설치
Red Hat Advanced Cluster Security for Kubernetes 설치
초록
1장. Red Hat Advanced Cluster Security for Kubernetes를 설치하기 위한 사전 요구 사항
1.1. 일반 요구 사항
Red Hat Advanced Cluster Security for Kubernetes를 설치하려면 다음이 필요합니다.
OpenShift Container Platform 설치용 OpenShift Container Platform 버전 4.5 이상
주의다음에 Red Hat Advanced Cluster Security for Kubernetes를 설치할 수 없습니다.
- Amazon Elastic File System(Amazon EFS). 대신 기본 gp2 볼륨 유형과 함께 Amazon Elastic Block Store(Amazon EBS)를 사용합니다.
- SSE(Streaming SIMD Extensions) 4.2 명령어 세트가 없는 이전 CPU. 예를 들어, Bulld>-<er보다 오래된 Intel 프로세서는 Sandy Bridge 및 AMD 프로세서보다 오래 되었습니다. (이 프로세서는 2011년에 출시되었습니다.)
지원되는 운영 체제가 있는 클러스터 노드 자세한 내용은 Red Hat Advanced Cluster Security for Kubernetes 지원 정책을 참조하십시오.
- 운영 체제: Amazon Linux, CentOS, Container-Optimized OS from Google, Red Hat Enterprise Linux CoreOS (RHCOS), Debian, Red Hat Enterprise Linux (RHEL) 또는 Ubuntu.
프로세서 및 메모리: 2개의 CPU 코어와 최소 3GiB의 RAM.
참고중앙 배포의 경우 4개 이상의 코어가 있는 머신 유형을 사용하고 스케줄링 정책을 적용하여 이러한 노드에서 Central을 시작합니다.
PVC(영구 볼륨 클레임)를 사용하는 영구 스토리지입니다.
중요Red Hat Advanced Cluster Security for Kubernetes에서 Ceph FS 스토리지를 사용해서는 안 됩니다. Red Hat Advanced Cluster Security for Kubernetes에 RBD 블록 모드 PVC를 사용하는 것이 좋습니다.
- 최상의 성능을 위해 SSD(Solid-State Drive)를 사용합니다. 그러나 사용 가능한 SSD가 없는 경우 다른 스토리지 유형을 사용할 수 있습니다.
-
Helm 차트를 사용하여 Kubernetes용 Red Hat Advanced Cluster Security for Kubernetes를 설치하거나 구성하는 경우 Helm CLI(명령줄 인터페이스) v3.2 이상
helm version명령을 사용하여 설치한 Helm 버전을 확인합니다. -
OpenShift Container Platform CLI(
oc). - 중앙 클러스터에서 배포를 구성하는 데 필요한 권한이 있어야 합니다.
-
Red Hat Container Registry에 액세스할 수 있어야 합니다.
registry.redhat.io에서 이미지를 다운로드하는 방법에 대한 자세한 내용은 Red Hat Container Registry 인증을 참조하십시오.
1.2. 중앙 설치를 위한 사전 요구 사항
Central이라는 단일 컨테이너화된 서비스는 데이터 지속성, API 상호 작용 및 사용자 인터페이스(Portal) 액세스를 처리합니다.
중앙에는 영구 스토리지가 필요합니다.
PVC(영구 볼륨 클레임)로 스토리지를 제공할 수 있습니다.
참고모든 호스트(또는 호스트 그룹)가 NFS 공유 또는 스토리지 어플라이언스와 같은 공유 파일 시스템을 마운트하는 경우에만 스토리지에 hostPath 볼륨을 사용할 수 있습니다. 그렇지 않으면 데이터가 단일 노드에만 저장됩니다. Red Hat은 hostPath 볼륨을 사용하는 것을 권장하지 않습니다.
- 최상의 성능을 위해 SSD(Solid-State Drive)를 사용합니다. 그러나 사용 가능한 SSD가 없는 경우 다른 스토리지 유형을 사용할 수 있습니다.
웹 프록시 또는 방화벽을 사용하는 경우
definitions.stackrox.io및collector-modules.stackrox.io도메인에 대한 트래픽을 허용하고 Kubernetes용 Red Hat Advanced Cluster Security를 활성화하여 웹 프록시 또는 방화벽을 신뢰하도록 바이패스 규칙을 구성해야 합니다. 그렇지 않으면 취약점 정의 및 커널 지원 패키지 업데이트가 실패합니다.Red Hat Advanced Cluster Security for Kubernetes는 다음에 액세스할 수 있어야 합니다.
-
definitions.stackrox.io업데이트된 취약점 정의를 다운로드합니다. 취약점 정의 업데이트를 통해 Red Hat Advanced Cluster Security for Kubernetes는 새로운 취약점이 발견되거나 추가 데이터 소스가 추가될 때 최신 취약점 데이터를 유지할 수 있습니다. -
collector-modules.stackrox.io를 사용하여 업데이트된 커널 지원 패키지를 다운로드합니다. 업데이트된 커널 지원 패키지를 통해 Red Hat Advanced Cluster Security for Kubernetes에서 최신 운영 체제를 모니터링하고 컨테이너 내에서 실행 중인 네트워크 트래픽 및 프로세스에 대한 데이터를 수집할 수 있습니다. 이러한 업데이트가 없으면 클러스터에 새 노드를 추가하거나 노드의 운영 체제를 업데이트하는 경우 Red Hat Advanced Cluster Security for Kubernetes의 컨테이너를 모니터링하지 못할 수 있습니다.
-
보안상의 이유로 제한된 관리 액세스를 사용하여 클러스터에 Central을 배포해야 합니다.
메모리 및 스토리지 요구사항
다음 표에는 Central을 설치하고 실행하는 데 필요한 최소 메모리 및 스토리지 값이 나열되어 있습니다.
| 중앙 | CPU | 메모리 | 스토리지 |
|---|---|---|---|
| 요청 | 1.5 코어 | 4GiB | 100GiB |
| 제한 | 4개 코어 | 8GiB | 100GiB |
크기 조정 지침
클러스터의 노드 수에 따라 다음 컴퓨팅 리소스 및 스토리지 값을 사용합니다.
| 노드 | 배포 | CPU | 메모리 | 스토리지 |
|---|---|---|---|---|
| 최대 100 | 최대 1000 | 2개의 코어 | 4GiB | 100GiB |
| 최대 500 | 최대 2000 | 4개 코어 | 8GiB | 100GiB |
| 500개 이상 | 2000개 이상 | 8개 코어 | 12 - 16GiB | 100 - 200GiB |
1.3. 스캐너를 설치하기 위한 사전 요구 사항
Red Hat Advanced Cluster Security for Kubernetes에는 scanner라는 이미지 취약점 스캐너가 포함되어 있습니다. 이 서비스는 스캐너에서 이미지 레지스트리에 통합된 이미지를 스캔합니다.
메모리 및 스토리지 요구사항
| scanner | CPU | 메모리 |
|---|---|---|
| 요청 | 1.2 코어 | 2700 MiB |
| 제한 | 5개의 코어 | 8000 MiB |
1.4. 센서 설치를 위한 사전 요구 사항
센서는 Kubernetes 및 OpenShift Container Platform 클러스터를 모니터링합니다. 이러한 서비스는 현재 Kubernetes API와의 상호 작용을 처리하고 수집기와 조정되는 단일 배포에 배포됩니다.
메모리 및 스토리지 요구사항
| 센서 | CPU | 메모리 |
|---|---|---|
| 요청 | 1개의 코어 | 1GiB |
| 제한 | 2개의 코어 | 4GiB |
1.5. Admission Controller 설치를 위한 사전 요구 사항
Admission Controller는 사용자가 구성한 정책을 위반하는 워크로드를 생성하지 못하도록 합니다.
메모리 및 스토리지 요구사항
기본적으로 허용 제어 서비스는 3개의 복제본을 실행합니다. 다음 표에는 각 복제본에 대한 요청 및 제한이 나열되어 있습니다.
| 허용 컨트롤러 | CPU | 메모리 |
|---|---|---|
| 요청 | .05 코어 | 100 MiB |
| 제한 | .5 코어 | 500 MiB |
1.6. 수집기 설치를 위한 사전 요구 사항
수집기는 보안 클러스터의 각 노드에서 런타임 활동을 모니터링합니다. 이는 이 정보를 보고하기 위해 센서에 연결됩니다.
UEFI(Unified Extensible Firmware Interface)가 있고 Secure Boot가 활성화된 시스템에 수집기를 설치하려면 커널 모듈이 서명되지 않고 UEFI 펌웨어가 서명되지 않은 패키지를 로드할 수 없기 때문에 eBPF 프로브를 사용해야 합니다. 수집기는 시작시 Secure Boot 상태를 확인하고 필요한 경우 eBPF 프로브로 전환합니다.
메모리 및 스토리지 요구사항
| collector | CPU | 메모리 |
|---|---|---|
| 요청 | .05 코어 | 320 MiB |
| 제한 | .75 코어 | 1GiB |
수집기는 변경 가능한 이미지 태그(<version>-latest)를 사용하므로 최신 Linux 커널 버전을 보다 쉽게 지원합니다. 코드, 기존 커널 모듈 또는 이미지 업데이트를 위한 eBPF 프로그램은 변경되지 않습니다. 업데이트에서는 초기 릴리스 이후에 게시된 새 커널 버전을 지원하는 단일 이미지 계층만 추가합니다.
2장. 설치 플랫폼 및 방법
Red Hat Advanced Cluster Security for Kubernetes는 다양한 플랫폼에서 지원됩니다. 이 항목에서는 각 플랫폼에 대한 정보와 설치 설명서에 대한 링크를 제공합니다.
2.1. 다른 플랫폼에서의 설치 방법
다른 플랫폼에서 다른 유형의 설치를 수행할 수 있습니다.
다음 표에 표시된 대로 모든 플랫폼에서 모든 설치 옵션이 지원되는 것은 아닙니다. 이 방법을 사용해야 하는 특정 설치 요구 사항이 없는 한 roxctl install 방법을 사용하지 않는 것이 좋습니다.
표 2.1. 자체 관리 플랫폼
표 2.2. 관리형 서비스 플랫폼
| 플랫폼 | 지원되는 설치 방법 |
|---|---|
| Red Hat OpenShift Dedicated (OSD) | |
| Azure Red Hat OpenShift (ARO) | |
| Red Hat OpenShift Service on AWS (ROSA) | |
| Amazon Elastic Kubernetes Service (Amazon EKS) | |
| Google Kubernetes Engine (Google GKE) | |
| Microsoft Azure Kubernetes Service(Microsoft AKS) |
3장. Operator를 사용하여 설치
RHACS(Advanced Cluster Security for Kubernetes)는 OpenShift Container Platform 또는 Kubernetes 클러스터에 일련의 서비스를 설치합니다. 이 섹션에서는 Operator를 사용하여 OpenShift Container Platform 또는 Kubernetes 클러스터에 Red Hat Advanced Cluster Security for Kubernetes를 설치하는 설치 절차에 대해 설명합니다.
설치하기 전에 다음을 수행합니다.
Red Hat Advanced Cluster Security for Kubernetes Operator에는 다음 두 가지 사용자 지정 리소스가 포함되어 있습니다.
중앙리소스는 다음 서비스의 논리적 그룹화입니다.- 중앙:중앙은 Kubernetes 애플리케이션 관리 인터페이스 및 서비스를 위한 Red Hat Advanced Cluster Security입니다. 데이터 지속성, API 상호 작용 및 RHACS 포털(사용자 인터페이스) 액세스를 처리합니다. 동일한 중앙 인스턴스를 사용하여 여러 OpenShift Container Platform 또는 Kubernetes 클러스터를 보호할 수 있습니다.
- 스캐너: 스캐너는 컨테이너 이미지 및 관련 데이터베이스를 스캔하기 위한 Red Hat에서 개발한 인증 취약점 스캐너입니다. 모든 이미지 계층을 분석하여 CVE(Common Vulnerabilities and Exposures) 목록에서 알려진 취약점을 확인합니다. 또한 scanner는 여러 프로그래밍 언어의 패키지 관리자와 패키지 관리자에 의해 설치된 패키지의 취약점을 식별합니다.
SecuredCluster- 보안 클러스터 리소스는 다음 서비스의 논리적 그룹화입니다.- 센서: 센서는 클러스터 분석 및 모니터링을 담당하는 서비스입니다. 정책 탐지 및 적용을 위해 OpenShift Container Platform 또는 Kubernetes API 서버와의 상호 작용을 처리하고 수집기와 조정합니다.
- 수집기: 수집기는 클러스터 노드의 컨테이너 활동을 분석하고 모니터링합니다. 컨테이너 런타임 및 네트워크 활동에 대한 정보를 수집합니다. 수집된 데이터를 센서에 전송합니다.
- 허용 제어: 허용 컨트롤러는 사용자가 Red Hat Advanced Cluster Security for Kubernetes의 보안 정책을 위반하는 워크로드를 생성하지 못하도록 합니다.
다음 단계는 Operator를 사용하여 Kubernetes용 Red Hat Advanced Cluster Security를 설치하는 고급 워크플로를 보여줍니다.
- 중앙 을 설치하려는 클러스터의 OperatorHub에서 Red Hat Advanced Cluster Security for Kubernetes Operator 를 설치합니다.
-
중앙사용자 지정 리소스를 구성하고 배포합니다. - init 번들을 생성하고 적용합니다. init 번들에는 중앙 클러스터와 보안 클러스터 간 연결을 제공하는 보안이 포함되어 있습니다.
