보안 및 컴플라이언스
1. OpenShift Container Platform 보안 및 컴플라이언스
Expand section "1. OpenShift Container Platform 보안 및 컴플라이언스" Collapse section "1. OpenShift Container Platform 보안 및 컴플라이언스"
2. 컨테이너 보안
Expand section "2. 컨테이너 보안" Collapse section "2. 컨테이너 보안"
1. 2.1. 컨테이너 보안 이해
  Expand section "2.1. 컨테이너 보안 이해" Collapse section "2.1. 컨테이너 보안 이해"
  1. 2.1.1. 컨테이너 정의
  2. 2.1.2. OpenShift Container Platform의 정의
2. 2.2. 호스트 및 VM 보안 이해
  Expand section "2.2. 호스트 및 VM 보안 이해" Collapse section "2.2. 호스트 및 VM 보안 이해"
3. 2.3. RHCOS 강화
  Expand section "2.3. RHCOS 강화" Collapse section "2.3. RHCOS 강화"
  1. 2.3.1. RHCOS에서 강화할 대상 선택
  2. 2.3.2. RHCOS 강화 방법 선택
    
    Expand section "2.3.2. RHCOS 강화 방법 선택" Collapse section "2.3.2. RHCOS 강화 방법 선택"
    
    2.3.2.1. 설치 전 강화
    
    2.3.2.2. 설치 중 강화
    
    2.3.2.3. 클러스터가 실행된 후 강화
4. 2.4. 컨테이너 이미지 서명
  Expand section "2.4. 컨테이너 이미지 서명" Collapse section "2.4. 컨테이너 이미지 서명"
5. 2.5. 컴플라이언스 이해
  Expand section "2.5. 컴플라이언스 이해" Collapse section "2.5. 컴플라이언스 이해"
  1. 2.5.1. 컴플라이언스 및 위험 관리 이해
6. 2.6. 컨테이너 콘텐츠 보안
  Expand section "2.6. 컨테이너 콘텐츠 보안" Collapse section "2.6. 컨테이너 콘텐츠 보안"
  1. 2.6.1. 컨테이너 내부 보안
  2. 2.6.2. UBI를 사용하여 재배포 가능한 이미지 생성
  3. 2.6.3. RHEL의 보안 스캔
    
    Expand section "2.6.3. RHEL의 보안 스캔" Collapse section "2.6.3. RHEL의 보안 스캔"
    
    2.6.3.1. OpenShift 이미지 스캔
  4. 2.6.4. 외부 스캔 통합
    
    Expand section "2.6.4. 외부 스캔 통합" Collapse section "2.6.4. 외부 스캔 통합"
    
    2.6.4.1. 이미지 메타데이터
    
    Expand section "2.6.4.1. 이미지 메타데이터" Collapse section "2.6.4.1. 이미지 메타데이터"
    
    2.6.4.1.1. 주석 키 예
    
    2.6.4.1.2. 주석 값 예
    
    2.6.4.2. 이미지 오브젝트에 주석 달기
    
    Expand section "2.6.4.2. 이미지 오브젝트에 주석 달기" Collapse section "2.6.4.2. 이미지 오브젝트에 주석 달기"
    
    2.6.4.2.1. 주석 CLI 명령 예
    
    2.6.4.3. Pod 실행 제어
    
    Expand section "2.6.4.3. Pod 실행 제어" Collapse section "2.6.4.3. Pod 실행 제어"
    
    2.6.4.3.1. 주석 예
    
    2.6.4.4. 통합 참조
    
    Expand section "2.6.4.4. 통합 참조" Collapse section "2.6.4.4. 통합 참조"
    
    2.6.4.4.1. REST API 호출 예
7. 2.7. 안전하게 컨테이너 레지스트리 사용
  Expand section "2.7. 안전하게 컨테이너 레지스트리 사용" Collapse section "2.7. 안전하게 컨테이너 레지스트리 사용"
8. 2.8. 빌드 프로세스 보안
  Expand section "2.8. 빌드 프로세스 보안" Collapse section "2.8. 빌드 프로세스 보안"
9. 2.9. 컨테이너 배포
  Expand section "2.9. 컨테이너 배포" Collapse section "2.9. 컨테이너 배포"
10. 2.10. 컨테이너 플랫폼 보안
  Expand section "2.10. 컨테이너 플랫폼 보안" Collapse section "2.10. 컨테이너 플랫폼 보안"
  1. 2.10.1. 멀티 테넌시로 컨테이너 격리
  2. 2.10.2. 승인 플러그인으로 컨트롤 플레인 보호
    
