OpenShift Security (2) - 安装 Red Hat Advanced Cluster Security(RHACS)

已于 2024-06-29 09:00:57 修改
阅读量1.2k 收藏
点赞数
分类专栏: OpenShift 4 安全 DevOps 文章标签: 安全 kubernetes
于 2021-12-07 19:40:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43902588/article/details/121772253
版权
OpenShift 4 同时被 3 个专栏收录
271 篇文章 78 订阅
订阅专栏
DevOps
89 篇文章 3 订阅
订阅专栏
安全
76 篇文章 6 订阅
订阅专栏

OpenShift 4.x HOL教程汇总
本文在 OpenShift4.15 + RHACS 4.4.3 环境中进行验证,但部分截图未更新。

文章目录

环境要求

RHACS 安装需要 100G 左右的 PV,因此确认有足够的存储空间。

安装 RHACS Operator

  1. 在 OpenShift 控制台上的“管理员”视图中的“OperatorHub”中找到“RHACS”,然后点击进入。
    在这里插入图片描述
  2. 在右侧滑出的页面中可以看到当前 Operator 版本是 “4.4.3”,然后点击 “安装”。
  3. 然后在 “安装 Operator” 页面中使用默认配置,然后点击 “安装”。
  4. 在 “安装的 Operator” 页面中可以看到已经安装好的 “Advanced Cluster Security for Kubernetes”。
    在这里插入图片描述

创建 RHACS 环境

创建 Central 实例

  1. 创建stackrox项目。
$ oc new-project stackrox
  1. 进入 “Advanced Cluster Security for Kubernetes” Operator,按照以下YAML创建一个名为“stackrox-central-services”的“Central”实例。说明:可以调整“scaling”中的数量。
apiVersion: platform.stackrox.io/v1alpha1
kind: Central
metadata:
  name: stackrox-central-services
  namespace: stackrox
spec:
  central:
    exposure:
      loadBalancer:
        enabled: false
        port: 443
      nodePort:
        enabled: false
      route:
        enabled: true
    persistence:
      persistentVolumeClaim:
        claimName: stackrox-db
  egress:
    connectivityPolicy: Online
  scanner:
    analyzer:
      scaling:
        autoScaling: Disabled
        maxReplicas: 5
        minReplicas: 2
        replicas: 1
    scannerComponent: Enabled
  scannerV4:
    scannerComponent: Default
  1. 执行命令获取 RHACS 的 admin 用户登录密码,或在控制台查看名为 central-htpasswd 的 secret 对象中 password 对应的密码。
$ oc get secret central-htpasswd -n stackrox -o go-template='{{index .data "password" | base64decode}}'
  1. 在控制台的“开发者 ”视图中进入“拓扑” 查看 stack 项目,可以看到以下运行的 Deployment。
    在这里插入图片描述

说明:在部署的时候如果出现 LimitRange 冲突情况,只需删除导致冲突的 LimitRange 即可。另外如果存储一直处于 “pending” 状态,可以尝试手动创建 PV。

  1. 点击上图中 centeral 部署的 “打开 URI” 箭头,进入 ACS 控制台。然后用 admin 用户名和获得的密码登录 ACS 控制台。
    在这里插入图片描述

将 OpenShift 集群注册到 RHACS

本步将运行 RHACS 的 OpenShift 集群注册到 RHACS 中。

创建 init bundle

  1. 进入 RHACS 控制台,点击 Create init bundle。
    在这里插入图片描述
  2. 在以下页面中提供 Name 后点击 Download,然后保存生成的 init-bundle-Operator-secrets-cluster-init-bundle.yaml 文件。
    在这里插入图片描述
  3. 执行命令,根据 init-bundle-Operator-secrets-cluster-init-bundle.yaml 创建 secret 对象。
$ oc apply -f demo-cluster-cluster-init-secrets.yaml -n stackrox
secret/admission-control-tls created
secret/collector-tls created
secret/sensor-tls created

创建 Secured Cluster 实例

  1. 在 “Advanced Cluster Security for Kubernetes” Operator中使用缺省YAML创建一个“Secured Cluster” 实例。
kind: SecuredCluster
apiVersion: platform.stackrox.io/v1alpha1
metadata:
  name: stackrox-secured-cluster-services
  namespace: stackrox
spec:
  clusterName: my-cluster
  1. 可以在 stackrox-secured-cluster-services 中的 Resources 查看部署的资源。
    在这里插入图片描述
  2. 还可在控制台的“开发者”视图中进入“拓扑”查看运行的 Deployment,其中右侧是本节新部署的资源。
    在这里插入图片描述

查看 RHACS 控制台

  1. 在 RHACS 控制台中的 “Clusters” 中可以看到注册名为 my-cluster 的 OpenShift 集群,它的组件状态为全部为绿色。
    在这里插入图片描述