- 모니터링할 모든 클러스터에 Kubernetes Operator용 Red Hat Advanced Cluster Security for Kubernetes Operator를 설치합니다.
-
모니터링하려는 각 개별 클러스터에
SecuredCluster사용자 정의 리소스를 구성하고 배포합니다.
3.1. Kubernetes Operator용 Red Hat Advanced Cluster Security 설치
OpenShift Container Platform과 함께 제공되는 OperatorHub를 사용하는 것이 Kubernetes용 Red Hat Advanced Cluster Security를 설치하는 가장 쉬운 방법입니다.
사전 요구 사항
- Operator 설치 권한이 있는 계정을 사용하여 OpenShift Container Platform 클러스터에 액세스할 수 있습니다.
- OpenShift Container Platform 4.6 이상을 사용해야 합니다.
절차
- 웹 콘솔에서 Operator → OperatorHub 페이지로 이동합니다.
- Red Hat Advanced Cluster Security for Kubernetes가 표시되지 않는 경우 키워드로 필터링 상자에 Advanced Cluster Security 를 입력하여 Kubernetes Operator용 Red Hat Advanced Cluster Security를 찾습니다.
- Kubernetes Operator용 Red Hat Advanced Cluster Security for Kubernetes Operator 를 선택하여 세부 정보 페이지를 확인합니다.
- Operator에 대한 정보를 확인하고 Install을 클릭합니다.
Operator 설치 페이지에서 다음을 수행합니다.
- 설치 모드 의 기본값을 클러스터의 모든 네임스페이스로 유지합니다.
- Installed namespace 필드에 Operator를 설치할 특정 네임스페이스를 선택합니다. Red Hat은 rhacs-operator 네임스페이스에 Kubernetes Operator용 Red Hat Advanced Cluster Security를 설치하는 것이 좋습니다.
업데이트 승인을 위해 자동 또는 수동 업데이트를 선택합니다.
자동 업데이트를 선택하는 경우 새 버전의 Operator가 사용 가능한 경우 OLM(Operator Lifecycle Manager)은 Operator의 실행 중인 인스턴스를 자동으로 업그레이드합니다.
수동 업데이트를 선택하면 최신 버전의 Operator가 사용 가능할 때 OLM에서 업데이트 요청을 생성합니다. 클러스터 관리자는 Operator를 새 버전으로 업데이트하기 위해 해당 업데이트 요청을 수동으로 승인해야 합니다.
중요수동 업데이트를 선택하는 경우 Central이 설치된 클러스터에서 RHACS Operator를 업데이트할 때 모든 보안 클러스터에서 RHACS Operator를 업데이트해야 합니다. 보안 클러스터와 Central이 설치된 클러스터는 최적의 기능을 위해 동일한 버전이 있어야 합니다.
- 설치를 클릭합니다.
검증
- 설치가 완료되면 Operator → 설치된 Operator 로 이동하여 Kubernetes Operator용 Red Hat Advanced Cluster Security가 Succeeded 상태로 나열되어 있는지 확인합니다.
다음 단계
-
중앙사용자 지정 리소스를 설치, 구성 및 배포합니다.
3.2. 중앙 설치
Red Hat Advanced Cluster Security for Kubernetes의 주요 구성 요소는 Central이라고 합니다. 중앙 사용자 정의 리소스를 사용하여 OpenShift Container Platform에 Central 을 설치할 수 있습니다. 중앙을 한 번만 배포하고 동일한 중앙 설치를 사용하여 여러 개의 개별 클러스터를 모니터링할 수 있습니다.
Red Hat Advanced Cluster Security for Kubernetes를 처음 설치하는 경우 SecuredCluster 사용자 정의 리소스 설치가 중앙 에서 생성하는 인증서에 따라 먼저 Central 사용자 정의 리소스를 설치해야 합니다.
사전 요구 사항
- OpenShift Container Platform 4.6 이상을 사용해야 합니다.
절차
- OpenShift Container Platform 웹 콘솔에서 Operator → 설치된 Operator 페이지로 이동합니다.
- 설치된 Operator 목록에서 Kubernetes Operator용 Red Hat Advanced Cluster Security를 선택합니다.
권장 네임스페이스에 Operator를 설치한 경우 OpenShift Container Platform은 프로젝트를
rhacs-operator로 나열합니다. Project: rhacs-operator → Create project 를 선택합니다.주의-
다른 네임스페이스에 Operator를 설치한 경우 OpenShift Container Platform에는
rhacs-operator가 아닌 해당 네임스페이스의 이름이 표시됩니다. -
Red Hat Advanced Cluster Security for Kubernetes
Central사용자 정의 리소스를rhacs-operator및openshift-operator프로젝트가 아닌 자체 프로젝트에 설치하거나 Kubernetes Operator용 Red Hat Advanced Cluster Security를 설치한 프로젝트에 설치해야 합니다.
-
다른 네임스페이스에 Operator를 설치한 경우 OpenShift Container Platform에는
-
새 프로젝트 이름(예:
stackrox)을 입력하고 생성을 클릭합니다.stackrox를 프로젝트 이름으로 사용하는 것이 좋습니다. - 제공된 API 섹션에서 Central 을 선택합니다. Create Central 을 클릭합니다.
-
중앙사용자 지정 리소스의 이름을 입력하고 적용하려는 레이블을 추가합니다. 그렇지 않으면 사용 가능한 옵션에 기본값을 수락합니다. - 생성을 클릭합니다.
클러스터 전체 프록시를 사용하는 경우 Kubernetes용 Red Hat Advanced Cluster Security는 해당 프록시 구성을 사용하여 외부 서비스에 연결합니다.
다음 단계
- 중앙 설치를 확인합니다.
- 선택 사항: 중앙 옵션을 구성합니다.
- init 번들을 생성합니다.
추가 리소스
3.3. 중앙 설치 확인
중앙 설치가 완료되면 RHACS 포털에 로그인하여 중앙의 성공적인 설치를 확인합니다.
절차
- OpenShift Container Platform 웹 콘솔에서 Operator → 설치된 Operator 페이지로 이동합니다.
- 설치된 Operator 목록에서 Kubernetes Operator용 Red Hat Advanced Cluster Security를 선택합니다.
- 중앙 탭을 선택합니다.
-
중앙 목록에서
stackrox-central-services를 선택하여 세부 정보를 확인합니다. admin사용자의 암호를 가져오려면 다음 중 하나를 수행할 수 있습니다.- Admin Password Secret Reference (관리 암호 시크릿 참조) 아래의 링크를 클릭합니다.
OpenShift Container Platform CLI를 사용하여 Admin Credentials Info 에 나열된 명령을 입력합니다.
$ oc -n stackrox get secret central-htpasswd -o go-template='{{index .data "password" | base64decode}}'
OpenShift Container Platform CLI 명령을 사용하여 RHACS 포털 링크를 찾습니다.
$ oc -n stackrox get route central -o jsonpath="{.status.ingress[0].host}"또는 Kubernetes 웹 콘솔의 Red Hat Advanced Cluster Security for Kubernetes 웹 콘솔을 사용하여 다음 명령을 수행하여 RHACS 포털에 대한 링크를 찾을 수 있습니다.
- 네트워킹 → 경로로 이동합니다.
- 중앙 경로를 찾은 후 위치 열에서 RHACS 포털 링크를 클릭합니다.
-
사용자 이름 admin 과 이전 단계에서 검색한 암호를 사용하여 RHACS 포털에 로그인합니다. Kubernetes용 Red Hat Advanced Cluster Security가 완전히 구성되어 있을 때까지(예:
Central리소스와 하나 이상의SecuredCluster리소스가 설치 및 구성되어 있음) 대시보드에서 데이터를 사용할 수 없습니다.SecuredCluster리소스는중앙리소스와 동일한 클러스터에 설치 및 구성할 수 있습니다.SecuredCluster리소스가 있는 클러스터는 RHACM(Red Hat Advanced Cluster Management)의 관리형 클러스터와 유사합니다.
다음 단계
- 선택 사항: 중앙 설정을 구성합니다.
-
중앙및SecuredCluster리소스 간 통신을 허용하는 클러스터 시크릿이 포함된 init 번들을 생성합니다. 이 번들을 다운로드하여 이를 사용하여 보호하려는 클러스터에 리소스를 생성하고 안전하게 저장해야 합니다.
3.4. 중앙 구성 옵션
중앙 인스턴스를 생성할 때 Operator는 중앙 사용자 정의 리소스에 대한 다음 구성 옵션을 나열합니다.
3.4.1. 중앙 설정
| 매개변수 | 설명 |
|---|---|
|
|
암호 데이터 항목에 관리자 암호가 포함된 보안을 지정합니다. |
|
| 기본적으로 Central은 내부 TLS 인증서만 제공하므로 인그레스 또는 로드 밸런서 수준에서 TLS 종료를 처리해야 합니다. 중앙에서 TLS를 종료하고 사용자 지정 서버 인증서를 제공하려는 경우 인증서 및 개인 키가 포함된 보안을 지정할 수 있습니다. |
|
|
자동 관리자 암호 생성을 비활성화하려면 이 매개변수를 |
|
| 노드 선택기에서 테인트된 노드를 선택하는 경우 이 매개변수를 사용하여 중앙에 대한 테인트 허용 오차 키, 값 및 효과를 지정합니다. 이 매개변수는 주로 인프라 노드에 사용됩니다. |
|
|
로드 밸런서를 통해 Central을 노출하려면 이 값을 |
|
| 이 매개변수를 사용하여 로드 밸런서의 사용자 지정 포트를 지정합니다. |
|
| 이 매개변수를 사용하여 로드 밸런서용으로 예약된 고정 IP 주소를 지정합니다. |
|
|
OpenShift 경로를 통해 중앙에서 노출하려면 이 값을 |
|
| 중앙의 경로에 사용할 사용자 지정 호스트 이름을 지정합니다. OpenShift Container Platform에서 제공하는 기본값을 수락하려면 이 설정을 그대로 두십시오. |
|
|
노드 포트를 통해 Central을 노출하려면 이 값을 |
|
| 이를 사용하여 명시적 노드 포트를 지정합니다. |
|
| 이 구성 요소를 특정 노드에서만 실행하도록 하려면 이 매개변수를 사용하여 노드 선택기를 구성할 수 있습니다. |
|
| 영구 데이터를 호스트의 디렉터리에 저장할 호스트 경로를 지정합니다. Red Hat은 이 기능을 사용하는 것을 권장하지 않습니다. 호스트 경로를 사용해야 하는 경우 노드 선택기와 함께 사용해야 합니다. |
|
|
영구 데이터를 관리할 PVC의 이름입니다. 지정된 이름의 PVC가 없는 경우 생성됩니다. 설정되지 않은 경우 기본값은 |
|
| 클레임을 통해 생성된 영구 볼륨의 크기입니다. 이는 기본적으로 자동으로 생성됩니다. |
|
| PVC에 사용할 스토리지 클래스의 이름입니다. 클러스터가 기본 스토리지 클래스로 구성되지 않은 경우 이 매개변수에 값을 제공해야 합니다. |
|
| 이 매개변수를 사용하여 중앙의 기본 리소스 제한을 덮어씁니다. |
|
| 이 매개 변수를 사용하여 중앙에 대한 기본 리소스 요청을 재정의합니다. |
|
| 이 매개변수를 사용하여 중앙 이미지의 이미지 풀 시크릿을 지정합니다. |
3.4.2. 스캐너 설정
| 매개변수 | 설명 |
|---|---|
|
| 이 스캐너를 특정 노드에서만 실행하도록 하려면 이 매개변수를 사용하여 노드 선택기를 구성할 수 있습니다. |
|
| 노드 선택기에서 테인트된 노드를 선택하는 경우 이 매개변수를 사용하여 scanner에 대한 테인트 허용 오차 키, 값 및 효과를 지정합니다. 이 매개변수는 주로 인프라 노드에 사용됩니다. |
|
| 이 매개변수를 사용하여 스캐너의 기본 리소스 제한을 덮어씁니다. |
|
| 이 매개변수를 사용하여 스캐너의 기본 리소스 요청을 덮어씁니다. |
|
| 활성화하면 분석기 복제본 수는 지정된 제한 내에서 부하를 기반으로 동적으로 관리됩니다. |
|
| 분석기 자동 스케일링 구성을 사용할 최대 복제본을 지정합니다. |
|
| 분석기 자동 스케일링 구성을 사용할 최소 복제본을 지정합니다. |
|
| 자동 스케일링이 비활성화되면 항상 이 값과 일치하도록 복제본 수가 구성됩니다. |
|
| 이 구성 요소를 특정 노드에서만 실행하도록 하려면 이 매개변수를 사용하여 노드 선택기를 구성할 수 있습니다. |
|
| 노드 선택기에서 테인트된 노드를 선택하는 경우 이 매개변수를 사용하여 scanner DB에 대한 테인트 허용 오차 키, 값 및 효과를 지정합니다. 이 매개변수는 주로 인프라 노드에 사용됩니다. |
|
| 이 매개변수를 사용하여 스캐너의 기본 리소스 제한을 덮어씁니다. |
|
| 이 매개변수를 사용하여 스캐너의 기본 리소스 요청을 덮어씁니다. |
|
| scanner를 배포하지 않으려면 이 매개변수를 사용하여 스캐너를 비활성화할 수 있습니다. 스캐너를 비활성화하면 이 섹션의 다른 모든 설정이 적용되지 않습니다. Red Hat은 Kubernetes 스캐너용 Red Hat Advanced Cluster Security를 비활성화하는 것을 권장하지 않습니다. |
3.4.3. 일반 및 기타 설정
| 매개변수 | 설명 |
|---|---|
|
| 신뢰할 수 있는 보안 클러스터에 대한 추가 신뢰할 수 있는 CA 인증서입니다. 일반적으로 개인 인증 기관을 사용하여 서비스와 통합할 때 사용됩니다. |
|
|
중앙에 대해 SCC( |
3.5. init 번들 생성
클러스터에 SecuredCluster 리소스를 설치하기 전에 init 번들을 생성해야 합니다. SecuredCluster 가 설치되고 구성된 클러스터는 이 번들을 사용하여 중앙으로 인증합니다.
