5.5. ValidatingWebhookConfiguration YAML 파일 변경

Red Hat Advanced Cluster Security for Kubernetes를 사용하면 다음과 같은 보안 정책을 시행할 수 있습니다.

  • 오브젝트 생성
  • 오브젝트 업데이트
  • Pod 실행
  • Pod 포트 전달

Central 또는 Sensor를 사용할 수 없는 경우

승인 컨트롤러를 사용하려면 센서의 초기 구성이 필요합니다. Kubernetes 또는 OpenShift Container Platform은 이 구성을 저장하며 모든 허용 제어 서비스 복제본을 다른 노드에 다시 예약해도 액세스할 수 있습니다. 이 초기 구성이 있는 경우 허용 컨트롤러는 구성된 모든 배포 시간 정책을 적용합니다.

나중에 Sensor 또는 Central을 사용할 수 없는 경우:

  • 이미지 검사를 실행하거나 캐시된 이미지 검사에 대한 정보를 쿼리할 수 없습니다. 그러나 승인 컨트롤러 시행은 수집된 정보가 불완전하더라도 제한 시간이 만료되기 전에 수집된 정보를 기반으로 계속 작동합니다.
  • 변경 사항이 승인 제어 서비스로 전파되지 않으므로 RHACS 포털에서 승인 컨트롤러를 비활성화하거나 기존 정책에 대한 적용을 수정할 수 없습니다.
참고

승인 제어 적용을 비활성화해야 하는 경우 다음 명령을 실행하여 검증 웹 후크 구성을 삭제할 수 있습니다.

  • OpenShift Container Platform에서 다음을 수행합니다.

    $ oc delete ValidatingWebhookConfiguration/stackrox
  • Kubernetes에서 다음을 수행합니다.

    $ kubectl delete ValidatingWebhookConfiguration/stackrox

승인 컨트롤러가 더 안정적으로 설정되도록 합니다.

Red Hat은 작업자 노드가 아닌 컨트롤 플레인에서 승인 컨트롤 서비스를 예약할 것을 권장합니다. 배포 YAML 파일에는 컨트롤 플레인에서 실행하기 위한 소프트 기본 설정이 포함되어 있지만 적용되지 않습니다.

기본적으로 허용 제어 서비스는 3개의 복제본을 실행합니다. 안정성을 높이기 위해 다음 명령을 실행하여 복제본을 늘릴 수 있습니다.

$ oc -n stackrox scale deploy/admission-control --replicas=<number_of_replicas> 1
1
Kubernetes를 사용하는 경우 oc.. 대신 kubectl 을 입력합니다.

roxctl CLI로 사용

Sensor 배포 YAML 파일을 생성할 때 다음 옵션을 사용할 수 있습니다.

  • --admission-controller-listen-on-updates: 이 옵션을 사용하는 경우 Red Hat Advanced Cluster Security for Kubernetes는 Kubernetes 또는 OpenShift Container Platform API 서버에서 업데이트 이벤트를 수신하도록 사전 구성된 ValidatingWebhookConfiguration 과 함께 Sensor 번들을 생성합니다.
  • --admission-controller-enforce-on-updates: 이 옵션을 사용하는 경우 승인 컨트롤러에서 보안 정책 오브젝트 업데이트도 적용하도록 Kubernetes용 Red Hat Advanced Cluster Security는 Central을 구성합니다.

이 두 옵션은 모두 선택 사항이며 기본적으로 false 입니다.