    Expand section "2.10.2. 승인 플러그인으로 컨트롤 플레인 보호" Collapse section "2.10.2. 승인 플러그인으로 컨트롤 플레인 보호"
    
    2.10.2.1. SCC(보안 컨텍스트 제약 조건)
    
    2.10.2.2. 서비스 계정에 역할 부여
  3. 2.10.3. 인증 및 권한 부여
    
    Expand section "2.10.3. 인증 및 권한 부여" Collapse section "2.10.3. 인증 및 권한 부여"
    
    2.10.3.1. OAuth를 사용하여 액세스 제어
    
    2.10.3.2. API 액세스 제어 및 관리
    
    2.10.3.3. Red Hat Single Sign-On
    
    2.10.3.4. 보안 셀프 서비스 웹 콘솔
  4. 2.10.4. 플랫폼의 인증서 관리
    
    Expand section "2.10.4. 플랫폼의 인증서 관리" Collapse section "2.10.4. 플랫폼의 인증서 관리"
    
    2.10.4.1. 사용자 정의 인증서 구성
11. 2.11. 네트워크 보안
  Expand section "2.11. 네트워크 보안" Collapse section "2.11. 네트워크 보안"
12. 2.12. 연결된 스토리지 보안
  Expand section "2.12. 연결된 스토리지 보안" Collapse section "2.12. 연결된 스토리지 보안"
13. 2.13. 클러스터 이벤트 및 로그 모니터링
  Expand section "2.13. 클러스터 이벤트 및 로그 모니터링" Collapse section "2.13. 클러스터 이벤트 및 로그 모니터링"
3. 인증서 구성
Expand section "3. 인증서 구성" Collapse section "3. 인증서 구성"
1. 3.1. 기본 수신 인증서 교체
  Expand section "3.1. 기본 수신 인증서 교체" Collapse section "3.1. 기본 수신 인증서 교체"
  1. 3.1.1. 기본 수신 인증서 이해
  2. 3.1.2. 기본 수신 인증서 교체
2. 3.2. API 서버 인증서 추가
  Expand section "3.2. API 서버 인증서 추가" Collapse section "3.2. API 서버 인증서 추가"
  1. 3.2.1. certificate이라는 API 서버 추가
3. 3.3. 서비스 제공 인증서 보안을 사용하여 서비스 트래픽 보안
  Expand section "3.3. 서비스 제공 인증서 보안을 사용하여 서비스 트래픽 보안" Collapse section "3.3. 서비스 제공 인증서 보안을 사용하여 서비스 트래픽 보안"
4. 인증서 유형 및 설명
Expand section "4. 인증서 유형 및 설명" Collapse section "4. 인증서 유형 및 설명"
1. 4.1. API 서버의 사용자 제공 인증서
  Expand section "4.1. API 서버의 사용자 제공 인증서" Collapse section "4.1. API 서버의 사용자 제공 인증서"
2. 4.2. 프록시 인증서
  Expand section "4.2. 프록시 인증서" Collapse section "4.2. 프록시 인증서"
3. 4.3. 서비스 CA 인증서
  Expand section "4.3. 서비스 CA 인증서" Collapse section "4.3. 서비스 CA 인증서"
4. 4.4. 노드 인증서
  Expand section "4.4. 노드 인증서" Collapse section "4.4. 노드 인증서"
  1. 4.4.1. 목적
  2. 4.4.2. 관리
5. 4.5. 부트스트랩 인증서
  Expand section "4.5. 부트스트랩 인증서" Collapse section "4.5. 부트스트랩 인증서"
6. 4.6. etcd 인증서
  Expand section "4.6. etcd 인증서" Collapse section "4.6. etcd 인증서"
7. 4.7. OLM 인증서
  Expand section "4.7. OLM 인증서" Collapse section "4.7. OLM 인증서"
  1. 4.7.1. 관리
8. 4.8. 기본 수신을 위한 사용자 제공 인증서
  Expand section "4.8. 기본 수신을 위한 사용자 제공 인증서" Collapse section "4.8. 기본 수신을 위한 사용자 제공 인증서"
9. 4.9. 수신 인증서
  Expand section "4.9. 수신 인증서" Collapse section "4.9. 수신 인증서"
10. 4.10. 모니터링 및 OpenShift Logging Operator 구성요소 인증서
  Expand section "4.10. 모니터링 및 OpenShift Logging Operator 구성요소 인증서" Collapse section "4.10. 모니터링 및 OpenShift Logging Operator 구성요소 인증서"
  1. 4.10.1. 만료
  2. 4.10.2. 관리
11. 4.11. 컨트롤 플레인 인증서
  Expand section "4.11. 컨트롤 플레인 인증서" Collapse section "4.11. 컨트롤 플레인 인증서"
  1. 4.11.1. 위치
  2. 4.11.2. 관리
5. Compliance Operator
Expand section "5. Compliance Operator" Collapse section "5. Compliance Operator"
1. 5.1. Compliance Operator 릴리스 정보
  Expand section "5.1. Compliance Operator 릴리스 정보" Collapse section "5.1. Compliance Operator 릴리스 정보"
  1. 5.1.1. OpenShift Compliance Operator 0.1.47
    