RHACS 포털(권장)을 사용하거나 roxctl CLI를 사용하여 init 번들을 생성할 수 있습니다.
3.5.1. RHACS 포털을 사용하여 init 번들 생성
RHACS 포털을 사용하여 시크릿이 포함된 init 번들을 생성할 수 있습니다.
절차
노출 방법에 따라 RHACS 포털의 주소를 찾습니다.
경로의 경우:
$ oc get route central -n stackrox
로드 밸런서의 경우:
$ oc get service central-loadbalancer -n stackrox
포트 전달의 경우:
다음 명령을 실행합니다.
$ oc port-forward svc/central 18443:443 -n stackrox
-
https://localhost:18443/으로 이동합니다.
- RHACS 포털에서 플랫폼 구성 → 통합 으로 이동합니다.
- 인증 토큰 섹션으로 이동하여 Cluster Init Bundle 을 클릭합니다.
- 번들 생성을 클릭합니다.
- 클러스터 init 번들의 이름을 입력하고 생성을 클릭합니다.
- Kubernetes 보안 파일 다운로드를 클릭하여 생성된 번들을 다운로드합니다.
시크릿이 포함되어 있으므로 이 번들을 안전하게 저장합니다. 동일한 번들을 사용하여 여러 개의 보안 클러스터를 생성할 수 있습니다.
다음 단계
- OpenShift Container Platform CLI를 사용하여 init 번들을 사용하여 리소스를 생성합니다.
- 모니터링하려는 모든 클러스터에 Red Hat Advanced Cluster Security for Kubernetes를 설치합니다.
3.5.2. roxctl CLI를 사용하여 init 번들 생성
roxctl CLI를 사용하여 시크릿으로 init 번들을 생성할 수 있습니다.
사전 요구 사항
ROX_API_TOKEN 및 ROX_CENTRAL_ADDRESS 환경 변수를 구성했습니다.
ROX_API_TOKEN및ROX_CENTRAL_ADDRESS환경 변수를 설정합니다.$ export ROX_API_TOKEN=<api_token>
$ export ROX_CENTRAL_ADDRESS=<address>:<port_number>
절차
다음 명령을 실행하여 보안이 포함된 클러스터 init 번들을 생성합니다.
$ roxctl -e "$ROX_CENTRAL_ADDRESS" \ central init-bundles generate <cluster_init_bundle_name> \ --output-secrets cluster_init_bundle.yaml
시크릿이 포함되어 있으므로 이 번들을 안전하게 저장해야 합니다. 동일한 번들을 사용하여 여러 개의 보안 클러스터를 설정할 수 있습니다.
3.5.3. 추가 리소스
3.6. init 번들을 사용하여 리소스 생성
보안 클러스터를 설치하기 전에 init 번들을 사용하여 보안 클러스터의 서비스가 중앙과 통신할 수 있도록 클러스터에 필요한 리소스를 생성해야 합니다.
사전 요구 사항
- 보안이 포함된 init 번들이 생성되어 있어야 합니다.
절차
OpenShift Container Platform CLI를 사용하여 다음 명령을 실행하여 리소스를 생성합니다.
$ oc create -f <init_bundle>.yaml \ 1 -n <stackrox> 2
다음 단계
- 모니터링하려는 모든 클러스터에 Red Hat Advanced Cluster Security for Kubernetes를 설치합니다.
3.7. 보안 클러스터 서비스 설치
SecuredCluster 사용자 정의 리소스를 사용하여 클러스터에 보안 클러스터 서비스를 설치할 수 있습니다. 모니터링하려는 환경의 모든 클러스터에 보안 클러스터 서비스를 설치해야 합니다.
UEFI(Unified Extensible Firmware Interface)가 있고 Secure Boot가 활성화된 시스템에 수집기를 설치하려면 커널 모듈이 서명되지 않고 UEFI 펌웨어가 서명되지 않은 패키지를 로드할 수 없기 때문에 eBPF 프로브를 사용해야 합니다. 수집기는 시작시 Secure Boot 상태를 확인하고 필요한 경우 eBPF 프로브로 전환합니다.
사전 요구 사항
- OpenShift Container Platform 4.6 이상을 사용해야 합니다.
- init 번들이 생성되어야 하며 init 번들을 사용하여 필요한 리소스를 이미 생성해야 합니다.
절차
- OpenShift Container Platform 웹 콘솔에서 Operator → 설치된 Operator 페이지로 이동합니다.
- 설치된 Operator 목록에서 Kubernetes Operator용 Red Hat Advanced Cluster Security를 선택합니다.
기본적으로 OpenShift Container Platform은 프로젝트를
rhacs-operator로 나열합니다. Project: rhacs-operator → Create project 를 선택합니다.주의기본
openshift-operators프로젝트가 아닌 자체 프로젝트에 Red Hat Advanced Cluster Security for KubernetesSecuredCluster리소스를 설치해야 합니다.- 새 프로젝트 이름을 stackrox 또는 다른 이름으로 입력하고 만들기 를 클릭합니다.
- 제공된 API 섹션에서 Secured Cluster 를 선택합니다.
- Create SecuredCluster 를 선택합니다.
-
SecuredCluster사용자 정의 리소스의 이름을 입력합니다. -
중앙 끝점의 경우 중앙 인스턴스의 주소 및 포트 번호를 입력합니다. 예를 들어,
https://central.example.com에서 Central을 사용할 수 있는 경우 중앙 끝점을central.example.com:443으로 지정합니다.central.stackrox.svc:443의 기본값은 보안 클러스터 서비스와 동일한 클러스터에 중앙을 설치할 때만 작동합니다. - 기본값을 수락하거나 사용 가능한 옵션에 사용자 지정 값을 구성합니다.
- 생성을 클릭합니다.
다음 단계
- 선택 사항: 추가 보안 클러스터 설정을 구성합니다.
- Red Hat Advanced Cluster Security for Kubernetes 설치를 확인합니다.
3.8. 보안 클러스터 구성 옵션
중앙 인스턴스를 생성할 때 Operator는 중앙 사용자 정의 리소스에 대한 다음 구성 옵션을 나열합니다.
3.8.1. 필수 구성 설정
| 매개변수 | 설명 |
|---|---|
|
|
포트 번호를 포함하여 연결할 중앙 인스턴스의 끝점입니다. 비GRPC 가능 로드 밸런서를 사용하는 경우 끝점 주소 앞에 |
|
| RHACS 포털에 표시되는 이 클러스터의 고유한 이름입니다. 이 매개변수를 사용하여 이름을 설정한 후에는 다시 변경할 수 없습니다. 이름을 변경하려면 오브젝트를 삭제하고 다시 생성해야 합니다. |
3.8.2. 허용 컨트롤러 설정
| 매개변수 | 설명 |
|---|---|
|
|
오브젝트 생성에 대한 예방 정책 시행을 활성화하려면 |
|
|
|
|
|
오브젝트 업데이트에 대한 예방 정책 시행을 활성화하려면 |
|
| 이 구성 요소를 특정 노드에서만 실행하도록 하려면 이 매개변수를 사용하여 노드 선택기를 구성할 수 있습니다. |
|
| 노드 선택기에서 테인트된 노드를 선택하는 경우 이 매개변수를 사용하여 Admission Control에 대한 테인트 허용 오차 키, 값 및 효과를 지정합니다. 이 매개변수는 주로 인프라 노드에 사용됩니다. |
|
| 이 매개변수를 사용하여 승인 컨트롤러의 기본 리소스 제한을 덮어씁니다. |
|
| 이 매개변수를 사용하여 승인 컨트롤러에 대한 기본 리소스 요청을 덮어씁니다. |
|
| 다음 값 중 하나를 사용하여 승인 컨트롤러 적용 우회를 구성합니다.
기본값은 |
|
| 다음 값 중 하나를 사용하여 승인 컨트롤러가 이미지 스캐너에 연결해야 하는지 지정합니다.
기본값은 |
|
| 이 매개변수를 사용하여 Kubernetes에 대한 최대 Red Hat Advanced Cluster Security에서 실패로 표시하기 전에 승인 검토를 기다려야 하는 최대 시간(초)을 지정합니다. |
3.8.3. 스캐너 구성
스캐너 구성 설정을 사용하여 OpenShift Container Registry(OCR)의 로컬 클러스터 스캐너를 수정합니다.
| 매개변수 | 설명 |
|---|---|
|
|
노드 선택기 레이블을 |
|
| scanner 컨테이너에 대한 메모리 요청입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다. |
|
| scanner 컨테이너에 대한 CPU 요청입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다. |
|
| scanner 컨테이너의 메모리 제한입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다. |
|
| scanner 컨테이너의 CPU 제한입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다. |
|
|
이 옵션을 |
|
|
자동 스케일링을 위한 최소 복제본 수입니다. 기본값은 |
|
|
자동 스케일링을 위한 최대 복제본 수입니다. 기본값은 |
|
|
기본 복제본 수입니다. 기본값은 |
|
| 노드 선택기에서 테인트된 노드를 선택하는 경우 이 매개변수를 사용하여 scanner에 대한 테인트 허용 오차 키, 값 및 효과를 지정합니다. |
|
|
노드 선택기 레이블을 |
|
| scanner DB 컨테이너에 대한 메모리 요청입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다. |
|
| scanner DB 컨테이너에 대한 CPU 요청입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다. |
|
| scanner DB 컨테이너의 메모리 제한입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다. |
|
| scanner DB 컨테이너의 CPU 제한입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다. |
|
| 노드 선택기에서 테인트된 노드를 선택하는 경우 이 매개변수를 사용하여 scanner DB에 대한 테인트 허용 오차 키, 값 및 효과를 지정합니다. |
|
|
이 옵션을 |
3.8.4. 이미지 구성
사용자 정의 레지스트리를 사용할 때 이미지 구성 설정을 사용합니다.
| 매개변수 | 설명 |
|---|---|
|
| 이미지 가져오기를 위해 고려해야 할 추가 이미지 풀 시크릿입니다. |
3.8.5. 노드별 설정
노드 설정별로 클러스터를 보호하기 위해 클러스터의 각 노드에서 실행되는 구성 요소의 구성 설정을 정의합니다. 이러한 구성 요소는 Collector 및 Compliance입니다.
| 매개변수 | 설명 |
|---|---|
|
|
시스템 수준 데이터 수집 방법입니다. 기본값은 skopeo |
|
|
수집기에 사용할 이미지 유형입니다. 이를 |
|
| 이 매개변수를 사용하여 Collector의 기본 리소스 제한을 덮어씁니다. |
|
| 이 매개변수를 사용하여 Collector에 대한 기본 리소스 요청을 덮어씁니다. |
|
| 이 매개변수를 사용하여 규정 준수에 대한 기본 리소스 요청을 덮어씁니다. |
|
| 이 매개변수를 사용하여 Compliance에 대한 기본 리소스 제한을 덮어씁니다. |
3.8.6. 테인트 허용 설정
| 매개변수 | 설명 |
|---|---|
|
|
클러스터 활동을 포괄적으로 모니터링하기 위해 Kubernetes용 Red Hat Advanced Cluster Security는 기본적으로 테인트된 노드를 포함하여 클러스터의 모든 노드에서 서비스를 실행합니다. 이 동작을 원하지 않는 경우 이 매개변수에 |
3.8.7. 센서 구성
이 구성은 클러스터의 하나의 노드에서 실행되는 센서 구성 요소의 설정을 정의합니다.
| 매개변수 | 설명 |
|---|---|
|
| Sensor가 특정 노드에서만 실행되도록 하려면 노드 선택기를 구성할 수 있습니다. |
|
| 노드 선택기에서 테인트된 노드를 선택하는 경우 이 매개변수를 사용하여 Sensor에 대한 테인트 허용 오차 키, 값 및 효과를 지정합니다. 이 매개변수는 주로 인프라 노드에 사용됩니다. |
|
| 이 매개변수를 사용하여 센서의 기본 리소스 제한을 덮어씁니다. |
|
| 이 매개변수를 사용하여 센서에 대한 기본 리소스 요청을 덮어씁니다. |
3.8.8. 일반 및 기타 설정
| 매개변수 | 설명 |
|---|---|
|
| 보안 클러스터에 대한 신뢰할 수 있는 추가 CA 인증서입니다. 이러한 인증서는 개인 인증 기관을 사용하여 서비스와 통합할 때 사용됩니다. |
|
|
중앙에 대한 SCC를 만들려면 |
|
| 중앙 배포에 대한 사용자 지정 주석을 지정할 수 있습니다. |
|
| 환경 변수를 구성하는 고급 설정입니다. |
|
| Kubernetes용 Red Hat Advanced Cluster Security가 온라인 또는 오프라인 모드에서 실행되어야 하는지 여부를 설정합니다. 오프라인 모드에서는 취약점 정의 및 커널 모듈에 대한 자동 업데이트가 비활성화됩니다. |
3.9. 설치 확인
설치를 완료한 후 몇 가지 취약한 애플리케이션을 실행하고 RHACS 포털로 이동하여 보안 평가 및 정책 위반 결과를 평가합니다.