  2. 在 RHACS 控制台中的 “System Health” 查看集群组件状态,它的组件状态为全部为绿色。
    在这里插入图片描述

  3. 同时在 RHACS 控制台中的 Dashboard 可以看到该 OpenShift 集群的安全情况。
    在这里插入图片描述

参考

https://redhat-scholars.github.io/acs-workshop/acs-workshop/index.html

dawnsky.liu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
openshift-cross-cluster-loadbalancer:适用于OpenShift的智能跨集群负载均衡器
05-12
OpenShift跨集群负载均衡器这是一个tcp负载平衡器,它知道多个OpenShift群集及其导出的路由。 还使用Pod筛选器来确定HA-Proxy在何处运行。 这是我的硕士论文期间创建的原型,旨在证明一种无需中断时间和风险即可更新...
openshift-origin-multi-node-cluster:由5台机器组成的OpenShift自动集群:Vagrant,Shell和Ansible
02-06
OpenShift Origin多节点集群一个由5台计算机组成的OpenShift 3.6集群: 机主机名知识产权描述工具箱toolbox.ocp.local.net 10.0.1.100 Ansible,绑定DNS和NFS存储主master.ocp.local.net 10.0.1.101 集群主节点下层...
OpenShift Security (1) - 红帽多集群安全管理 RHACS 的主要功能和技术架构
多恩斯基的博客
12-08 717
Red Hat Advanced Cluster Security for Kubernetes (RHACS) - 红帽高级集群安全是企业级的 Kubernetes 原生容器安全防护解决方案,可帮助用户更安全地构建、部署和运行云原生应用。
OpenShift Security (9) - 用 RHACS 扫描 Log4j 安全漏洞,屏蔽不安全镜像部署(附视频)
多恩斯基的博客
12-16 1224
OpenShift 4.x HOL教程汇总》 说明:本文已经在 OpenShift 4.9 + RHACS 环境中验证 RHACS 采用的是 “Kubernetes 的 Admission Controller 技术 + 策略库” 的机制对使用的镜像进行安全扫描。 本文在 RHACS 中为 “Log4j” 安全漏洞对应的 “CVE-2021-44228” 配置单独的系统策略,并将策略运用在 build 和 deploy 镜像阶段。 在这里插入图片描述 ........................
OpenShift Security (18) - 定制 RHACS 安全策略,阻断生产集群使用高风险 Registry(附视频)
多恩斯基的博客
07-28 364
RHACS 中自带丰富的安全策略,可以帮助用户实现从镜像到容器、从网络到宿主机操作系统等各方面的安全检查。用户也可以定制个性化的策略来实现特性安全检查需求。 本示例将创建一个定制安全策略,该策略只针对 “生产集群” ,它不允许在生产环境中部署来自安全高风险的 docker.io 的容器镜像。............
OpenShift 4 - 在 Jenkins 的 CI/CD 中用 RHACS 对镜像进行安全扫描(附视频)
多恩斯基的博客
09-06 1212
本文使用在 OpenShift 中使用由 Jenkins、Nexus、Sonarqube、RHACS 组成的 DevSecOps CICD Pipeline 环境对应用镜像进行安全扫描检查。在发现安全违规后,通过升级应用使用 Java 库、基础镜像等手段修复应用镜像,同时对暂时无法修复的安全违规项目进行暂缓处理。
OpenShift 4 - DevSecOps (3) - 用 RHACS 精细化管理云原生应用安全(附视频)
多恩斯基的博客
04-02 3553
OpenShift 4.x HOL教程汇总》 本文在 OpenShift 4.10 环境中进行验证。 在基于 DevSecOps 的应用发布过程中,我们可以使用 RHACS 的策略对镜像进行安全扫描,当发现危险度较高的 CVE 的时候 RHACS 可以阻断 CI/CD 应用发布过程。 但是不同的应用镜像依赖的运行环境不同,修复过程也不尽相同。另外有些时候虽然能发现 CVE 漏洞,但是可能还没有官方修复方案。这些时候就需要针对特定应用镜像包含的特定 CVE 进行精细化处理。 参照《OpenShift 4
openshift-geoserver:在 Red Hat Cloud (Openshift) 上安装 geoserver 的脚本
06-02
Openshift 是您的选择,它提供免费的 Java 应用程序托管,其中包含大量环境和预设。 而最令人惊奇的是,即使得到一个High-CPU gear ,性能也非常好。它能做什么从 geoserver 网站获取 sourcefourge 发行版的链接...
icescrum-openshift-quickstart:在 Red Hat OpenShift 上运行的 iceScrum 快速入门
06-06
icescrum-openshift-快速入门 在 Red HatOpenShift PaaS 上运行 iceScrum 这个 git 存储库是一个示例 DIY 应用程序以及“编排”位,可帮助您在 Red HatOpenShift PaaS 上安装和运行 iceScrum 和 Tomcat。 ...
simple-openshift-kafka-cluster:用于openshift的简单Kafka-Zookeeper部署-无需使用操作员
04-05
/opt/kafka/bin/kafka-topics.sh --zookeeper zk-0.zk:2181,zk-1.zk:2181,zk-2.zk:2181 --describe --topic quickstart-events1 卡夫卡生产排队 /opt/kafka/bin/kafka-console-producer.sh --topic quickstart-...
