5.5. 共享安全策略
从 Red Hat Advanced Cluster Security for Kubernetes 版本 3.0.44 开始,您可以通过导出和导入策略在不同的中央实例间共享安全策略。它可以帮助您为所有集群强制相同的标准。要共享策略,请将它们导出为 JSON 文件,然后将它们重新导入到另一个中央实例中。
目前,使用 RHACS 门户无法一次性导出多个安全策略。但是,您可以使用 API 导出多个安全策略。在 RHACS 门户中,导航至 Help → API 参考 来查看 API 参考。
5.5.1. 导出安全策略
当您导出策略时,它包括所有策略内容,还包括集群范围、集群排除以及所有配置的通知。
流程
- 在 RHACS 门户网站中,导航至 Platform Configuration → Policies。
- 在 Policies 页面中,选择您要编辑的策略。
- 选择 Actions → Export policy to JSON。
5.5.2. 导入安全策略
您可以从 RHACS 门户 的系统策略 视图中导入安全策略。
流程
- 在 RHACS 门户网站中,导航至 Platform Configuration → Policies。
- 点 Import policy。
- 在 Import policy JSON 对话框中,点 Upload 并选择您要上传的 JSON 文件。
- 点 Begin import。
Red Hat Advanced Cluster Security for Kubernetes 中的每个安全策略都有一个唯一 ID(UID)和唯一名称。导入策略时,Red Hat Advanced Cluster Security for Kubernetes 处理上传的策略,如下所示:
- 如果导入的策略 UID 和名称与任何现有策略不匹配,Red Hat Advanced Cluster Security for Kubernetes 会创建一个新策略。
如果导入的策略与现有策略具有相同的 UID,但使用不同的名称,您可以:
- 保留两种策略。Red Hat Advanced Cluster Security for Kubernetes 使用新 UID 保存导入的策略。
- 使用导入策略替换现有策略。
如果导入的策略的名称与现有策略相同,但具有不同的 UID,您可以:
- 通过为导入的策略提供新名称来保留这两个策略。
- 使用导入策略替换现有策略。
如果导入的策略与现有策略的名称相同,Red Hat Advanced Cluster Security for Kubernetes 会检查策略条件是否与现有策略匹配。如果策略条件匹配,Red Hat Advanced Cluster Security for Kubernetes 会保留现有策略并显示成功信息。如果策略条件不匹配,您可以:
- 通过为导入的策略提供新名称来保留这两个策略。
- 使用导入策略替换现有策略。
- 如果您导入到同一中央实例,Red Hat Advanced Cluster Security for Kubernetes 会使用所有导出的字段。
- 如果您导入了不同的中央实例,Red Hat Advanced Cluster Security for Kubernetes 会省略特定的字段,如集群范围、集群排除和通知。Red Hat Advanced Cluster Security for Kubernetes 在消息中显示这些省略的字段。这些字段因每一个安装而异,您不能从一个中央实例迁移到另一个中央实例。