. 컨테이너 배포"
10. 2.10. 컨테이너 플랫폼 보안
  Expand section "2.10. 컨테이너 플랫폼 보안" Collapse section "2.10. 컨테이너 플랫폼 보안"
  1. 2.10.1. 멀티 테넌시로 컨테이너 격리
  2. 2.10.2. 승인 플러그인으로 컨트롤 플레인 보호
    
    Expand section "2.10.2. 승인 플러그인으로 컨트롤 플레인 보호" Collapse section "2.10.2. 승인 플러그인으로 컨트롤 플레인 보호"
    
    2.10.2.1. SCC(보안 컨텍스트 제약 조건)
    
    2.10.2.2. 서비스 계정에 역할 부여
  3. 2.10.3. 인증 및 권한 부여
    
    Expand section "2.10.3. 인증 및 권한 부여" Collapse section "2.10.3. 인증 및 권한 부여"
    
    2.10.3.1. OAuth를 사용하여 액세스 제어
    
    2.10.3.2. API 액세스 제어 및 관리
    
    2.10.3.3. Red Hat Single Sign-On
    
    2.10.3.4. 보안 셀프 서비스 웹 콘솔
  4. 2.10.4. 플랫폼의 인증서 관리
    
    Expand section "2.10.4. 플랫폼의 인증서 관리" Collapse section "2.10.4. 플랫폼의 인증서 관리"
    
    2.10.4.1. 사용자 정의 인증서 구성
11. 2.11. 네트워크 보안
  Expand section "2.11. 네트워크 보안" Collapse section "2.11. 네트워크 보안"
12. 2.12. 연결된 스토리지 보안
  Expand section "2.12. 연결된 스토리지 보안" Collapse section "2.12. 연결된 스토리지 보안"
13. 2.13. 클러스터 이벤트 및 로그 모니터링
  Expand section "2.13. 클러스터 이벤트 및 로그 모니터링" Collapse section "2.13. 클러스터 이벤트 및 로그 모니터링"
3. 인증서 구성
Expand section "3. 인증서 구성" Collapse section "3. 인증서 구성"
1. 3.1. 기본 수신 인증서 교체
  Expand section "3.1. 기본 수신 인증서 교체" Collapse section "3.1. 기본 수신 인증서 교체"
  1. 3.1.1. 기본 수신 인증서 이해
  2. 3.1.2. 기본 수신 인증서 교체
2. 3.2. API 서버 인증서 추가
  Expand section "3.2. API 서버 인증서 추가" Collapse section "3.2. API 서버 인증서 추가"
  1. 3.2.1. certificate이라는 API 서버 추가
3. 3.3. 서비스 제공 인증서 보안을 사용하여 서비스 트래픽 보안
  Expand section "3.3. 서비스 제공 인증서 보안을 사용하여 서비스 트래픽 보안" Collapse section "3.3. 서비스 제공 인증서 보안을 사용하여 서비스 트래픽 보안"
4. 인증서 유형 및 설명
Expand section "4. 인증서 유형 및 설명" Collapse section "4. 인증서 유형 및 설명"
1. 4.1. API 서버의 사용자 제공 인증서
  Expand section "4.1. API 서버의 사용자 제공 인증서" Collapse section "4.1. API 서버의 사용자 제공 인증서"
2. 4.2. 프록시 인증서
  Expand section "4.2. 프록시 인증서" Collapse section "4.2. 프록시 인증서"
3. 4.3. 서비스 CA 인증서
  Expand section "4.3. 서비스 CA 인증서" Collapse section "4.3. 서비스 CA 인증서"
4. 4.4. 노드 인증서
  Expand section "4.4. 노드 인증서" Collapse section "4.4. 노드 인증서"
  1. 4.4.1. 목적
  2. 4.4.2. 관리
5. 4.5. 부트스트랩 인증서
  Expand section "4.5. 부트스트랩 인증서" Collapse section "4.5. 부트스트랩 인증서"
6. 4.6. etcd 인증서
  Expand section "4.6. etcd 인증서" Collapse section "4.6. etcd 인증서"
7. 4.7. OLM 인증서
  Expand section "4.7. OLM 인증서" Collapse section "4.7. OLM 인증서"
  1. 4.7.1. 관리
8. 4.8. 기본 수신을 위한 사용자 제공 인증서
  Expand section "4.8. 기본 수신을 위한 사용자 제공 인증서" Collapse section "4.8. 기본 수신을 위한 사용자 제공 인증서"
9. 4.9. 수신 인증서
  Expand section "4.9. 수신 인증서" Collapse section "4.9. 수신 인증서"
10. 4.10. 모니터링 및 OpenShift Logging Operator 구성요소 인증서
  Expand section "4.10. 모니터링 및 OpenShift Logging Operator 구성요소 인증서" Collapse section "4.10. 모니터링 및 OpenShift Logging Operator 구성요소 인증서"
  1. 4.10.1. 만료
  2. 4.10.2. 관리
11. 4.11. 컨트롤 플레인 인증서
  Expand section "4.11. 컨트롤 플레인 인증서" Collapse section "4.11. 컨트롤 플레인 인증서"
  1. 4.11.1. 위치
  2. 4.11.2. 관리
5. Compliance Operator
Expand section "5. Compliance Operator" Collapse section "5. Compliance Operator"
1. 5.1. Compliance Operator 릴리스 정보
  Expand section "5.1. Compliance Operator 릴리스 정보" Collapse section "5.1. Compliance Operator 릴리스 정보"
  1. 5.1.1. OpenShift Compliance Operator 0.1.47
    
