3장. Compliance Operator 사용

3.1. Red Hat Advanced Cluster Security for Kubernetes에서 Compliance Operator 사용

OpenShift Container Platform 클러스터의 규정 준수 보고 및 수정을 위해 Compliance Operator를 사용하도록 RHACS를 구성할 수 있습니다. Compliance Operator의 결과는 RHACS 규정 준수 대시보드에 보고할 수 있습니다.

3.1.1. Compliance Operator 설치

Operator Hub를 사용하여 Compliance Operator를 설치합니다.

절차

다음 단계를 수행하여 Operator를 설치합니다.

  1. 웹 콘솔에서 OperatorOperatorHub 페이지로 이동합니다.
  2. 규정 준수 Operator키워드로 필터링 상자에 입력하여 Compliance Operator를 찾습니다.
  3. Compliance Operator 를 선택하여 세부 정보 페이지를 확인합니다.
  4. Operator에 대한 정보를 읽은 다음 설치를 클릭합니다.

3.1.2. ScanSettingBinding 오브젝트 구성

openshift-compliance 네임스페이스에 ScanSettingBinding 오브젝트를 생성하여 ciscis-node 프로필을 사용하여 클러스터를 검사합니다.

참고

이 예에서는 ciscis-node 프로필을 사용하지만 OpenShift Container Platform에서는 추가 프로필을 제공합니다. 자세한 내용은 "ECDHE resources" 섹션의 " Compliance Operator 이해"를 참조하십시오.

절차

다음 옵션 중 하나를 선택합니다.

  • CLI를 사용하여 YAML 파일 및 오브젝트를 생성합니다. 예를 들면 다음과 같습니다.

    1. 다음 텍스트를 사용하여 sscan.yaml 이라는 파일을 생성합니다.

      apiVersion: compliance.openshift.io/v1alpha1
      kind: ScanSettingBinding
      metadata:
        name: cis-compliance
      profiles:
        - name: ocp4-cis-node
          kind: Profile
          apiGroup: compliance.openshift.io/v1alpha1
        - name: ocp4-cis
          kind: Profile
          apiGroup: compliance.openshift.io/v1alpha1
      settingsRef:
        name: default
        kind: ScanSetting
        apiGroup: compliance.openshift.io/v1alpha1
    2. 다음 명령을 실행하여 ScanSettingBinding 오브젝트를 생성합니다.

      $ oc create -f sscan.yaml -n openshift-compliance

      성공하면 다음 메시지가 표시됩니다.

      $ scansettingbinding.compliance.openshift.io/cis-compliance created
  • 웹 콘솔을 사용하여 다음 단계를 수행하여 오브젝트를 생성합니다.

    1. 활성 프로젝트를 openshift-compliance 로 변경합니다.
    2. + 를 클릭하여 YAML 가져오기 페이지를 엽니다.
    3. 이전 예제에서 YAML을 붙여넣은 다음 생성을 클릭합니다.

추가 리소스

선택 사항: RHACS를 설치한 Compliance Operator를 설치한 경우 다음 옵션 중 하나를 수행하여 보안 클러스터에서 Sensor를 다시 시작합니다.

  • 다음 명령을 실행합니다.

    $ oc -n stackrox delete pod -lapp=sensor
  • OpenShift Container Platform 웹 콘솔에서 다음 단계를 수행합니다.

    1. 활성 프로젝트를 stackrox 로 변경합니다.
    2. 워크로드Pod로 이동합니다.
    3. sensor- 로 시작하는 이름으로 Pod를 찾은 다음 작업Pod 삭제를 클릭합니다.

검증

이러한 단계를 수행한 후 RHACS에서 규정 준수 검사를 실행하고 ocp4-cisocp4-cis-node 결과가 표시되는지 확인합니다. 자세한 내용은 "ECDHE resources" 섹션의 " 규정 준수 검사 실행"을 참조하십시오.