第 3 章 使用 Compliance Operator

3.1. 使用带有 Red Hat Advanced Cluster Security for Kubernetes 的 Compliance Operator

您可以将 RHACS 配置为使用 Compliance Operator 进行 OpenShift Container Platform 集群的合规性报告和补救。Compliance Operator 的结果可以在 RHACS Compliance Dashboard 中报告。

3.1.1. 安装 Compliance Operator

使用 Operator Hub 安装 Compliance Operator。

流程

通过执行以下步骤安装 Operator:

  1. 在 Web 控制台中进入 OperatorsOperatorHub 页面。
  2. Filter by keyword 框中输入 Compliance operator 以查找 Compliance Operator。
  3. 选择 Compliance Operator 查看详情页面。
  4. 阅读 Operator 的信息,然后点 Install

3.1.2. 配置 ScanSettingBinding 对象

openshift-compliance 命名空间中创建 ScanSettingBinding 对象,以使用 ciscis-node 配置集扫描集群。

注意

本例使用 ciscis-node 配置集,但 OpenShift Container Platform 提供了额外的配置集。如需更多信息,请参阅"添加资源"部分中的"了解 Compliance Operator"。

流程

选择以下选项之一:

  • 使用 CLI 创建 YAML 文件和对象。例如:

    1. 使用以下文本创建名为 sscan.yaml 的文件:

      apiVersion: compliance.openshift.io/v1alpha1
      kind: ScanSettingBinding
      metadata:
        name: cis-compliance
      profiles:
        - name: ocp4-cis-node
          kind: Profile
          apiGroup: compliance.openshift.io/v1alpha1
        - name: ocp4-cis
          kind: Profile
          apiGroup: compliance.openshift.io/v1alpha1
      settingsRef:
        name: default
        kind: ScanSetting
        apiGroup: compliance.openshift.io/v1alpha1
    2. 运行以下命令来创建 ScanSettingBinding 对象:

      $ oc create -f sscan.yaml -n openshift-compliance

      如果成功,会显示以下信息:

      $ scansettingbinding.compliance.openshift.io/cis-compliance created
  • 通过执行以下步骤来创建对象:

    1. 将活动项目更改为 openshift-compliance
    2. + 打开 Import YAML 页面。
    3. 粘贴上例中的 YAML,然后点 Create

其他资源

可选: 如果在安装 RHACS 安装 Compliance Operator,请通过执行以下选项之一在安全集群中重启 Sensor:

  • 运行以下命令:

    $ oc -n stackrox delete pod -lapp=sensor
  • 在 OpenShift Container Platform Web 控制台中执行以下步骤:

    1. 将活动项目更改为 stackrox
    2. 导航到 WorkloadsPods
    3. 找到名称以 sensor- 开头的 pod,然后点 ActionsDelete Pod。

验证

执行这些步骤后,在 RHACS 中运行合规性扫描,并确保显示 ocp4-cisocp4-cis-node 结果。如需更多信息,请参阅"添加资源"部分中的"运行合规性扫描"。