다음 섹션에 나열된 샘플 애플리케이션에는 중요한 취약점이 포함되어 있으며 특별히 Red Hat Advanced Cluster Security for Kubernetes의 빌드 및 배포 평가 기능을 확인하도록 설계되었습니다.
설치를 확인하려면 다음을 수행합니다.
노출 방법에 따라 RHACS 포털의 주소를 찾습니다.
경로의 경우:
$ oc get route central -n stackrox
로드 밸런서의 경우:
$ oc get service central-loadbalancer -n stackrox
포트 전달의 경우:
다음 명령을 실행합니다.
$ oc port-forward svc/central 18443:443 -n stackrox
-
https://localhost:18443/으로 이동합니다.
OpenShift Container Platform CLI를 사용하여 새 프로젝트를 생성합니다.
$ oc new-project test
중요한 취약점이 있는 일부 애플리케이션을 시작합니다.
$ oc run shell --labels=app=shellshock,team=test-team \ --image=vulnerables/cve-2014-6271 -n test $ oc run samba --labels=app=rce \ --image=vulnerables/cve-2017-7494 -n test
Red Hat Advanced Cluster Security for Kubernetes는 이러한 배포를 클러스터에 제출되는 즉시 보안 위험 및 정책 위반에 대해 자동으로 검사합니다. RHACS 포털로 이동하여 위반 사항을 확인합니다. 기본 사용자 이름 admin 과 생성된 암호를 사용하여 RHACS 포털에 로그인할 수 있습니다.
3.10. RHACS에 새 클러스터 추가
Red Hat Advanced Cluster Security for Kubernetes에 클러스터를 추가하려면 추가할 모든 클러스터에 Kubernetes Operator용 Red Hat Advanced Cluster Security를 설치해야 합니다.
다음 단계는 Kubernetes용 Red Hat Advanced Cluster Security에 클러스터를 추가하는 고급 흐름입니다.
4장. Helm 차트를 사용하여 설치
4.1. Helm 차트를 사용하여 빠르게 설치
Kubernetes용 Red Hat Advanced Cluster Security는 OpenShift Container Platform 클러스터에 일련의 서비스를 설치합니다. 이 주제에서는 사용자 정의 없이 OpenShift Container Platform 클러스터에 Red Hat Advanced Cluster Security for Kubernetes를 설치하는 설치 절차에 대해 설명합니다.
다음 단계는 Kubernetes용 Red Hat Advanced Cluster Security를 신속하게 설치하기 위한 고급 설치 흐름을 보여줍니다.
- Red Hat Advanced Cluster Security for Kubernetes Helm 차트 리포지터리를 추가합니다.
-
central-servicesHelm 차트를 설치하여 중앙 집중식 구성 요소 (Central 및 Scanner)를 설치합니다. - init 번들을 생성합니다.
-
secure
-cluster-servicesHelm 차트를 설치하여 클러스터별 및 노드별 구성 요소(Sensor, Admission Controller, Collector)를 설치합니다.
설치하기 전에 다음을 수행합니다.
4.1.1. Helm 차트 리포지터리 추가
절차
Red Hat Advanced Cluster Security for Kubernetes 차트 리포지터리를 추가합니다.
$ helm repo add rhacs https://mirror.openshift.com/pub/rhacs/charts/
Kubernetes용 Red Hat Advanced Cluster Security용 Helm 리포지토리에는 다른 구성 요소를 설치하기 위한 두 개의 Helm 차트가 포함되어 있습니다.
중앙 집중식 구성 요소(Central 및 Scanner)를 설치하기 위한 중앙 서비스Helm 차트(중앙 서비스)입니다.참고중앙 집중식 구성 요소를 한 번만 배포하고 동일한 설치를 사용하여 여러 개의 개별 클러스터를 모니터링할 수 있습니다.
클러스터당(Sensor 및 Admission 컨트롤러) 및 노드별(Collector) 구성 요소를 설치하기 위한 보안 클러스터 서비스 Helm 차트(
secured-cluster-services)참고모니터링할 모든 노드에서 노드별 구성 요소를 모니터링하고 배포하려는 각 클러스터에 클러스터별 구성 요소를 배포합니다.
검증
다음 명령을 실행하여 추가된 차트 리포지터리를 확인합니다.
$ helm search repo -l rhacs/
4.1.2. 사용자 정의 없이 central-services Helm 차트 설치
다음 지침을 사용하여 중앙 서비스 Helm 차트를 설치하여 중앙 집중식 구성 요소(Central 및 Scanner)를 배포합니다.
사전 요구 사항
-
Red Hat Container Registry에 액세스할 수 있어야 합니다.
registry.redhat.io에서 이미지를 다운로드하는 방법에 대한 자세한 내용은 Red Hat Container Registry 인증을 참조하십시오.
절차
다음 명령을 실행하여 중앙 서비스를 설치하고 경로를 사용하여 Central을 노출합니다.
$ helm install -n stackrox \ --create-namespace stackrox-central-services rhacs/central-services \ --set imagePullSecrets.username=<username> \ --set imagePullSecrets.password=<password> \ --set central.exposure.route.enabled=true
또는 다음 명령을 실행하여 중앙 서비스를 설치하고 로드 밸런서를 사용하여 Central을 노출합니다.
$ helm install -n stackrox \ --create-namespace stackrox-central-services rhacs/central-services \ --set imagePullSecrets.username=<username> \ --set imagePullSecrets.password=<password> \ --set central.exposure.loadBalancer.enabled=true
또는 다음 명령을 실행하여 중앙 서비스를 설치하고 포트 전달을 사용하여 Central을 노출합니다.
$ helm install -n stackrox \ --create-namespace stackrox-central-services rhacs/central-services \ --set imagePullSecrets.username=<username> \ --set imagePullSecrets.password=<password>
-
외부 서비스에 연결하기 위해 프록시가 필요한 클러스터에 Red Hat Advanced Cluster Security for Kubernetes를 설치하는 경우
proxyConfig매개변수를 사용하여 프록시 구성을 지정해야 합니다. 예를 들면 다음과 같습니다.
env:
proxyConfig: |code modules/install-secured-cluster-services-helm-chart.adoc
url: http://proxy.name:port
username: username
password: password
excludes:
- some.domain-
* 사용자 이름과 암호를 사용하는 대신 설치할 네임스페이스에 하나 이상의 이미지 풀 시크릿을 이미 생성한 경우
--set imagePullSecrets.useExisting="<pull-secret-1;pull-secret-2>"를 사용할 수 있습니다. 이미지 풀 시크릿을 사용하지 마십시오.
-
quay.io/stackrox-io또는 인증이 필요하지 않은 프라이빗 네트워크의 레지스트리에서 이미지를 가져오는 경우. 사용자 이름과 암호를 지정하는 대신--set imagePullSecrets.allowNone=true를 사용하십시오. -
설치 중인 네임스페이스의 기본 서비스 계정에 이미지 가져오기 보안을 이미 구성한 경우 사용자 이름과 암호를 지정하는 대신
--set imagePullSecrets.useFromDefaultServiceAccount=true를 사용합니다.
-
설치 명령 출력에는 다음이 포함됩니다.
- 자동 생성된 관리자 암호입니다.
- 모든 구성 값을 저장하는 지침입니다.
- Helm이 생성하는 경고입니다.
4.1.3. init 번들 생성
클러스터에 SecuredCluster 리소스를 설치하기 전에 init 번들을 생성해야 합니다. SecuredCluster 가 설치되고 구성된 클러스터는 이 번들을 사용하여 중앙으로 인증합니다.
4.1.3.1. roxctl CLI를 사용하여 init 번들 생성
roxctl CLI를 사용하여 시크릿으로 init 번들을 생성할 수 있습니다.
사전 요구 사항
ROX_API_TOKEN 및 ROX_CENTRAL_ADDRESS 환경 변수를 구성했습니다.
ROX_API_TOKEN및ROX_CENTRAL_ADDRESS환경 변수를 설정합니다.$ export ROX_API_TOKEN=<api_token>
$ export ROX_CENTRAL_ADDRESS=<address>:<port_number>
절차
다음 명령을 실행하여 보안이 포함된 클러스터 init 번들을 생성합니다.
$ roxctl -e "$ROX_CENTRAL_ADDRESS" \ central init-bundles generate <cluster_init_bundle_name> \ --output cluster_init_bundle.yaml
$ roxctl -e "$ROX_CENTRAL_ADDRESS" \ central init-bundles generate <cluster_init_bundle_name> \ --output-secrets cluster_init_bundle.yaml
시크릿이 포함되어 있으므로 이 번들을 안전하게 저장해야 합니다. 동일한 번들을 사용하여 여러 개의 보안 클러스터를 설정할 수 있습니다.
4.1.4. 사용자 정의 없이 보안-cluster-services Helm 차트 설치
다음 지침을 사용하여 secure -cluster-services Helm 차트를 설치하여 클러스터별 및 노드별 구성 요소(Sensor, Admission Controller, Collector)를 배포합니다.
UEFI(Unified Extensible Firmware Interface)가 있고 Secure Boot가 활성화된 시스템에 수집기를 설치하려면 커널 모듈이 서명되지 않고 UEFI 펌웨어가 서명되지 않은 패키지를 로드할 수 없기 때문에 eBPF 프로브를 사용해야 합니다. 수집기는 시작시 Secure Boot 상태를 확인하고 필요한 경우 eBPF 프로브로 전환합니다.
사전 요구 사항
- 중앙 서비스를 노출하는 주소와 포트 번호가 있어야 합니다.
절차
다른 Kubernetes 기반 클러스터에서 다음 명령을 실행합니다.
$ helm install -n stackrox --create-namespace \ stackrox-secured-cluster-services rhacs/secured-cluster-services \ -f <path_to_cluster_init_bundle.yaml> \ 1 --set clusterName=<name_of_the_secured_cluster> \ --set centralEndpoint=<endpoint_of_central_service> 2OpenShift Container Platform 클러스터에서 다음 명령을 실행합니다.
$ helm install -n stackrox --create-namespace \ stackrox-secured-cluster-services rhacs/secured-cluster-services \ -f <path_to_cluster_init_bundle.yaml> \ 1 --set clusterName=<name_of_the_secured_cluster> \ --set centralEndpoint=<endpoint_of_central_service> 2 --set scanner.disable=false
4.1.5. 설치 확인
설치를 완료한 후 몇 가지 취약한 애플리케이션을 실행하고 RHACS 포털로 이동하여 보안 평가 및 정책 위반 결과를 평가합니다.
다음 섹션에 나열된 샘플 애플리케이션에는 중요한 취약점이 포함되어 있으며 특별히 Red Hat Advanced Cluster Security for Kubernetes의 빌드 및 배포 평가 기능을 확인하도록 설계되었습니다.
설치를 확인하려면 다음을 수행합니다.
노출 방법에 따라 RHACS 포털의 주소를 찾습니다.
경로의 경우:
$ oc get route central -n stackrox
로드 밸런서의 경우:
$ oc get service central-loadbalancer -n stackrox
포트 전달의 경우:
다음 명령을 실행합니다.
$ oc port-forward svc/central 18443:443 -n stackrox
-
https://localhost:18443/으로 이동합니다.
OpenShift Container Platform CLI를 사용하여 새 프로젝트를 생성합니다.
$ oc new-project test
중요한 취약점이 있는 일부 애플리케이션을 시작합니다.
$ oc run shell --labels=app=shellshock,team=test-team \ --image=vulnerables/cve-2014-6271 -n test $ oc run samba --labels=app=rce \ --image=vulnerables/cve-2017-7494 -n test
Red Hat Advanced Cluster Security for Kubernetes는 이러한 배포를 클러스터에 제출되는 즉시 보안 위험 및 정책 위반에 대해 자동으로 검사합니다. RHACS 포털로 이동하여 위반 사항을 확인합니다. 기본 사용자 이름 admin 과 생성된 암호를 사용하여 RHACS 포털에 로그인할 수 있습니다.
4.1.6. 추가 리소스
4.2. Helm 차트를 사용하여 사용자 정의로 설치
높은 수준의 설치 흐름:
- Red Hat Advanced Cluster Security for Kubernetes Helm 차트 리포지터리를 추가합니다.
-
central-servicesHelm 차트를 구성합니다. -
central-servicesHelm 차트를 설치하여 중앙 집중식 구성 요소 (Central 및 Scanner)를 설치합니다. - init 번들을 생성합니다.
-
secure
-cluster-servicesHelm 차트를 구성합니다. -
secure
-cluster-servicesHelm 차트를 설치하여 클러스터별 및 노드별 구성 요소(Sensor, Admission Controller, Collector)를 설치합니다.
설치하기 전에 다음을 수행합니다.
4.2.1. Helm 차트 리포지터리 추가
절차
Red Hat Advanced Cluster Security for Kubernetes 차트 리포지터리를 추가합니다.
$ helm repo add rhacs https://mirror.openshift.com/pub/rhacs/charts/
Kubernetes용 Red Hat Advanced Cluster Security용 Helm 리포지토리에는 다른 구성 요소를 설치하기 위한 두 개의 Helm 차트가 포함되어 있습니다.