    Expand section "5.1.1. OpenShift Compliance Operator 0.1.47" Collapse section "5.1.1. OpenShift Compliance Operator 0.1.47"
    
    5.1.1.1. 새로운 기능 및 개선 사항
    
    5.1.1.2. 버그 수정
  2. 5.1.2. OpenShift Compliance Operator 0.1.44
    
    Expand section "5.1.2. OpenShift Compliance Operator 0.1.44" Collapse section "5.1.2. OpenShift Compliance Operator 0.1.44"
    
    5.1.2.1. 새로운 기능 및 개선 사항
    
    5.1.2.2. 템플릿 및 변수 사용
    
    5.1.2.3. 버그 수정
  3. 5.1.3. Compliance Operator 0.1.39의 릴리스 정보
    
    Expand section "5.1.3. Compliance Operator 0.1.39의 릴리스 정보" Collapse section "5.1.3. Compliance Operator 0.1.39의 릴리스 정보"
    
    5.1.3.1. 새로운 기능 및 개선 사항
  4. 5.1.4. 추가 리소스
2. 5.2. 지원되는 규정 준수 프로필
  Expand section "5.2. 지원되는 규정 준수 프로필" Collapse section "5.2. 지원되는 규정 준수 프로필"
  1. 5.2.1. 규정 준수 프로필
  2. 5.2.2. 추가 리소스
3. 5.3. Compliance Operator 설치
  Expand section "5.3. Compliance Operator 설치" Collapse section "5.3. Compliance Operator 설치"
4. 5.4. Compliance Operator 검사
  Expand section "5.4. Compliance Operator 검사" Collapse section "5.4. Compliance Operator 검사"
  1. 5.4.1. 규정 준수 검사 실행
  2. 5.4.2. 작업자 노드에 결과 서버 Pod 예약
5. 5.5. Compliance Operator 이해
  Expand section "5.5. Compliance Operator 이해" Collapse section "5.5. Compliance Operator 이해"
  1. 5.5.1. Compliance Operator 프로필
6. 5.6. Compliance Operator 관리
  Expand section "5.6. Compliance Operator 관리" Collapse section "5.6. Compliance Operator 관리"
7. 5.7. Compliance Operator 조정
  Expand section "5.7. Compliance Operator 조정" Collapse section "5.7. Compliance Operator 조정"
  1. 5.7.1. 맞춤형 프로필 사용
8. 5.8. Compliance Operator 원시 결과 검색
  Expand section "5.8. Compliance Operator 원시 결과 검색" Collapse section "5.8. Compliance Operator 원시 결과 검색"
  1. 5.8.1. 영구 볼륨에서 Compliance Operator 원시 결과 가져오기
9. 5.9. Compliance Operator 수정 관리
  Expand section "5.9. Compliance Operator 수정 관리" Collapse section "5.9. Compliance Operator 수정 관리"
10. 5.10. 고급 Compliance Operator 작업 수행
  Expand section "5.10. 고급 Compliance Operator 작업 수행" Collapse section "5.10. 고급 Compliance Operator 작업 수행"
  1. 5.10.1. ComplianceSuite 및 ComplianceScan 오브젝트 직접 사용
  2. 5.10.2. 원시 맞춤형 프로필 사용
  3. 5.10.3. 재검사 수행
  4. 5.10.4. 결과에 대한 사용자 정의 스토리지 크기 설정
    