    Expand section "5.1.1. OpenShift Compliance Operator 0.1.47" Collapse section "5.1.1. OpenShift Compliance Operator 0.1.47"
    
    5.1.1.1. 새로운 기능 및 개선 사항
    
    5.1.1.2. 버그 수정
  2. 5.1.2. OpenShift Compliance Operator 0.1.44
    
    Expand section "5.1.2. OpenShift Compliance Operator 0.1.44" Collapse section "5.1.2. OpenShift Compliance Operator 0.1.44"
    
    5.1.2.1. 새로운 기능 및 개선 사항
    
    5.1.2.2. 템플릿 및 변수 사용
    
    5.1.2.3. 버그 수정
  3. 5.1.3. Compliance Operator 0.1.39의 릴리스 정보
    
    Expand section "5.1.3. Compliance Operator 0.1.39의 릴리스 정보" Collapse section "5.1.3. Compliance Operator 0.1.39의 릴리스 정보"
    
    5.1.3.1. 새로운 기능 및 개선 사항
  4. 5.1.4. 추가 리소스
2. 5.2. 지원되는 규정 준수 프로필
  Expand section "5.2. 지원되는 규정 준수 프로필" Collapse section "5.2. 지원되는 규정 준수 프로필"
  1. 5.2.1. 규정 준수 프로필
  2. 5.2.2. 추가 리소스
3. 5.3. Compliance Operator 설치
  Expand section "5.3. Compliance Operator 설치" Collapse section "5.3. Compliance Operator 설치"
4. 5.4. Compliance Operator 검사
  Expand section "5.4. Compliance Operator 검사" Collapse section "5.4. Compliance Operator 검사"
  1. 5.4.1. 규정 준수 검사 실행
  2. 5.4.2. 작업자 노드에 결과 서버 Pod 예약
5. 5.5. Compliance Operator 이해
  Expand section "5.5. Compliance Operator 이해" Collapse section "5.5. Compliance Operator 이해"
  1. 5.5.1. Compliance Operator 프로필
6. 5.6. Compliance Operator 관리
  Expand section "5.6. Compliance Operator 관리" Collapse section "5.6. Compliance Operator 관리"
7. 5.7. Compliance Operator 조정
  Expand section "5.7. Compliance Operator 조정" Collapse section "5.7. Compliance Operator 조정"
  1. 5.7.1. 맞춤형 프로필 사용
8. 5.8. Compliance Operator 원시 결과 검색
  Expand section "5.8. Compliance Operator 원시 결과 검색" Collapse section "5.8. Compliance Operator 원시 결과 검색"
  1. 5.8.1. 영구 볼륨에서 Compliance Operator 원시 결과 가져오기
9. 5.9. Compliance Operator 수정 관리
  Expand section "5.9. Compliance Operator 수정 관리" Collapse section "5.9. Compliance Operator 수정 관리"
10. 5.10. 고급 Compliance Operator 작업 수행
  Expand section "5.10. 고급 Compliance Operator 작업 수행" Collapse section "5.10. 고급 Compliance Operator 작업 수행"
  1. 5.10.1. ComplianceSuite 및 ComplianceScan 오브젝트 직접 사용
  2. 5.10.2. 원시 맞춤형 프로필 사용
  3. 5.10.3. 재검사 수행
  4. 5.10.4. 결과에 대한 사용자 정의 스토리지 크기 설정
    
    Expand section "5.10.4. 결과에 대한 사용자 정의 스토리지 크기 설정" Collapse section "5.10.4. 결과에 대한 사용자 정의 스토리지 크기 설정"
    