중앙 집중식 구성 요소(Central 및 Scanner)를 설치하기 위한 중앙 서비스Helm 차트(중앙 서비스)입니다.참고중앙 집중식 구성 요소를 한 번만 배포하고 동일한 설치를 사용하여 여러 개의 개별 클러스터를 모니터링할 수 있습니다.
클러스터당(Sensor 및 Admission 컨트롤러) 및 노드별(Collector) 구성 요소를 설치하기 위한 보안 클러스터 서비스 Helm 차트(
secured-cluster-services)참고모니터링할 모든 노드에서 노드별 구성 요소를 모니터링하고 배포하려는 각 클러스터에 클러스터별 구성 요소를 배포합니다.
검증
다음 명령을 실행하여 추가된 차트 리포지터리를 확인합니다.
$ helm search repo -l rhacs/
4.2.2. central-services Helm 차트 구성
이 섹션에서는 helm install 및 helm upgrade 명령과 함께 사용할 수 있는 Helm 차트 구성 매개변수에 대해 설명합니다. set 옵션을 사용하거나 YAML 구성 파일을 생성하여 이러한 매개변수를 지정할 수 있습니다.
Kubernetes용 Red Hat Advanced Cluster Security를 설치하기 위해 Helm 차트를 구성하려면 다음 파일을 생성합니다.
-
공용 설정 파일
값-public.yaml: 이 파일을 사용하여 민감하지 않은 모든 구성 옵션을 저장합니다. -
비공개 설정 파일
values-private.yaml: 이 파일을 사용하여 중요한 모든 구성 옵션을 저장합니다. 이 파일을 안전하게 저장하십시오.
4.2.2.1. 개인 설정 파일
이 섹션에는 values-private.yaml 파일의 구성 가능한 매개변수가 나열됩니다. 이러한 매개변수에 대한 기본값이 없습니다.
4.2.2.1.1. 이미지 풀 시크릿
레지스트리에서 이미지를 가져오는 데 필요한 인증 정보는 다음과 같은 요인에 따라 달라집니다.
사용자 정의 레지스트리를 사용하는 경우 다음 매개변수를 지정해야 합니다.
-
imagePullSecrets.username -
imagePullSecrets.password -
image.registry
-
사용자 정의 레지스트리에 로그인하는 데 사용자 이름과 암호를 사용하지 않는 경우 다음 매개변수 중 하나를 지정해야 합니다.
-
imagePullSecrets.allowNone -
imagePullSecrets.useExisting -
imagePullSecrets.useFromDefaultServiceAccount
-
| 매개변수 | 설명 |
|---|---|
|
| 레지스트리에 로그인하는 데 사용되는 계정의 사용자 이름입니다. |
|
| 레지스트리에 로그인하는 데 사용되는 계정의 암호입니다. |
|
|
사용자 정의 레지스트리를 사용하는 경우 |
|
|
쉼표로 구분된 시크릿 목록을 값으로 사용합니다. 예를 들면 |
|
|
충분한 범위가 지정된 이미지 가져오기 보안이 있는 대상 네임스페이스에 기본 서비스 계정을 이미 구성한 경우 |
4.2.2.1.2. 프록시 설정
외부 서비스에 연결하기 위해 프록시가 필요한 클러스터에 Red Hat Advanced Cluster Security for Kubernetes를 설치하는 경우 proxyConfig 매개변수를 사용하여 프록시 구성을 지정해야 합니다. 예를 들면 다음과 같습니다.
env:
proxyConfig: |
url: http://proxy.name:port
username: username
password: password
excludes:
- some.domain| 매개변수 | 설명 |
|---|---|
|
| 프록시 설정입니다. |
4.2.2.1.3. 중앙
중앙에 대한 구성 가능한 매개변수입니다.
새 설치의 경우 다음 매개변수를 생략할 수 있습니다.
-
central.jwtSigner.key -
central.serviceTLS.cert -
central.serviceTLS.key -
central.adminPassword.value -
central.adminPassword.htpasswd - 이러한 매개변수에 값을 지정하지 않으면 Helm 차트 값이 자동으로 생성됩니다.
-
이러한 값을 수정하려면
helm upgrade명령을 사용하여--set옵션을 사용하여 값을 지정할 수 있습니다.
관리자 암호를 설정하는 경우 central.adminPassword.value 또는 central.adminPassword.htpasswd 만 사용할 수 있지만 둘 다 사용할 수는 없습니다.
| 매개변수 | 설명 |
|---|---|
|
| 인증을 위해 Red Hat Advanced Cluster Security for Kubernetes에서 JSON 웹 토큰(JWT) 서명에 사용해야 하는 개인 키입니다. |
|
| 중앙 서비스에서 Central을 배포하는 데 사용해야 하는 내부 인증서입니다. |
|
| 중앙 서비스에서 사용해야 하는 내부 인증서의 개인 키입니다. |
|
| 중앙에서 사용해야 하는 사용자용 인증서입니다. Red Hat Advanced Cluster Security for Kubernetes는 RHACS 포털에 이 인증서를 사용합니다.
|
|
| 중앙에서 사용해야 하는 사용자용 인증서의 개인 키입니다.
|
|
| Red Hat Advanced Cluster Security for Kubernetes에 로그인하기 위한 관리자 암호입니다. |
|
| Red Hat Advanced Cluster Security for Kubernetes에 로그인하기 위한 관리자 암호입니다. 이 암호는 bcrypt를 사용하여 해시 형식으로 저장됩니다. |
central.adminPassword.htpasswd 매개변수를 사용하는 경우 bcrypt 인코딩 암호 해시를 사용해야 합니다. htpasswd -nB admin 명령을 실행하여 암호 해시를 생성할 수 있습니다. 예를 들면 다음과 같습니다.
htpasswd: | admin:<bcrypt-hash>
4.2.2.1.4. scanner
scanner에 대한 구성 가능한 매개변수입니다.
새 설치의 경우 다음 매개변수와 Helm 차트에서 해당 매개변수에 대한 값을 자동으로 생성할 수 있습니다. 그렇지 않으면 새 버전으로 업그레이드하는 경우 다음 매개변수의 값을 지정합니다.
-
scanner.dbPassword.value -
scanner.serviceTLS.cert -
scanner.serviceTLS.key -
scanner.dbServiceTLS.cert -
scanner.dbServiceTLS.key
| 매개변수 | 설명 |
|---|---|
|
| Scanner 데이터베이스와의 인증에 사용할 암호입니다. Kubernetes용 Red Hat Advanced Cluster Security는 내부적으로 값을 자동으로 생성하고 사용하므로 이 매개변수를 수정하지 마십시오. |
|
| scanner 서비스에서 Scanner를 배포하는 데 사용해야 하는 내부 인증서입니다. |
|
| scanner 서비스에서 사용해야 하는 내부 인증서의 개인 키입니다. |
|
| scanner-db 서비스에서 Scanner 데이터베이스를 배포하는 데 사용해야 하는 내부 인증서입니다. |
|
| scanner-db 서비스에서 사용해야 하는 내부 인증서의 개인 키입니다. |
4.2.2.2. 공용 구성 파일
이 섹션에는 values-public.yaml 파일의 구성 가능한 매개변수가 나열됩니다.
4.2.2.2.1. 이미지 풀 시크릿
이미지 풀 보안은 레지스트리에서 이미지를 가져오는 데 필요한 인증 정보입니다.
| 매개변수 | 설명 |
|---|---|
|
|
사용자 정의 레지스트리를 사용하는 경우 |
|
|
쉼표로 구분된 시크릿 목록을 값으로 사용합니다. 예를 들면 |
|
|
충분한 범위가 지정된 이미지 가져오기 보안이 있는 대상 네임스페이스에 기본 서비스 계정을 이미 구성한 경우 |
4.2.2.2.2. Image
이미지는 Helm 차트에서 central.image,scanner.image 및 scanner.dbImage 매개변수의 이미지를 확인하는 데 사용하는 기본 레지스트리를 설정하기 위해 구성을 선언합니다.
| 매개변수 | 설명 |
|---|---|
|
|
이미지 레지스트리의 주소입니다. |
4.2.2.2.3. 환경 변수
Red Hat Advanced Cluster Security for Kubernetes는 클러스터 환경을 자동으로 감지하고 env.openshift,env.istio 및 env.platform 의 값을 설정합니다. 자동 클러스터 환경 탐지를 재정의하려면 이 값만 설정합니다.
| 매개변수 | 설명 |
|---|---|
|
|
OpenShift Container Platform 클러스터에 설치하고 자동 클러스터 환경 탐지를 재정의하려면 |
|
|
Istio가 활성화된 클러스터에 설치하고 자동 클러스터 환경 탐지를 재정의하려면 |
|
|
Red Hat Advanced Cluster Security for Kubernetes를 설치하는 플랫폼입니다. 클러스터 플랫폼을 지정하고 자동 클러스터 환경 탐지를 재정의하려면 해당 값을 |
|
|
|
4.2.2.2.4. 신뢰할 수 있는 추가 인증 기관
Kubernetes용 Red Hat Advanced Cluster Security는 신뢰할 수 있는 시스템 루트 인증서를 자동으로 참조합니다. 조직의 기관 또는 전역 신뢰할 수 있는 파트너 조직의 인증서를 사용하는 서비스에 중앙 또는 스캐너를 사용해야 하는 경우 다음 매개변수를 사용하여 신뢰할 루트 인증 기관을 지정하여 이러한 서비스에 대한 신뢰를 추가할 수 있습니다.
| 매개변수 | 설명 |
|---|---|
|
| 신뢰할 루트 인증 기관의 PEM 인코딩 인증서를 지정합니다. |
4.2.2.2.5. 중앙
중앙에 대한 구성 가능한 매개변수입니다.
-
영구 스토리지 옵션을
hostPath또는persistentVolumeClaim으로 지정해야 합니다. -
외부 액세스를 위해 중앙 배포를 노출합니다.
central.exposure.loadBalancer,central.exposure.nodePort,central.exposure.route중 하나의 매개변수를 지정해야 합니다. 이러한 매개변수에 대한 값을 지정하지 않으면 포트 전달을 사용하여 중앙 관리를 수동으로 노출하거나 액세스해야 합니다.
| 매개변수 | 설명 |
|---|---|
|
|
|
|
| 중앙의 끝점 구성 옵션입니다. |
|
| 노드 선택기에서 테인트된 노드를 선택하는 경우 이 매개변수를 사용하여 중앙에 대한 테인트 허용 오차 키, 값 및 효과를 지정합니다. 이 매개변수는 주로 인프라 노드에 사용됩니다. |
|
| 노드 선택기에서 테인트된 노드를 선택하는 경우 이 매개변수를 사용하여 중앙에 대한 테인트 허용 오차 키, 값 및 효과를 지정합니다. 이 매개변수는 주로 인프라 노드에 사용됩니다. |
|
|
포트 번호 |
|
|
중앙 이미지의 글로벌 |
|
|
기본 중앙 이미지 이름( |
|
|
중앙 이미지의 기본 태그를 재정의하는 사용자 정의 이미지 태그입니다. 새 설치 중에 이미지 태그를 지정하는 경우 |
|
|
중앙 이미지의 레지스트리 주소, 이미지 이름, 이미지 태그를 포함한 전체 참조입니다. 이 매개변수의 값을 설정하면 |
|
| Central에 기본값을 덮어쓰는 메모리 요청입니다. |
|
| 중앙에서 기본값을 재정의하는 CPU 요청입니다. |
|
| 중앙에서 기본값을 덮어쓰는 메모리 제한입니다. |
|
| 중앙에서 기본값을 재정의하는 CPU 제한입니다. |
|
| Red Hat Advanced Cluster Security for Kubernetes가 데이터베이스 볼륨을 생성해야 하는 노드의 경로입니다. Red Hat은 이 옵션을 사용하는 것을 권장하지 않습니다. |
|
| 사용 중인 PVC(영구 볼륨 클레임)의 이름입니다. |
|
|
|
|
| 지정된 클레임에서 관리하는 영구 볼륨의 크기(GiB)입니다. |
|
|
로드 밸런서를 사용하여 Central을 노출하려면 |
|
| 중앙에서 노출할 포트 번호입니다. 기본 포트 번호는 443입니다. |
|
|
노드 포트 서비스를 사용하여 Central을 노출하려면 |
|
| 중앙에서 노출할 포트 번호입니다. 이 매개변수를 건너뛰면 OpenShift Container Platform에서 포트 번호를 자동으로 할당합니다. 노드 포트를 사용하여 Kubernetes용 Red Hat Advanced Cluster Security를 노출하는 경우 포트 번호를 지정하지 않는 것이 좋습니다. |
|
|
경로를 사용하여 Central을 노출하려면 |
4.2.2.2.6. scanner
scanner에 대한 구성 가능한 매개변수입니다.