    Expand section "5.10.4. 결과에 대한 사용자 정의 스토리지 크기 설정" Collapse section "5.10.4. 결과에 대한 사용자 정의 스토리지 크기 설정"
    
    5.10.4.1. 사용자 정의 결과 스토리지 값 사용
  5. 5.10.5. 제품군 검사에서 생성된 수정 사항 적용
  6. 5.10.6. 수정 사항 자동 업데이트
11. 5.11. Compliance Operator 문제 해결
  Expand section "5.11. Compliance Operator 문제 해결" Collapse section "5.11. Compliance Operator 문제 해결"
  1. 5.11.1. 검사 구조
    
    Expand section "5.11.1. 검사 구조" Collapse section "5.11.1. 검사 구조"
    
    5.11.1.1. 규정 준수 소스
    
    5.11.1.2. ScanSetting 및 ScanSettingBinding 오브젝트 라이프사이클 및 디버깅
    
    5.11.1.3. ComplianceSuite 사용자 정의 리소스 라이프사이클 및 디버깅
    
    5.11.1.4. ComplianceScan 사용자 정의 리소스 라이프사이클 및 디버깅
    
    Expand section "5.11.1.4. ComplianceScan 사용자 정의 리소스 라이프사이클 및 디버깅" Collapse section "5.11.1.4. ComplianceScan 사용자 정의 리소스 라이프사이클 및 디버깅"
    
    5.11.1.4.1. 보류 단계
    
    5.11.1.4.2. 시작 단계
    
    5.11.1.4.3. 실행 단계
    
    5.11.1.4.4. 집계 단계
    
    5.11.1.4.5. 완료 단계
    
    5.11.1.5. ComplianceRemediation 컨트롤러 라이프사이클 및 디버깅
    
    5.11.1.6. 유용한 레이블
  2. 5.11.2. 지원 요청
12. 5.12. Compliance Operator 설치 제거
  Expand section "5.12. Compliance Operator 설치 제거" Collapse section "5.12. Compliance Operator 설치 제거"
  1. 5.12.1. OpenShift Container Platform에서 OpenShift Compliance Operator 설치 제거
13. 5.13. oc-compliance 플러그인 사용
  Expand section "5.13. oc-compliance 플러그인 사용" Collapse section "5.13. oc-compliance 플러그인 사용"
6. File Integrity Operator
Expand section "6. File Integrity Operator" Collapse section "6. File Integrity Operator"
1. 6.1. File Integrity Operator 릴리스 노트
  Expand section "6.1. File Integrity Operator 릴리스 노트" Collapse section "6.1. File Integrity Operator 릴리스 노트"
  1. 6.1.1. OpenShift File Integrity Operator 0.1.21
    
    Expand section "6.1.1. OpenShift File Integrity Operator 0.1.21" Collapse section "6.1.1. OpenShift File Integrity Operator 0.1.21"
    
    6.1.1.1. 새로운 기능 및 개선 사항
    
    6.1.1.2. 버그 수정
  2. 6.1.2. 추가 리소스
2. 6.2. File Integrity Operator 설치
  Expand section "6.2. File Integrity Operator 설치" Collapse section "6.2. File Integrity Operator 설치"
3. 6.3. File Integrity Operator 이해
  Expand section "6.3. File Integrity Operator 이해" Collapse section "6.3. File Integrity Operator 이해"
  1. 6.3.1. FileIntegrity 사용자 정의 리소스 이해
  2. 6.3.2. FileIntegrity 사용자 정의 리소스 상태 확인
  3. 6.3.3. FileIntegrity 사용자 정의 리소스 단계
  4. 6.3.4. FileIntegrityNodeStatuses 오브젝트 이해
  5. 6.3.5. FileIntegrityNodeStatus CR 상태 유형
    
    Expand section "6.3.5. FileIntegrityNodeStatus CR 상태 유형" Collapse section "6.3.5. FileIntegrityNodeStatus CR 상태 유형"
    