OpenShift Security (12) - 用 RHACS 管理容器之间的网络访问策略(附视频)
多恩斯基的博客
12-22 1171
oc new-project project1 oc label namespace project1 name=project1 oc new-project project2 oc label namespace project2 name=project2 oc new-project project3 oc label namespace project3 name=project3 oc new-app -n project1 openshiftroadshow/parksmap.
OpenShift Security (13) - 用 RHACS 为应用自动生成 NetworkPolicy
最新发布
多恩斯基的博客
01-05 496
NP-Guard 是 IBM 发起的一个开源项目,用来自动创建 Kubernetes (K8s) 的 network policy 以提高云原生应用网络安全。在 RHACS 3.73.1 中内置了 NP-Guard 的核心功能,使用 RHACS 的客户端可以对本地目录中的 Service, ConfigMap, Pod, Deployment, ReplicaSet, Job, DaemonSet, 和 StatefulSet 的 manifest 进行自动分析,并生成最小范围的 NetworkPolic
OpenShift 4 - DevSecOps (2) - 修复 RHACS 发现的安全隐患(附视频)
多恩斯基的博客
04-01 425
workspace PVC: petclinic-build-workspace maven-settings Config Map: maven-settings oc apply -f https://raw.githubusercontent.com/liuxiaoyu-git/SecurityDemos/master/2021Labs/OpenShiftSecurity/documentation/labs-artifacts/s2ijava-mgr.yaml -n cicd .
OpenShift Security 16 - 用 RHACS 为加固应用镜像安全提供线索(附视频)
多恩斯基的博客
01-23 1017
OpenShift 4.x HOL教程汇总》 本文在 OpenShift 4.8 + RHACS 环境中进行验证。 演示视频 文章目录部署测试应用镜像漏洞分析应用镜像安全加固 部署测试应用 向 OpenShift 导入一个老版本的 “httpd” 镜像以作为安全漏洞较多的基础镜像。 $ oc import-image httpd:2.4-el7-120 --from=registry.redhat.io/rhscl/httpd-24-rhel7:2.4-120 --confirm -n openshi
OpenShift Security 15 - 用 RHACS安全策略管理运行中的容器安全
多恩斯基的博客
01-15 2853
OpenShift 4.x HOL教程汇总》 本文在 OpenShift4.9 + RAHACS 环境中进行验证。 创建 RHACS 的 Policy 创建一个 Policy 的 JSON 文件,内容如下。Policy 只针对 OpenShift 的 Production 项目中的资源识别容器是否运行 curl 命令,一旦发现有 curl 命令运行,立即终止 Pod 运行。 { "policies": [ { "id": "e0a224d9-ca08-
OpenShift Security 14 - 使用 RHACS 中的进程基线功能找出在容器中运行的风险操作(附视频)
多恩斯基的博客
01-15 2868
RHACM 是红帽面向容器云的高级集群管理平台,可以在混合云环境中统一管理多 OpenShift/Kubernetes 容器云的产品。本视频演示使用 RHACM 在 VMware 中使用 IPI方法自动安装一个 OpenShift 集群的过程。
openshift单机环境安装图文教程
pingweicheng的博客
02-29 3857
步骤一:安装docker yum -y install docker 步骤二:启动docker,并设置为开机自动启动 命令一:启动docker system start docker 命令二:启动docker systemctl enable docker 命令三 查看docker版本号,确认docker已经安装成功 docker version ...
OpenShift 4 - 在 Windows 上安装 OpenShift 单机开发环境(附视频)
多恩斯基的博客
07-01 3313
OpenShift Local 就是以前的红帽的 Codeready Container - CRC,它以 VM 的方式提供一个单机版的 OpenShift 运行环境。从 OpenShift 4.10 开始,CRC 名称正式改为 Red Hat OpenShift Local。
Openshift4 安装(参考)
justlpf的专栏
11-16 2022
准备了离线安装 OCP 所需要的离线资源,包括安装镜像、所有样例和中的所有 RedHat Operators。本文就开始正式安装 OCP(Openshift Container Platform) 集群,包括DNS 解析、负载均衡配置、ignition配置文件生成和集群部署。OCP安装期间需要用到多个文件:安装配置文件、Kubernetes 部署清单、Ignition 配置文件(包含了 machine types)。Ignition安装程序使用这些Ignition。
Red Hat 8.1 + OpenShift 4.3.8 PXE离线安装教程与问题解析
本文档详细介绍了如何在Red Hat 8.1系统环境下使用PXE(Preboot Execution Environment)技术进行OpenShift 4.3.8的离线安装。整个过程涉及到了多个步骤,包括环境准备、节点角色分配、以及客户端工具的下载和配置。...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值