| 매개변수 | 설명 |
|---|---|
|
|
|
|
|
Scanner 배포를 위해 생성할 복제본 수입니다. |
|
|
scanner에 대한 로그 수준을 구성합니다. 로그 수준의 기본값( |
|
|
노드 선택기 레이블을 |
|
| 노드 선택기에서 테인트된 노드를 선택하는 경우 이 매개변수를 사용하여 scanner에 대한 테인트 허용 오차 키, 값 및 효과를 지정합니다. 이 매개변수는 주로 인프라 노드에 사용됩니다. |
|
|
|
|
| 자동 스케일링을 위한 최소 복제본 수입니다. |
|
| 자동 스케일링을 위한 최대 복제본 수입니다. |
|
| 스캐너가 기본값을 재정의하도록 요청하는 메모리 요청입니다. |
|
| 기본값을 재정의하는 스캐너에 대한 CPU 요청입니다. |
|
| 스캐너가 기본값을 재정의하는 데 사용되는 메모리 제한입니다. |
|
| 스캐너가 기본값을 재정의하는 CPU 제한입니다. |
|
| scanner 데이터베이스 배포에 대한 메모리 요청으로 기본값을 덮어씁니다. |
|
| scanner 데이터베이스 배포에 대한 CPU 요청으로 기본값을 덮어씁니다. |
|
| scanner 데이터베이스 배포에 대한 메모리 제한으로 기본값을 덮어씁니다. |
|
| scanner 데이터베이스 배포에 대한 CPU 제한으로 기본값을 덮어씁니다. |
|
| 스캐너 이미지의 사용자 정의 레지스트리. |
|
|
기본 스캐너 이미지 이름( |
|
| scanner DB 이미지의 사용자 정의 레지스트리. |
|
|
기본 scanner DB 이미지 이름( |
|
|
노드 선택기 레이블을 |
|
| 노드 선택기에서 테인트된 노드를 선택하는 경우 이 매개변수를 사용하여 scanner DB에 대한 테인트 허용 오차 키, 값 및 효과를 지정합니다. 이 매개변수는 주로 인프라 노드에 사용됩니다. |
4.2.2.2.7. 사용자 정의
이러한 매개변수를 사용하여 Red Hat Advanced Cluster Security for Kubernetes에서 생성하는 모든 오브젝트에 대한 추가 속성을 지정합니다.
| 매개변수 | 설명 |
|---|---|
|
| 모든 오브젝트에 연결할 사용자 정의 레이블입니다. |
|
| 모든 오브젝트에 연결할 사용자 정의 주석입니다. |
|
| 모든 배포에 연결할 사용자 지정 레이블입니다. |
|
| 모든 배포에 연결할 사용자 지정 주석입니다. |
|
| 모든 오브젝트의 모든 컨테이너의 사용자 지정 환경 변수. |
|
| 중앙에서 생성하는 모든 오브젝트에 연결할 사용자 지정 레이블입니다. |
|
| 중앙에서 생성하는 모든 오브젝트에 연결하는 사용자 정의 주석입니다. |
|
| 모든 중앙 배포에 연결할 사용자 지정 레이블입니다. |
|
| 모든 중앙 배포에 연결할 사용자 지정 주석입니다. |
|
| 모든 중앙 컨테이너에 대한 사용자 지정 환경 변수. |
|
| scanner가 생성하는 모든 오브젝트에 연결할 사용자 지정 레이블입니다. |
|
| scanner가 생성하는 모든 오브젝트에 연결하는 사용자 정의 주석입니다. |
|
| 모든 스캐너 배포에 연결할 사용자 지정 레이블입니다. |
|
| 모든 스캐너 배포에 연결할 사용자 지정 주석입니다. |
|
| 모든 스캐너 컨테이너의 사용자 지정 환경 변수 |
|
| Scanner DB에서 생성하는 모든 오브젝트에 연결할 사용자 지정 레이블입니다. |
|
| Scanner DB에서 생성하는 모든 오브젝트에 연결하는 사용자 정의 주석입니다. |
|
| 모든 스캐너 DB 배포에 연결할 사용자 지정 레이블입니다. |
|
| 모든 스캐너 DB 배포에 연결하는 사용자 정의 주석입니다. |
|
| 모든 스캐너 DB 컨테이너의 사용자 지정 환경 변수. |
또는 다음을 수행할 수도 있습니다.
-
모든 오브젝트에 대한 레이블 및 주석을 지정하는
customize.other.service/*.labels및customize.other.service/*.annotations매개변수입니다. -
또는 특정 서비스 이름(예:
customize.other.service/central-loadbalancer.labels및customize.other.service/central-loadbalancer.annotations)을 매개변수로 지정하고 해당 값을 설정합니다.
4.2.2.2.8. 고급 사용자 정의
이 섹션에 지정된 매개변수는 정보 전용입니다. Red Hat은 수정된 네임스페이스 및 릴리스 이름이 있는 Kubernetes 인스턴스용 Red Hat Advanced Cluster Security for Kubernetes 인스턴스를 지원하지 않습니다.
| 매개변수 | 설명 |
|---|---|
|
|
|
|
|
|
4.2.3. central-services Helm 차트 설치
values-public.yaml 및 values-private.yaml 파일을 구성한 후 central-services Helm 차트를 설치하여 중앙 집중식 구성 요소(Central 및 Scanner)를 배포합니다.
절차
다음 명령을 실행합니다.
$ helm install -n stackrox --create-namespace \ stackrox-central-services rhacs/central-services \ -f <path_to_values_public.yaml> -f <path_to_values_private.yaml> 1- 1
-f옵션을 사용하여 YAML 구성 파일의 경로를 지정합니다.
4.2.3.1. central-services Helm 차트를 배포한 후 구성 옵션 변경
central-services Helm 차트를 배포한 후 구성 옵션을 변경할 수 있습니다.
절차
-
values-public.yaml및values-private.yaml구성 파일을 새 값으로 업데이트합니다. helm upgrade명령을 실행하고-f옵션을 사용하여 구성 파일을 지정합니다.$ helm upgrade -n stackrox \ stackrox-central-services rhacs/central-services \ -f <path_to_values_public.yaml> \ -f <path_to_values_private.yaml>
참고--set또는--set-file매개변수를 사용하여 구성 값을 지정할 수도 있습니다. 그러나 이러한 옵션은 저장되지 않으며 변경할 때마다 모든 옵션을 수동으로 다시 지정해야 합니다.
4.2.4. init 번들 생성
클러스터에 SecuredCluster 리소스를 설치하기 전에 init 번들을 생성해야 합니다. SecuredCluster 가 설치되고 구성된 클러스터는 이 번들을 사용하여 중앙으로 인증합니다.
roxctl CLI 또는 RHACS 포털에서 init 번들을 생성할 수 있습니다.
4.2.4.1. roxctl CLI를 사용하여 init 번들 생성
roxctl CLI를 사용하여 시크릿으로 init 번들을 생성할 수 있습니다.
사전 요구 사항
ROX_API_TOKEN 및 ROX_CENTRAL_ADDRESS 환경 변수를 구성했습니다.
ROX_API_TOKEN및ROX_CENTRAL_ADDRESS환경 변수를 설정합니다.$ export ROX_API_TOKEN=<api_token>
$ export ROX_CENTRAL_ADDRESS=<address>:<port_number>
절차
다음 명령을 실행하여 보안이 포함된 클러스터 init 번들을 생성합니다.
$ roxctl -e "$ROX_CENTRAL_ADDRESS" \ central init-bundles generate <cluster_init_bundle_name> \ --output cluster_init_bundle.yaml
$ roxctl -e "$ROX_CENTRAL_ADDRESS" \ central init-bundles generate <cluster_init_bundle_name> \ --output-secrets cluster_init_bundle.yaml
시크릿이 포함되어 있으므로 이 번들을 안전하게 저장해야 합니다. 동일한 번들을 사용하여 여러 개의 보안 클러스터를 설정할 수 있습니다.
추가 리소스
4.2.4.2. RHACS 포털을 사용하여 init 번들 생성
RHACS 포털을 사용하여 시크릿이 포함된 init 번들을 생성할 수 있습니다.
절차
노출 방법에 따라 RHACS 포털의 주소를 찾습니다.
경로의 경우:
$ oc get route central -n stackrox
로드 밸런서의 경우:
$ oc get service central-loadbalancer -n stackrox
포트 전달의 경우:
다음 명령을 실행합니다.
$ oc port-forward svc/central 18443:443 -n stackrox
-
https://localhost:18443/으로 이동합니다.
- RHACS 포털에서 플랫폼 구성 → 통합 으로 이동합니다.
- 인증 토큰 섹션으로 이동하여 Cluster Init Bundle 을 클릭합니다.
- 번들 생성을 클릭합니다.
- 클러스터 init 번들의 이름을 입력하고 생성을 클릭합니다.
- Helm Values 파일 다운로드를 클릭하여 생성된 번들을 다운로드합니다.
- Kubernetes 보안 파일 다운로드를 클릭하여 생성된 번들을 다운로드합니다.
시크릿이 포함되어 있으므로 이 번들을 안전하게 저장합니다. 동일한 번들을 사용하여 여러 개의 보안 클러스터를 생성할 수 있습니다.
다음 단계
- OpenShift Container Platform CLI를 사용하여 init 번들을 사용하여 리소스를 생성합니다.
- 모니터링하려는 모든 클러스터에 Red Hat Advanced Cluster Security for Kubernetes를 설치합니다.
4.2.5. secure-cluster-services Helm 차트 구성
이 섹션에서는 helm install 및 helm upgrade 명령과 함께 사용할 수 있는 Helm 차트 구성 매개변수에 대해 설명합니다. set 옵션을 사용하거나 YAML 구성 파일을 생성하여 이러한 매개변수를 지정할 수 있습니다.
Kubernetes용 Red Hat Advanced Cluster Security를 설치하기 위해 Helm 차트를 구성하려면 다음 파일을 생성합니다.
-
공용 설정 파일
값-public.yaml: 이 파일을 사용하여 민감하지 않은 모든 구성 옵션을 저장합니다. -
비공개 설정 파일
values-private.yaml: 이 파일을 사용하여 중요한 모든 구성 옵션을 저장합니다. 이 파일을 안전하게 저장하십시오.
secure -cluster-services Helm 차트를 사용하는 동안 차트에 포함된 values.yaml 파일을 수정하지 마십시오.
4.2.5.1. 구성 매개변수
| 매개변수 | 설명 |
|---|---|
|
| 클러스터의 이름입니다. |
|
|
포트 번호를 포함한 중앙 끝점의 주소입니다. gRPC가 아닌 로드 밸런서를 사용하는 경우 |
|
| 포트 번호를 포함한 센서 끝점의 주소입니다. |
|
| 센서 컨테이너에 대한 이미지 가져오기 정책입니다. |
|
| Sensor가 사용하는 내부 서비스 간 TLS 인증서입니다. |
|
| Sensor가 사용하는 내부 서비스 간 TLS 인증서 키입니다. |
|
| 센서 컨테이너에 대한 메모리 요청입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다. |
|
| 센서 컨테이너에 대한 CPU 요청입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다. |
|
| 센서 컨테이너의 메모리 제한입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다. |
|
| 센서 컨테이너의 CPU 제한입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다. |
|
|
노드 선택기 레이블을 |
|
| 노드 선택기에서 테인트된 노드를 선택하는 경우 이 매개변수를 사용하여 Sensor에 대한 테인트 허용 오차 키, 값 및 효과를 지정합니다. 이 매개변수는 주로 인프라 노드에 사용됩니다. |
|
|
|
|
| 수집기 이미지의 이름입니다. |
|
| 기본 이미지에 사용 중인 레지스트리의 주소입니다. |
|
| 수집기 이미지에 사용 중인 레지스트리의 주소입니다. |
|
|
|
|
| 수집기 이미지에 대한 이미지 가져오기 정책입니다. |
|
|
사용할 |
|
|
사용할 |
|
|
skopeo |
|
| 수집기 컨테이너의 이미지 가져오기 정책입니다. |
|
| Compliance 컨테이너에 대한 이미지 가져오기 정책입니다. |
|
|
|
|
| 수집기 컨테이너에 대한 메모리 요청입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다. |
|
| Collector 컨테이너에 대한 CPU 요청입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다. |
|
| 수집기 컨테이너의 메모리 제한입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다. |
|
| 수집기 컨테이너의 CPU 제한입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다. |
|
| Compliance 컨테이너에 대한 메모리 요청입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다. |
|
| Compliance 컨테이너에 대한 CPU 요청입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다. |
|
| Compliance 컨테이너의 메모리 제한입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다. |
|
| Compliance 컨테이너의 CPU 제한입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다. |
|
| 수집기가 사용하는 내부 서비스 간 TLS 인증서입니다. |
|
| 수집기가 사용하는 내부 서비스 간 TLS 인증서 키입니다. |
|
|
이 설정은 워크로드 생성 이벤트에 대한 |
|
|
이 매개변수를 |
|
|
이 설정은 Kubernetes |
|
| 이 설정은 Kubernetes용 Red Hat Advanced Cluster Security for Kubernetes가 정책을 평가하는지 여부를 제어합니다. 비활성화되면 모든 AdmissionReview 요청이 자동으로 허용됩니다. |
|
|
이 설정은 승인 제어 서비스의 동작을 제어합니다. 이 작업을 수행하려면 |
|
|
이 옵션을 |
|
|
Admission Controller를 바이패스하려면 |
|
| 최대 시간(초)에 Red Hat Advanced Cluster Security for Kubernetes는 승인 검토 요청을 평가하는 동안 기다려야 합니다. 이미지 스캔을 활성화할 때 요청 타임아웃을 설정하려면 이 값을 사용합니다. 이미지 검사가 지정된 시간보다 오래 실행되는 경우 Kubernetes용 Red Hat Advanced Cluster Security에서 요청을 수락합니다. |
|
| Admission Control 컨테이너에 대한 메모리 요청입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다. |
|
| Admission Control 컨테이너에 대한 CPU 요청입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다. |
|
| Admission Control 컨테이너에 대한 메모리 제한입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다. |
|
| Admission Control 컨테이너의 CPU 제한입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다. |
|
|
노드 선택기 레이블을 |
|
| 노드 선택기에서 테인트된 노드를 선택하는 경우 이 매개변수를 사용하여 Admission Control에 대한 테인트 허용 오차 키, 값 및 효과를 지정합니다. 이 매개변수는 주로 인프라 노드에 사용됩니다. |
|
| Admission Control이 사용하는 내부 서비스 간 TLS 인증서입니다. |
|
| Admission Control에서 사용하는 내부 서비스 간 TLS 인증서 키입니다. |
|
|
기본 |
|
|
|
|
|
|
|
|
센서, 수집기 및 Admission Controller에 대한 오케스트레이터 시크릿 생성을 건너뛰려면 |
|
|
Collector를 배포하기 위해 간소화된 수집기 이미지를 사용하려면 |
|
| 센서에 대한 리소스 사양입니다. |
|
| Admission Controller에 대한 리소스 사양입니다. |
|
| 수집기의 리소스 사양입니다. |
|
| 수집기의 규정 준수 컨테이너에 대한 리소스 사양입니다. |
|
|
이 옵션을 |
|
|
이 옵션을 |
|
|
이 옵션을 |
|
| 노드 선택기에서 테인트된 노드를 선택하는 경우 이 매개변수를 사용하여 scanner DB에 대한 테인트 허용 오차 키, 값 및 효과를 지정합니다. |
|
| 수집기의 규정 준수 컨테이너에 대한 리소스 사양입니다. |
|
| 이 매개변수를 설정하면 스캐너 로그 수준을 수정할 수 있습니다. 이 옵션은 문제 해결 목적으로만 사용합니다. |
|
|
이 옵션을 |
|
| 자동 스케일링을 위한 최소 복제본 수입니다. 기본값은 2입니다. |
|
| 자동 스케일링을 위한 최대 복제본 수입니다. 기본값은 5입니다. |
|
|
노드 선택기 레이블을 |
|
| 노드 선택기에서 테인트된 노드를 선택하는 경우 이 매개변수를 사용하여 scanner에 대한 테인트 허용 오차 키, 값 및 효과를 지정합니다. |
|
|
노드 선택기 레이블을 |
|
| 노드 선택기에서 테인트된 노드를 선택하는 경우 이 매개변수를 사용하여 scanner DB에 대한 테인트 허용 오차 키, 값 및 효과를 지정합니다. |
|
| scanner 컨테이너에 대한 메모리 요청입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다. |
|
| scanner 컨테이너에 대한 CPU 요청입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다. |
|
| scanner 컨테이너의 메모리 제한입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다. |
|
| scanner 컨테이너의 CPU 제한입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다. |
|
| scanner DB 컨테이너에 대한 메모리 요청입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다. |
|
| scanner DB 컨테이너에 대한 CPU 요청입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다. |
|
| scanner DB 컨테이너의 메모리 제한입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다. |
|
| scanner DB 컨테이너의 CPU 제한입니다. 이 매개변수를 사용하여 기본값을 덮어씁니다. |
4.2.5.1.1. 환경 변수
다음 형식으로 센서 및 Admission Controller에 대한 환경 변수를 지정할 수 있습니다.