    6.3.5.1. FileIntegrityNodeStatus CR 성공 상태의 예
    
    6.3.5.2. FileIntegrityNodeStatus CR 실패 상태의 예
  6. 6.3.6. 이벤트 이해
4. 6.4. Custom File Integrity Operator 구성
  Expand section "6.4. Custom File Integrity Operator 구성" Collapse section "6.4. Custom File Integrity Operator 구성"
5. 6.5. 고급 Custom File Integrity Operator 작업 수행
  Expand section "6.5. 고급 Custom File Integrity Operator 작업 수행" Collapse section "6.5. 고급 Custom File Integrity Operator 작업 수행"
6. 6.6. File Integrity Operator 문제 해결
  Expand section "6.6. File Integrity Operator 문제 해결" Collapse section "6.6. File Integrity Operator 문제 해결"
7. 감사 로그 보기
Expand section "7. 감사 로그 보기" Collapse section "7. 감사 로그 보기"
8. 감사 로그 정책 구성
Expand section "8. 감사 로그 정책 구성" Collapse section "8. 감사 로그 정책 구성"
1. 8.1. 감사 로그 정책 프로필 정보
2. 8.2. 감사 로그 정책 구성
9. TLS 보안 프로필 설정
Expand section "9. TLS 보안 프로필 설정" Collapse section "9. TLS 보안 프로필 설정"
10. seccomp 프로필 구성
Expand section "10. seccomp 프로필 구성" Collapse section "10. seccomp 프로필 구성"
1. 10.1. 기본 seccomp 프로필 구성
2. 10.2. 사용자 정의 seccomp 프로필 구성
  Expand section "10.2. 사용자 정의 seccomp 프로필 구성" Collapse section "10.2. 사용자 정의 seccomp 프로필 구성"
  1. 10.2.1. 사용자 정의 seccomp 프로필 설정
  2. 10.2.2. 워크로드에 사용자 정의 seccomp 프로필 적용
3. 10.3. 추가 리소스
11. 추가 호스트에서 JavaScript를 기반으로 API 서버에 액세스하도록 허용
Expand section "11. 추가 호스트에서 JavaScript를 기반으로 API 서버에 액세스하도록 허용" Collapse section "11. 추가 호스트에서 JavaScript를 기반으로 API 서버에 액세스하도록 허용"
1. 11.1. 추가 호스트에서 JavaScript를 기반으로 API 서버에 액세스하도록 허용
12. etcd 데이터 암호화
Expand section "12. etcd 데이터 암호화" Collapse section "12. etcd 데이터 암호화"
13. Pod에서 취약점 스캔
Expand section "13. Pod에서 취약점 스캔" Collapse section "13. Pod에서 취약점 스캔"
1. 13.1. Container Security Operator 실행
2. 13.2. CLI에서 이미지 취약점 쿼리

3.3.6. 변경 웹 후크 구성에 서비스 CA 번들 추가

각 웹 후크의 clientConfig.caBundle 필드에 서비스 CA 번들이 입력되도록 service.beta.openshift.io/inject-cabundle=true로 MutatingWebhookConfiguration 오브젝트에 주석을 달 수 있습니다. 그러면 쿠버네티스 API 서버가 대상 끝점을 보호하는 데 사용되는 서비스 CA 인증서의 유효성을 확인할 수 있습니다.

참고

웹 후크마다 다른 CA 번들을 지정해야 하는 승인 웹 후크 구성에는 이 주석을 설정하지 마십시오. 그러면 모든 웹 후크에 서비스 CA 번들이 삽입됩니다.

프로세스

service.beta.openshift.io/inject-cabundle=true로 변경 웹 후크 구성에 주석을 답니다.
```
$ oc annotate mutatingwebhookconfigurations <mutating_webhook_name> \1
     service.beta.openshift.io/inject-cabundle=true
```
1
<mutating_webhook_name>을 주석을 달 변경 웹 후크 구성 이름으로 교체합니다.
예를 들어 변경 웹 후크 구성 test1에 주석을 달려면 다음 명령을 사용합니다.
```
$ oc annotate mutatingwebhookconfigurations test1 service.beta.openshift.io/inject-cabundle=true
```

변경 웹 후크 구성을 보고 서비스 CA 번들이 삽입되었는지 확인합니다.

$ oc get mutatingwebhookconfigurations <mutating_webhook_name> -o yaml

CA 번들은 YAML 출력에 있는 모든 웹 후크의 clientConfig.caBundle 필드에 표시됩니다.

apiVersion: admissionregistration.k8s.io/v1
kind: MutatingWebhookConfiguration
metadata:
  annotations:
    service.beta.openshift.io/inject-cabundle: "true"
...
webhooks:
- myWebhook:
  - v1beta1
  clientConfig:
    caBundle: <CA_BUNDLE>
...

Select Your Language

Infrastructure and Management

Cloud Computing

Storage

Runtimes

Integration and Automation

3.3.6. 변경 웹 후크 구성에 서비스 CA 번들 추가