|
Este documento ha sido traducido utilizando tecnología de traducción automática. Si bien nos esforzamos por proporcionar traducciones precisas, no ofrecemos garantías sobre la integridad, precisión o confiabilidad del contenido traducido. En caso de discrepancia, la versión original en inglés prevalecerá y constituirá el texto autorizado. |
|
Esta es documentación inédita para Admission Controller 1.34-dev. |
Escáner de Auditoría
A partir de la versión v1.7.0, SUSE Security Admission Controller tiene una nueva función llamada "Audit Scanner". Un nuevo componente, llamado "audit-scanner", comprueba constantemente los recursos declarados en el clúster, señalando aquellos que no cumplen con las políticas SUSE Security Admission Controller desplegadas y guardando estos resultados en Recursos Personalizados específicos para informes.
Las políticas evolucionan con el tiempo: despliegas nuevas políticas y actualizas las políticas existentes. Tanto la versión como la configuración cambian. Esto puede llevar a situaciones en las que los recursos presentes en el clúster ya no cumplen.
La función de auditoría proporciona a los administradores de Kubernetes una herramienta para verificar de manera consistente el estado de cumplimiento de sus clústeres.
El Audit Scanner puede guardar sus resultados ya sea en Definiciones de Recursos Personalizados (CRDs) OpenReports de openreports.io (la configuración predeterminada desde v1.33) o PolicyReports del Kubernetes policy working group (marcado como obsoleto desde v1.30, no instalado ni creado por defecto desde v1.30, programado para ser eliminado en una futura versión).
Instalación
El componente de auditoría está disponible desde Admission Controller v1.7.0.
Por lo tanto, asegúrate de que estás instalando el chart de Helm con la versión de aplicación v1.7.0 o superior.
-
Instala el
kubewarden-crdschart de Helm. El chart instala por defecto los CRDs necesarios dePolicyReport.helm install kubewarden-crds kubewarden/kubewarden-crdsCon Kubewarden 1.33, la función Audit Scanner guarda los informes en los CRDs de OpenReports de [openreports.io](https://openreports.io) por defecto.
Los CRDs de PolicyReport del grupo de trabajo de políticas de K8s no están instalados por defecto, están marcados como obsoletos y serán eliminados en una futura versión.
Los usuarios que deseen seguir utilizando los PolicyReports obsoletos, es decir, el comportamiento anterior a 1.33, necesitan: - Cambiar el valor del chart de Helm
kubewarden-crdsde.Values.install.installPolicyReportCRDsatrue. - Cambiar el valor del chart de Helmkubewarden-controllerde.Values.auditScanner.reportCRDsKinddeopenreportsapolicyreport.Para almacenar los resultados de los informes de políticas, necesitas tener disponibles las definiciones de recursos personalizadas (CRDs) de PolicyReport. Si los CRDs de PolicyReport necesarios ya están en el clúster, no puedes instalarlos utilizando el chart kubewarden-crds. En ese caso, puedes desactivar la instalación de los CRDs de OpenReport configurando
installOpenReportCRDsafalseen el chart (oinstallPolicyReportCRDsafalsesi utilizas los PolicyReports obsoletos). Esto significa que la pila de Kubewarden no gestionará esos CRDs, y la responsabilidad es de los administradores.Consulta más información sobre los CRDs en el repositorio del grupo de trabajo de políticas.
-
Instala el
kubewarden-controllerchart de Helm.helm install kubewarden-controller kubewarden/kubewarden-controllerEl escáner de auditoría está habilitado de forma predeterminada. Para desactivarlo, establece el
auditScanner.enable=false.Si deseas que el Escáner de Auditoría guarde sus informes en los CRDs de PolicyReports (marcados como obsoletos) en lugar de los CRDs de OpenReports de forma predeterminada, configura
auditScanner.reportCRDsKind="policyreport".
Para más información sobre la instalación de Admission Controller, consulta la Guía de inicio rápido.
De forma predeterminada, la implementación del Escáner de Auditoría es como un Cron (daemon) que se activa cada 60 minutos. Puedes ajustar esta y otras configuraciones del escáner de auditoría cambiando el chart kubewarden-controller values.yaml.
Consulta aquí más información acerca del Escáner de Auditoría.
Policy Reporter UI (opcional)
El chart kubewarden-controller viene con un subchart del Policy Reporter. Está desactivado de forma predeterminada, y se activa configurando auditScanner.policyReporter=true. Los valores del subchart de Policy Reporter están bajo la clave policyReporter de los valores kubewarden-controller.
Esto instala solo una parte del chart upstream de Policy Reporter, la interfaz de usuario, que proporciona una visualización de los PolicyReports y ClusterPolicyReports en un clúster. Consulta Escáner de Auditoría para más información sobre la Policy Reporter UI.
Por defecto, la Policy Reporter UI solo se expone como un servicio ClusterIP con el nombre kubewarden-controller-ui en el espacio de nombres de instalación de
Se instaló el kubewarden-controller chart.
Ingress
Los usuarios pueden proporcionar su propia configuración de Ingress, o habilitar un Ingress a través de la configuración del subchart aquí.
Consulta este ejemplo de una configuración de Ingress a través del subchart:
auditScanner:
policyReporter: true
policy-reporter: # subchart values settings
ui:
enabled: true
ingress:
enabled: true
hosts:
- host: "*.local" # change this to your appropriate domain
paths:
- path: /
pathType: ImplementationSpecificEjecutar manualmente
La implementación del escáner de auditoría es como un Cron (daemon) que se ejecuta cada 60 minutos de forma predeterminada. Es posible activar una ejecución manual ejecutando el siguiente comando:
kubectl create job \
--namespace kubewarden \
--from cronjob/audit-scanner \
audit-scanner-manual-$(date +%Y-%m-%d-%H-%M-%S)Puedes comprobar el estado del trabajo con:
kubectl get -n kubewarden jobs