customize:
envVars:
ENV_VAR1: "value1"
ENV_VAR2: "value2"
customize 설정을 사용하면 이 Helm 차트에서 생성한 모든 오브젝트에 대해 사용자 정의 Kubernetes 메타데이터(라벨 및 주석)를 지정하고 워크로드에 대한 추가 Pod 라벨, Pod 주석 및 컨테이너 환경 변수를 지정할 수 있습니다.
구성은 계층 구조입니다. 즉, 보다 일반적인 범위(예: 모든 오브젝트에 대해) 정의된 메타데이터는 더 좁은 범위의 메타데이터(예: Sensor 배포에만 해당)에 의해 재정의될 수 있습니다.
4.2.6. secure-cluster-services Helm 차트 설치
values-public.yaml 및 values-private.yaml 파일을 구성한 후 secure -cluster-services Helm 차트를 설치하여 클러스터별 및 노드 구성 요소(Sensor, Admission Controller, Collector)를 배포합니다.
UEFI(Unified Extensible Firmware Interface)가 있고 Secure Boot가 활성화된 시스템에 수집기를 설치하려면 커널 모듈이 서명되지 않고 UEFI 펌웨어가 서명되지 않은 패키지를 로드할 수 없기 때문에 eBPF 프로브를 사용해야 합니다. 수집기는 시작시 Secure Boot 상태를 확인하고 필요한 경우 eBPF 프로브로 전환합니다.
사전 요구 사항
- 클러스터의 RHACS init 번들이 생성되어 있어야 합니다.
- 중앙 서비스를 노출하는 주소와 포트 번호가 있어야 합니다.
절차
다음 명령을 실행합니다.
$ helm install -n stackrox --create-namespace \ stackrox-secured-cluster-services rhacs/secured-cluster-services \ -f <name_of_cluster_init_bundle.yaml> \ -f <path_to_values_public.yaml> -f <path_to_values_private.yaml> 1- 1
-f옵션을 사용하여 YAML 구성 파일의 경로를 지정합니다.
CI(Continuous Integration) 시스템을 사용하여 보안 클러스터 서비스 Helm 차트를 배포하려면 init 번들 YAML 파일을 helm install 명령에 환경 변수로 전달합니다.
$ helm install ... -f <(echo "$INIT_BUNDLE_YAML_SECRET") 1- 1
- base64 인코딩 변수를 사용하는 경우
helm install … -f <(echo "INIT_BUNDLE_YAML_SECRET" | base64 --decode)명령을 사용하십시오.
4.2.6.1. secured-cluster-services Helm 차트를 배포한 후 구성 옵션 변경
secure -cluster-services Helm 차트를 배포한 후 구성 옵션을 변경할 수 있습니다.
절차
-
values-public.yaml및values-private.yaml구성 파일을 새 값으로 업데이트합니다. helm upgrade명령을 실행하고-f옵션을 사용하여 구성 파일을 지정합니다.$ helm upgrade -n stackrox \ stackrox-secured-cluster-services rhacs/secured-cluster-services \ --reuse-values \ 1 -f <path_to_values_public.yaml> \ -f <path_to_values_private.yaml>- 1
--reuse-values매개변수를 지정해야 합니다. 그러지 않으면 Helm upgrade 명령이 이전에 구성된 모든 설정을 재설정합니다.
참고--set또는--set-file매개변수를 사용하여 구성 값을 지정할 수도 있습니다. 그러나 이러한 옵션은 저장되지 않으며 변경할 때마다 모든 옵션을 수동으로 다시 지정해야 합니다.
4.2.7. 설치 확인
설치를 완료한 후 몇 가지 취약한 애플리케이션을 실행하고 RHACS 포털로 이동하여 보안 평가 및 정책 위반 결과를 평가합니다.
다음 섹션에 나열된 샘플 애플리케이션에는 중요한 취약점이 포함되어 있으며 특별히 Red Hat Advanced Cluster Security for Kubernetes의 빌드 및 배포 평가 기능을 확인하도록 설계되었습니다.
설치를 확인하려면 다음을 수행합니다.
노출 방법에 따라 RHACS 포털의 주소를 찾습니다.
경로의 경우:
$ oc get route central -n stackrox
로드 밸런서의 경우:
$ oc get service central-loadbalancer -n stackrox
포트 전달의 경우:
다음 명령을 실행합니다.
$ oc port-forward svc/central 18443:443 -n stackrox
-
https://localhost:18443/으로 이동합니다.
OpenShift Container Platform CLI를 사용하여 새 프로젝트를 생성합니다.
$ oc new-project test
중요한 취약점이 있는 일부 애플리케이션을 시작합니다.
$ oc run shell --labels=app=shellshock,team=test-team \ --image=vulnerables/cve-2014-6271 -n test $ oc run samba --labels=app=rce \ --image=vulnerables/cve-2017-7494 -n test
Red Hat Advanced Cluster Security for Kubernetes는 이러한 배포를 클러스터에 제출되는 즉시 보안 위험 및 정책 위반에 대해 자동으로 검사합니다. RHACS 포털로 이동하여 위반 사항을 확인합니다. 기본 사용자 이름 admin 과 생성된 암호를 사용하여 RHACS 포털에 로그인할 수 있습니다.
5장. roxctl CLI를 사용하여 설치
Kubernetes용 Red Hat Advanced Cluster Security는 OpenShift Container Platform 클러스터에 일련의 서비스를 설치합니다. 이 주제에서는 roxctl CLI를 사용하여 OpenShift Container Platform 클러스터에 Red Hat Advanced Cluster Security for Kubernetes를 설치하는 설치 절차에 대해 설명합니다.
프로덕션 환경의 경우 Helm 차트를 사용하여 Kubernetes용 Red Hat Advanced Cluster Security를 설치하는 것이 좋습니다. 이 방법을 사용해야 하는 특정 설치에 필요한 경우가 아니면 roxctl install 메서드를 사용하지 마십시오.
높은 수준의 설치 흐름:
-
roxctlCLI를 설치합니다. -
roxctlCLI 대화형 설치 프로그램을 사용하여 중앙 집중식 구성 요소 (Central 및 Scanner)를 설치합니다. - 클러스터를 모니터링하기 위해 센서를 설치합니다.
설치하기 전에 다음을 수행합니다.
5.1. roxctl CLI 설치
Red Hat Advanced Cluster Security for Kubernetes를 설치하려면 바이너리를 다운로드하여 roxctl CLI를 설치해야 합니다. Linux, Windows 또는 macOS에 roxctl 을 설치할 수 있습니다.
5.2. Linux에서 roxctl CLI 설치
다음 절차에 따라 Linux에서 roxctl CLI 바이너리를 설치할 수 있습니다.
절차
최신 버전의
roxctlCLI를 다운로드합니다.$ curl -O https://mirror.openshift.com/pub/rhacs/assets/3.72.3/bin/Linux/roxctl
roxctl바이너리를 실행 가능하게 합니다.$ chmod +x roxctl
roxctl바이너리를PATH에 있는 디렉터리에 배치합니다.PATH를 확인하려면 다음 명령을 실행합니다.$ echo $PATH
검증
설치된
roxctl버전을 확인합니다.$ roxctl version
5.2.1. macOS에 roxctl CLI 설치
다음 절차에 따라 macOS에서 roxctl CLI 바이너리를 설치할 수 있습니다.
절차
최신 버전의
roxctlCLI를 다운로드합니다.$ curl -O https://mirror.openshift.com/pub/rhacs/assets/3.72.3/bin/Darwin/roxctl
바이너리에서 모든 확장 속성을 제거합니다.
$ xattr -c roxctl
roxctl바이너리를 실행 가능하게 합니다.$ chmod +x roxctl
roxctl바이너리를PATH에 있는 디렉터리에 배치합니다.PATH를 확인하려면 다음 명령을 실행합니다.$ echo $PATH
검증
설치된
roxctl버전을 확인합니다.$ roxctl version
5.2.2. Windows에 roxctl CLI 설치
다음 절차에 따라 Windows에서 roxctl CLI 바이너리를 설치할 수 있습니다.
절차
최신 버전의
roxctlCLI를 다운로드합니다.$ curl -O https://mirror.openshift.com/pub/rhacs/assets/3.72.3/bin/Windows/roxctl.exe
검증
설치된
roxctl버전을 확인합니다.$ roxctl version
5.3. 중앙 설치
Red Hat Advanced Cluster Security for Kubernetes의 주요 구성 요소는 Central이라고 합니다. 대화형 설치 프로그램을 사용하여 OpenShift Container Platform에 중앙을 설치할 수 있습니다. 중앙을 한 번만 배포하고 동일한 설치를 사용하여 여러 개의 개별 클러스터를 모니터링할 수 있습니다.
5.3.1. 대화형 설치 프로그램 사용
대화형 설치 프로그램을 사용하여 환경에 필요한 시크릿, 배포 구성 및 배포 스크립트를 생성합니다.
절차
대화형 설치 명령을 실행합니다.
$ roxctl central generate interactive
중요roxctlCLI를 사용하여 Kubernetes용 Red Hat Advanced Cluster Security를 설치하면 기본적으로 이전 버전과의 호환성을 위해 PodSecurityPolicy(PSP) 오브젝트가 생성됩니다. Kubernetes 버전 1.25 이상 또는 OpenShift Container Platform 버전 4.12 이상에 RHACS를 설치하는 경우 PSP 오브젝트 생성을 비활성화해야 합니다. 이를 위해roxctl central generate및roxctl sensor generate명령에--enable-pod-security-policies옵션을false로 지정합니다.Enter 를 눌러 프롬프트에 기본값을 허용하거나 필요에 따라 사용자 지정 값을 입력합니다.