    5.10.4.1. 사용자 정의 결과 스토리지 값 사용
  5. 5.10.5. 제품군 검사에서 생성된 수정 사항 적용
  6. 5.10.6. 수정 사항 자동 업데이트
11. 5.11. Compliance Operator 문제 해결
  Expand section "5.11. Compliance Operator 문제 해결" Collapse section "5.11. Compliance Operator 문제 해결"
  1. 5.11.1. 검사 구조
    
    Expand section "5.11.1. 검사 구조" Collapse section "5.11.1. 검사 구조"
    
    5.11.1.1. 규정 준수 소스
    
    5.11.1.2. ScanSetting 및 ScanSettingBinding 오브젝트 라이프사이클 및 디버깅
    
    5.11.1.3. ComplianceSuite 사용자 정의 리소스 라이프사이클 및 디버깅
    
    5.11.1.4. ComplianceScan 사용자 정의 리소스 라이프사이클 및 디버깅
    
    Expand section "5.11.1.4. ComplianceScan 사용자 정의 리소스 라이프사이클 및 디버깅" Collapse section "5.11.1.4. ComplianceScan 사용자 정의 리소스 라이프사이클 및 디버깅"
    
    5.11.1.4.1. 보류 단계
    
    5.11.1.4.2. 시작 단계
    
    5.11.1.4.3. 실행 단계
    
    5.11.1.4.4. 집계 단계
    
    5.11.1.4.5. 완료 단계
    
    5.11.1.5. ComplianceRemediation 컨트롤러 라이프사이클 및 디버깅
    
    5.11.1.6. 유용한 레이블
  2. 5.11.2. 지원 요청
12. 5.12. Compliance Operator 설치 제거
  Expand section "5.12. Compliance Operator 설치 제거" Collapse section "5.12. Compliance Operator 설치 제거"
  1. 5.12.1. OpenShift Container Platform에서 OpenShift Compliance Operator 설치 제거
13. 5.13. oc-compliance 플러그인 사용
  Expand section "5.13. oc-compliance 플러그인 사용" Collapse section "5.13. oc-compliance 플러그인 사용"
6. File Integrity Operator
Expand section "6. File Integrity Operator" Collapse section "6. File Integrity Operator"
1. 6.1. File Integrity Operator 릴리스 노트
  Expand section "6.1. File Integrity Operator 릴리스 노트" Collapse section "6.1. File Integrity Operator 릴리스 노트"
  1. 6.1.1. OpenShift File Integrity Operator 0.1.21
    
    Expand section "6.1.1. OpenShift File Integrity Operator 0.1.21" Collapse section "6.1.1. OpenShift File Integrity Operator 0.1.21"
    
    6.1.1.1. 새로운 기능 및 개선 사항
    
    6.1.1.2. 버그 수정
  2. 6.1.2. 추가 리소스
2. 6.2. File Integrity Operator 설치
  Expand section "6.2. File Integrity Operator 설치" Collapse section "6.2. File Integrity Operator 설치"
3. 6.3. File Integrity Operator 이해
  Expand section "6.3. File Integrity Operator 이해" Collapse section "6.3. File Integrity Operator 이해"
  1. 6.3.1. FileIntegrity 사용자 정의 리소스 이해
  2. 6.3.2. FileIntegrity 사용자 정의 리소스 상태 확인
  3. 6.3.3. FileIntegrity 사용자 정의 리소스 단계
  4. 6.3.4. FileIntegrityNodeStatuses 오브젝트 이해
  5. 6.3.5. FileIntegrityNodeStatus CR 상태 유형
    
    Expand section "6.3.5. FileIntegrityNodeStatus CR 상태 유형" Collapse section "6.3.5. FileIntegrityNodeStatus CR 상태 유형"
    
