4.5. ValidatingWebhookConfiguration YAML 파일 변경
Red Hat Advanced Cluster Security for Kubernetes를 사용하면 다음에 대한 보안 정책을 적용할 수 있습니다.
- 오브젝트 생성
- 오브젝트 업데이트
- Pod 실행
- Pod 포트 전달
중앙 또는 센서를 사용할 수 없는 경우
허용 컨트롤러는 센서의 초기 구성이 작동해야 합니다. Kubernetes 또는 OpenShift Container Platform은 이 구성을 저장하고 모든 승인 제어 서비스 복제본을 다른 노드에 다시 예약하더라도 액세스할 수 있습니다. 이 초기 구성이 있는 경우 승인 컨트롤러는 구성된 모든 배포 시간 정책을 적용합니다.
Sensor 또는 Central을 나중에 사용할 수 없는 경우:
- 이미지 스캔을 실행하거나 캐시된 이미지 검사에 대한 정보를 쿼리할 수 없습니다. 그러나 승인 컨트롤러 적용은 수집된 정보가 불완전하더라도 시간이 만료되기 전에 수집된 사용 가능한 정보를 기반으로 계속 작동합니다.
- 변경 사항이 승인 제어 서비스로 전파되지 않으므로 RHACS 포털에서 승인 컨트롤러를 비활성화하거나 기존 정책에 대한 적용을 수정할 수 없습니다.
승인 제어 적용을 비활성화해야 하는 경우 다음 명령을 실행하여 검증 웹 후크 구성을 삭제할 수 있습니다.
OpenShift Container Platform에서 다음을 수행합니다.
$ oc delete ValidatingWebhookConfiguration/stackrox
Kubernetes에서 다음을 수행합니다.
$ kubectl delete ValidatingWebhookConfiguration/stackrox
허용 컨트롤러를 보다 안정적으로 설정합니다.
작업자 노드가 아닌 컨트롤 플레인에서 승인 제어 서비스를 예약하는 것이 좋습니다. 배포 YAML 파일에는 컨트롤 플레인에서 실행하기 위한 소프트 기본 설정이 포함되어 있지만 적용되지 않습니다.
기본적으로 승인 제어 서비스는 3개의 복제본을 실행합니다. 안정성을 높이기 위해 다음 명령을 실행하여 복제본을 늘릴 수 있습니다.
$ oc -n stackrox scale deploy/admission-control --replicas=<number_of_replicas> 1- 1
- Kubernetes를 사용하는 경우
oc대신kubectl을 입력합니다.
roxctl CLI에서 사용
Sensor 배포 YAML 파일을 생성할 때 다음 옵션을 사용할 수 있습니다.
-
--admission-controller-listen-on-updates: 이 옵션을 사용하는 경우 Red Hat Advanced Cluster Security for Kubernetes는 Kubernetes 또는 OpenShift Container Platform API 서버에서 업데이트 이벤트를 수신하도록 사전 구성된ValidatingWebhookConfiguration이 포함된 Sensor 번들을 생성합니다. -
--admission-controller-enforce-on-updates: 이 옵션을 사용하는 경우 허용 컨트롤러가 보안 정책 오브젝트 업데이트를 적용하도록 Red Hat Advanced Cluster Security for Kubernetes를 구성합니다.
이 두 옵션은 모두 선택 사항이며 기본적으로 false 입니다.