Enter path to the backup bundle from which to restore keys and certificates (optional): Enter PEM cert bundle file (optional): 1 Enter administrator password (default: autogenerated): Enter orchestrator (k8s, openshift): openshift Enter the directory to output the deployment bundle to (default: "central-bundle"): Enter the OpenShift major version (3 or 4) to deploy on (default: "0"): 4 Enter Istio version when deploying into an Istio-enabled cluster (leave empty when not running Istio) (optional): Enter the method of exposing Central (route, lb, np, none) (default: "none"): route 2 Enter main image to use (default: "stackrox.io/main:3.0.61.1"): Enter whether to run StackRox in offline mode, which avoids reaching out to the Internet (default: "false"): Enter whether to enable telemetry (default: "true"): Enter the deployment tool to use (kubectl, helm, helm-values) (default: "kubectl"): Enter Scanner DB image to use (default: "stackrox.io/scanner-db:2.15.2"): Enter Scanner image to use (default: "stackrox.io/scanner:2.15.2"): Enter Central volume type (hostpath, pvc): pvc 3 Enter external volume name (default: "stackrox-db"): Enter external volume size in Gi (default: "100"): Enter storage class name (optional if you have a default StorageClass configured):
- 1
- 사용자 정의 TLS 인증서를 추가하려면 PEM 인코딩 인증서의 파일 경로를 제공합니다. 사용자 정의 인증서를 지정하면 대화형 설치 프로그램에서 사용 중인 사용자 정의 인증서에 대한 PEM 개인 키를 입력하라는 메시지도 표시합니다.
- 2
- RHACS 포털을 사용하려면 경로, 로드 밸런서 또는 노드 포트를 사용하여 중앙을 노출해야 합니다.
- 3
- hostPath 볼륨을 사용하여 OpenShift Container Platform에 Red Hat Advanced Cluster Security for Kubernetes를 설치하려면 SELinux 정책을 수정해야 합니다.
주의OpenShift Container Platform에서 hostPath 볼륨을 사용하려면 호스트와 컨테이너가 공유하는 디렉터리에 대한 액세스를 허용하도록 SELinux 정책을 수정해야 합니다. SELinux는 기본적으로 디렉터리 공유를 차단하기 때문입니다. SELinux 정책을 수정하려면 다음 명령을 실행합니다.
$ sudo chcon -Rt svirt_sandbox_file_t <full_volume_path>
그러나 Red Hat은 OpenShift Container Platform에 설치할 때 PVC를 대신 사용하여 SELinux 정책을 수정하지 않는 것이 좋습니다.
완료되면 설치 프로그램에서 Central을 배포하는 데 필요한 YAML 매니페스트 및 스크립트가 포함된 central-bundle이라는 폴더를 생성합니다. 또한 신뢰할 수 있는 인증 기관, 중앙 및 스캐너를 추가로 배포하기 위해 실행해야 하는 스크립트에 대한 온-스크린 지침 및 프롬프트에 응답할 때 자동 생성된 암호와 함께 RHACS 포털에 로그인하기 위한 인증 지침이 표시됩니다.
5.3.2. 중앙 설치 스크립트 실행
대화형 설치 관리자를 실행한 후 setup.sh 스크립트를 실행하여 Central을 설치할 수 있습니다.
절차
setup.sh스크립트를 실행하여 이미지 레지스트리 액세스를 구성합니다.$ ./central-bundle/central/scripts/setup.sh
필요한 리소스를 생성합니다.
$ oc create -R -f central-bundle/central
배포 진행 상황을 확인합니다.
$ oc get pod -n stackrox -w
Central이 실행된 후 RHACS 포털 IP 주소를 찾아 브라우저에서 엽니다. 프롬프트에 응답할 때 선택한 노출 방법에 따라 다음 방법 중 하나를 사용하여 IP 주소를 가져옵니다.
노출 방법 명령 address 예제 경로
oc -n stackrox get route central출력의
HOST/PORT열의 주소https://central-stackrox.example.route노드 포트
oc get node -owide && oc -n stackrox get svc central-loadbalancer서비스에 표시된 포트에서 노드의 IP 또는 호스트 이름
https://198.51.100.0:31489로드 밸런서
oc -n stackrox get svc central-loadbalancer서비스에 대해 표시되는 EXTERNAL-IP 또는 호스트 이름 443
https://192.0.2.0없음
central-bundle/central/scripts/port-forward.sh 8443https://localhost:8443https://localhost:8443
대화형 설치 중에 자동 생성된 암호를 선택한 경우 다음 명령을 실행하여 중앙에 로그인할 수 있습니다.
$ cat central-bundle/password
5.4. 스캐너 설치
다양한 오픈 소스 및 상용 이미지 스캐너에서 이미지 데이터를 가져오도록 Red Hat Advanced Cluster Security for Kubernetes를 구성할 수 있습니다.
그러나 Red Hat Advanced Cluster Security for Kubernetes는 scanner라는 이미지 취약점 스캐너 구성 요소도 제공합니다. 이미지 취약점 정보를 사용하여 배포를 보강합니다.
Red Hat은 공개 레지스트리의 이미지를 포함한 모든 이미지를 스캔하여 취약점이 있는지 스캔할 수 있도록 스캐너를 배포할 것을 권장합니다. Central을 사용하여 동일한 클러스터에 스캐너를 배포할 수 있습니다.
사전 요구 사항
- 스캐너가 이미지를 다운로드하고 스캔할 수 있도록 이미지 레지스트리를 구성해야 합니다. 일반적으로 이미지 레지스트리 통합은 Red Hat Advanced Cluster Security for Kubernetes에서 자동으로 생성합니다.
절차
다음 명령을 실행하여 이미지 레지스트리 액세스를 구성합니다.
$ ./central-bundle/scanner/scripts/setup.sh
스크립트가 완료되면 다음 명령을 실행하여 scanner 서비스를 생성합니다.
$ oc create -R -f central-bundle/scanner
5.5. 센서 설치
클러스터를 모니터링하려면 센서를 배포해야 합니다. 모니터링하려는 각 클러스터에 센서를 배포해야 합니다. 다음 단계에서는 RHACS 포털을 사용하여 센서 추가에 대해 설명합니다.
사전 요구 사항
- 이미 중앙 서비스가 설치되어 있어야 합니다.
절차
- RHACS 포털에서 플랫폼 구성 → 클러스터로 이동합니다.
- + New Cluster 를 선택합니다.
- 클러스터 이름을 지정합니다.
센서를 배포하는 위치에 따라 필드에 적절한 값을 제공합니다.
- 동일한 클러스터에 센서를 배포하는 경우 모든 필드에 기본값을 수락합니다.
-
다른 클러스터에 배포하는 경우
central.stackrox.svc:443을 다른 클러스터에서 액세스할 수 있는 포트 번호를 포함한 로드 밸런서, 노드 포트 또는 기타 주소로 교체합니다. HAProxy, AWS Application Load Balancer(ALB) 또는 AWS Elastic Load Balancing(ELB)과 같은 비GRPC 가능 로드 밸런서를 사용하는 경우 WebSocket Secure (
wss) 프로토콜을 사용하십시오.wss를 사용하려면 :-
주소 앞에
wss://. -
주소 뒤에 포트 번호를 추가합니다(예:
wss://stackrox-central.example.com:443).
-
주소 앞에
- 다음을 클릭하여 센서 설정을 계속합니다.
YAML 파일 및 키 다운로드를 클릭하여 클러스터 번들(zip 아카이브)을 다운로드합니다.
중요클러스터 번들 zip 아카이브에는 각 클러스터에 대한 고유한 구성 및 키가 포함되어 있습니다. 다른 클러스터에서 동일한 파일을 재사용하지 마십시오.
모니터링된 클러스터에 액세스할 수 있는 시스템에서 클러스터 번들에서
센서스크립트를 압축 해제하고 실행합니다.$ unzip -d sensor sensor-<cluster_name>.zip
$ ./sensor/sensor.sh
센서를 배포하는 데 필요한 권한이 없다는 경고가 표시되면 화면의 지침에 따라 클러스터 관리자에게 문의하십시오.
Sensor가 배포되면 중앙에 연결되고 클러스터 정보를 제공합니다.
검증
RHACS 포털로 돌아가서 배포에 성공했는지 확인합니다. 성공하면 녹색 확인 표시가 섹션 #2에 나타납니다. 녹색 확인 표시가 표시되지 않으면 다음 명령을 사용하여 문제를 확인합니다.
OpenShift Container Platform에서 다음을 수행합니다.
$ oc get pod -n stackrox -w
Kubernetes에서 다음을 수행합니다.
$ kubectl get pod -n stackrox -w
- 완료 를 클릭하여 창을 닫습니다.
설치 후 Sensor는 Kubernetes용 Red Hat Advanced Cluster Security에 대한 보안 정보 보고를 시작하고 RHACS 포털 대시보드에는 센서를 설치한 클러스터에서 배포, 이미지 및 정책 위반이 표시됩니다.
5.6. 설치 확인
설치를 완료한 후 몇 가지 취약한 애플리케이션을 실행하고 RHACS 포털로 이동하여 보안 평가 및 정책 위반 결과를 평가합니다.
다음 섹션에 나열된 샘플 애플리케이션에는 중요한 취약점이 포함되어 있으며 특별히 Red Hat Advanced Cluster Security for Kubernetes의 빌드 및 배포 평가 기능을 확인하도록 설계되었습니다.
설치를 확인하려면 다음을 수행합니다.
노출 방법에 따라 RHACS 포털의 주소를 찾습니다.
경로의 경우:
$ oc get route central -n stackrox
로드 밸런서의 경우:
$ oc get service central-loadbalancer -n stackrox
포트 전달의 경우:
다음 명령을 실행합니다.
$ oc port-forward svc/central 18443:443 -n stackrox
-
https://localhost:18443/으로 이동합니다.
OpenShift Container Platform CLI를 사용하여 새 프로젝트를 생성합니다.
$ oc new-project test
중요한 취약점이 있는 일부 애플리케이션을 시작합니다.
$ oc run shell --labels=app=shellshock,team=test-team \ --image=vulnerables/cve-2014-6271 -n test $ oc run samba --labels=app=rce \ --image=vulnerables/cve-2017-7494 -n test
Red Hat Advanced Cluster Security for Kubernetes는 이러한 배포를 클러스터에 제출되는 즉시 보안 위험 및 정책 위반에 대해 자동으로 검사합니다. RHACS 포털로 이동하여 위반 사항을 확인합니다. 기본 사용자 이름 admin 과 생성된 암호를 사용하여 RHACS 포털에 로그인할 수 있습니다.
5.7. 추가 리소스
6장. Red Hat Advanced Cluster Security for Kubernetes 설치 제거
Red Hat Advanced Cluster Security for Kubernetes를 설치하면 다음이 생성됩니다.
-
Operator 설치 방법을 선택한 경우 Operator가 설치된
rhacs-operator라는 네임스페이스 -
stackrox라는 네임스페이스 또는 Central 및 SecuredCluster 사용자 정의 리소스를 생성한 다른 네임스페이스 -
모든 구성 요소에 대한
PodSecurityPolicy및 Kubernetes 역할 기반 액세스 제어(RBAC) 오브젝트 - 생성된 네트워크 정책에서 사용하기 위한 네임스페이스에 추가 레이블
- 애플리케이션 CRD(사용자 정의 리소스 정의)가 없는 경우
Kubernetes용 Red Hat Advanced Cluster Security를 설치 제거하려면 이러한 항목을 모두 삭제해야 합니다.
6.1. 네임스페이스 삭제
OpenShift Container Platform 또는 Kubernetes 명령줄 인터페이스를 사용하여 Kubernetes용 Red Hat Advanced Cluster Security를 생성하는 네임스페이스를 삭제할 수 있습니다.
절차
stackrox네임스페이스를 삭제합니다.OpenShift Container Platform에서 다음을 수행합니다.
$ oc delete namespace stackrox
Kubernetes에서 다음을 수행합니다.
$ kubectl delete namespace stackrox
RHACS를 다른 네임스페이스에 설치한 경우 delete 명령에서 해당 네임스페이스의 이름을 사용합니다.
6.2. 글로벌 리소스 삭제
OpenShift Container Platform 또는 Kubernetes 명령줄 인터페이스를 사용하여 Kubernetes용 Red Hat Advanced Cluster Security를 생성하는 글로벌 리소스를 삭제할 수 있습니다.
절차
글로벌 리소스를 삭제합니다.
OpenShift Container Platform에서 다음을 수행합니다.
$ oc get clusterrole,clusterrolebinding,role,rolebinding,psp -o name | grep stackrox | xargs oc delete --wait
$ oc delete scc -l "app.kubernetes.io/name=stackrox"
$ oc delete ValidatingWebhookConfiguration stackrox
Kubernetes에서 다음을 수행합니다.
$ kubectl get clusterrole,clusterrolebinding,role,rolebinding,psp -o name | grep stackrox | xargs kubectl delete --wait
$ kubectl delete ValidatingWebhookConfiguration stackrox
6.3. 라벨 및 주석 삭제
OpenShift Container Platform 또는 Kubernetes 명령줄 인터페이스를 사용하여 Kubernetes용 Red Hat Advanced Cluster Security에서 생성하는 레이블 및 주석을 삭제할 수 있습니다.
절차
레이블 및 주석을 삭제합니다.
OpenShift Container Platform에서 다음을 수행합니다.
$ for namespace in $(oc get ns | tail -n +2 | awk '{print $1}'); do oc label namespace $namespace namespace.metadata.stackrox.io/id-; oc label namespace $namespace namespace.metadata.stackrox.io/name-; oc annotate namespace $namespace modified-by.stackrox.io/namespace-label-patcher-; doneKubernetes에서 다음을 수행합니다.
$ for namespace in $(kubectl get ns | tail -n +2 | awk '{print $1}'); do kubectl label namespace $namespace namespace.metadata.stackrox.io/id-; kubectl label namespace $namespace namespace.metadata.stackrox.io/name-; kubectl annotate namespace $namespace modified-by.stackrox.io/namespace-label-patcher-; done