    6.3.5.1. FileIntegrityNodeStatus CR 성공 상태의 예
    
    6.3.5.2. FileIntegrityNodeStatus CR 실패 상태의 예
  6. 6.3.6. 이벤트 이해
4. 6.4. Custom File Integrity Operator 구성
  Expand section "6.4. Custom File Integrity Operator 구성" Collapse section "6.4. Custom File Integrity Operator 구성"
5. 6.5. 고급 Custom File Integrity Operator 작업 수행
  Expand section "6.5. 고급 Custom File Integrity Operator 작업 수행" Collapse section "6.5. 고급 Custom File Integrity Operator 작업 수행"
6. 6.6. File Integrity Operator 문제 해결
  Expand section "6.6. File Integrity Operator 문제 해결" Collapse section "6.6. File Integrity Operator 문제 해결"
7. 감사 로그 보기
Expand section "7. 감사 로그 보기" Collapse section "7. 감사 로그 보기"
8. 감사 로그 정책 구성
Expand section "8. 감사 로그 정책 구성" Collapse section "8. 감사 로그 정책 구성"
1. 8.1. 감사 로그 정책 프로필 정보
2. 8.2. 감사 로그 정책 구성
9. TLS 보안 프로필 설정
Expand section "9. TLS 보안 프로필 설정" Collapse section "9. TLS 보안 프로필 설정"
10. seccomp 프로필 구성
Expand section "10. seccomp 프로필 구성" Collapse section "10. seccomp 프로필 구성"
1. 10.1. 기본 seccomp 프로필 구성
2. 10.2. 사용자 정의 seccomp 프로필 구성
  Expand section "10.2. 사용자 정의 seccomp 프로필 구성" Collapse section "10.2. 사용자 정의 seccomp 프로필 구성"
  1. 10.2.1. 사용자 정의 seccomp 프로필 설정
  2. 10.2.2. 워크로드에 사용자 정의 seccomp 프로필 적용
3. 10.3. 추가 리소스
11. 추가 호스트에서 JavaScript를 기반으로 API 서버에 액세스하도록 허용
Expand section "11. 추가 호스트에서 JavaScript를 기반으로 API 서버에 액세스하도록 허용" Collapse section "11. 추가 호스트에서 JavaScript를 기반으로 API 서버에 액세스하도록 허용"
1. 11.1. 추가 호스트에서 JavaScript를 기반으로 API 서버에 액세스하도록 허용
12. etcd 데이터 암호화
Expand section "12. etcd 데이터 암호화" Collapse section "12. etcd 데이터 암호화"
13. Pod에서 취약점 스캔
Expand section "13. Pod에서 취약점 스캔" Collapse section "13. Pod에서 취약점 스캔"
1. 13.1. Container Security Operator 실행
2. 13.2. CLI에서 이미지 취약점 쿼리

5.4.2. 작업자 노드에 결과 서버 Pod 예약

결과 서버 포드는 원시 자산 보고 형식(ARF)을 저장하는 PV(영구 볼륨)를 마운트합니다. nodeSelector 및 tolerations 특성을 사용하면 결과 서버 포드의 위치를 구성할 수 있습니다.

이는 컨트롤 플레인 노드가 영구 볼륨을 마운트할 수 없는 환경에 유용합니다.

프로세스

Compliance Operator의 ScanSetting CR(사용자 정의 리소스)을 생성합니다.

ScanSetting CR을 정의하고 YAML 파일을 저장합니다(예: rs-workers.yaml ):

apiVersion: compliance.openshift.io/v1alpha1
kind: ScanSetting
metadata:
  name: rs-on-workers
  namespace: openshift-compliance
rawResultStorage:
  nodeSelector:
    node-role.kubernetes.io/worker: "" 1
  pvAccessModes:
  - ReadWriteOnce
  rotation: 3
  size: 1Gi
  tolerations:
  - operator: Exists 2
roles:
- worker
- master
scanTolerations:
  - operator: Exists
schedule: 0 1 * * *

1: Compliance Operator는 이 노드를 사용하여 검사 결과를 ARF 형식으로 저장합니다.
2: 결과 서버 Pod는 모든 테인트를 허용합니다.

ScanSetting CR을 생성하려면 다음 명령을 실행합니다.
```
$ oc create -f rs-workers.yaml
```

검증

ScanSetting 오브젝트가 생성되었는지 확인하려면 다음 명령을 실행합니다.

$ oc get scansettings rs-on-workers -n openshift-compliance -o yaml

출력 예

apiVersion: compliance.openshift.io/v1alpha1
kind: ScanSetting
metadata:
  creationTimestamp: "2021-11-19T19:36:36Z"
  generation: 1
  name: rs-on-workers
  namespace: openshift-compliance
  resourceVersion: "48305"
  uid: 43fdfc5f-15a7-445a-8bbc-0e4a160cd46e
rawResultStorage:
  nodeSelector:
    node-role.kubernetes.io/worker: ""
  pvAccessModes:
  - ReadWriteOnce
  rotation: 3
  size: 1Gi
  tolerations:
  - operator: Exists
roles:
- worker
- master
scanTolerations:
- operator: Exists
schedule: 0 1 * * *
strictNodeScan: true

Select Your Language

Infrastructure and Management

Cloud Computing

Storage

Runtimes

Integration and Automation

5.4.2. 작업자 노드에 결과 서버 Pod 예약