架构

Red Hat Advanced Cluster Security for Kubernetes 3.69

请在这里输入简短描述。

摘要

本书的主题和目的的简短概述,一般不多于一个段落。

第 1 章 Red Hat Advanced Cluster Security for Kubernetes 架构

探索 Red Hat Advanced Cluster Security for Kubernetes 架构和概念。

1.1. Red Hat Advanced Cluster Security for Kubernetes 架构概述

Red Hat Advanced Cluster Security for Kubernetes(RHACS)使用分布式架构来支持高扩展部署,并经过优化后,可最大程度降低对底层 OpenShift Container Platform 或 Kubernetes 节点的影响。您将 RHACS 安装为 OpenShift Container Platform 或 Kubernetes 集群中的一组容器。RHACS 包括您在由 RHACS 保护的每个集群上安装的服务,以及您在一个集群中安装的集中服务。

Red Hat Advanced Cluster Security for Kubernetes 版本 3.69.1 及更新版本

图 1.1. OpenShift Container Platform 的高级别 Red Hat Advanced Cluster Security for Kubernetes 架构

用于 OpenShift Container Platform 的 Red Hat Advanced Cluster Security for Kubernetes 的高级别

Red Hat Advanced Cluster Security for Kubernetes 版本 3.69 及更早版本

对于 Red Hat Advanced Cluster Security for Kubernetes 版本 3.69 及更早的版本,Scanner 仅在安装了 Central 的集群中安装。

中央化服务

您可以在单个集群(图 1)和 2 中安装集中式服务。这些服务包含两个主要组件,即 Central 和 Scanner。

  • 中心 :中部是 RHACS 应用程序管理界面和服务。它处理数据持久性、API 互动和用户界面(RHACS Portal)访问。您可以使用同一中实例来保护多个 OpenShift Container Platform 或 Kubernetes 集群。
  • 扫描程序 :扫描程序是红帽开发的、经过认证的漏洞扫描程序,用于扫描容器镜像及其关联的数据库。它分析所有镜像层,以检查来自常见漏洞和暴露(CVE)列表中的已知漏洞。扫描程序还会识别由软件包管理器和多种编程语言相依性安装的软件包中的漏洞。
Red Hat Advanced Cluster Security for Kubernetes 版本 3.69.1 及更新版本中的扫描程序架构

当您在 OpenShift Container Platform 上安装 Red Hat Advanced Cluster Security for Kubernetes 3.69.1 及更新版本时,您还会在每个安全集群中安装轻量级扫描器(Figure 1),以启用扫描集成 OpenShift Container Registry(OCR)中的镜像扫描。

安全集群服务

您可以使用 Red Hat Advanced Cluster Security for Kubernetes(图 1 和 2)的集群N 在您要保护的每个集群中安装安全集群服务。安装中心的集群也会被保护,包括这些服务。

  • 传感器 :传感器是负责分析和监控集群的服务。它处理与 OpenShift Container Platform 或 Kubernetes API 服务器交互以进行策略检测和实施,并与 Collector 协调。
  • 准入控制器 :准入控制器可防止用户创建违反 RHACS 中安全策略的工作负载。
  • Collector :收集器分析和监控集群节点上的容器活动。它收集容器运行时和网络活动的信息,并将收集的数据发送到 Sensor。
  • 扫描程序 (仅适用于 OpenShift Container Platform 3.69.1 及更新版本):在 OpenShift Container Platform 上,RHACS 在每个安全集群中安装轻量级扫描器版本(Figure 1)以启用对集成的 OCR 中的镜像扫描。

图 2 描述了 Kubernetes 环境中的架构,您可以在其中仅集中安装扫描器。

图 1.2. Kubernetes 的高级别 Red Hat Advanced Cluster Security for Kubernetes

Kubernetes 的高级别 Red Hat Advanced Cluster Security for Kubernetes 架构

1.2. 外部组件

除了主要服务外,Red Hat Advanced Cluster Security for Kubernetes 还与其他实体交互,以便为集群提供增强的安全性。

图 3 描述 OpenShift Container Platform 的 RHACS 架构,但您应该注意以下例外:

  • 在 RHACS 版本 3.69 和更早版本中,扫描器服务仅安装有集中服务一次。
  • 在基于 Kubernetes 的其他环境中,只有使用集中式服务安装扫描器服务。

图 1.3. 外部组件

外部组件

Red Hat Advanced Cluster Security for Kubernetes 使用以下外部组件:

  • 第三方系统 :您可以将 RHACS 与 CI/CD 管道、事件管理(SIEM)系统、日志记录、电子邮件等系统集成。
  • 镜像注册表 :您可以将 RHACS 与各种镜像 registry 集成,并使用 RHACS 扫描和查看活动镜像。通过使用在安全集群中发现的镜像 pull secret,RHACS 会自动配置这些 registry 集成。
  • definition.stackrox.io :RHACS 将各种漏洞源的数据聚合到 definition.stackrox.io 端点中,然后将此信息传递给中央。反馈包括常规、NVD 和特定于发行版,如 Alpine、Debian 和 Ubuntu。
  • collector-modules.stackrox.io: Central 到达 collector-modules.stackrox.io,以获取受支持的内核模块,并将这些模块传递到 Sensor 和 Collector。