|
Este documento foi traduzido usando tecnologia de tradução automática de máquina. Sempre trabalhamos para apresentar traduções precisas, mas não oferecemos nenhuma garantia em relação à integridade, precisão ou confiabilidade do conteúdo traduzido. Em caso de qualquer discrepância, a versão original em inglês prevalecerá e constituirá o texto official. |
|
Esta é uma documentação não divulgada para Admission Controller 1.34-dev. |
Scanner de Auditoria
A partir da versão v1.7.0, SUSE Security Admission Controller possui um novo recurso chamado "Scanner de Auditoria". Um novo componente, chamado "Scanner de Auditoria", verifica constantemente os recursos declarados no cluster, sinalizando aqueles que não estão em conformidade com as políticas SUSE Security Admission Controller implantadas e salvando esses resultados em recursos customizados de relatório específicos.
As políticas evoluem ao longo do tempo: você implanta novas políticas e atualiza as políticas existentes. Tanto a versão quanto as configurações mudam. Isso pode levar a situações em que recursos já no cluster não estão mais em conformidade.
O recurso scanner de auditoria fornece aos administradores do Kubernetes uma ferramenta para verificar consistentemente o estado de conformidade de seus clusters.
O Scanner de Auditoria pode salvar seus resultados tanto em definições de recursos personalizados (CRDs) OpenReports de openreports.io (a configuração padrão desde a v1.33) ou PolicyReports do grupo de trabalho de políticas do Kubernetes (marcado como descontinuado desde a v1.30, não instalado nem criado por padrão desde a v1.30, programado para remoção em uma versão futura).
Instalação
O componente Scanner de Auditoria está disponível desde Admission Controller v1.7.0.
Portanto, certifique-se de que está instalando o gráfico do Helm com a versão do app v1.7.0 ou superior.
-
Instale o gráfico do Helm
kubewarden-crds. O gráfico instala os CRDs necessáriosPolicyReportpor padrão.helm install kubewarden-crds kubewarden/kubewarden-crdsCom o Kubewarden 1.33, o recurso Scanner de Auditoria salva os relatórios em CRDs OpenReports de [openreports.io](https://openreports.io) por padrão.
Os CRDs PolicyReport do grupo de trabalho de políticas do K8s não são instalados por padrão, estão marcados como descontinuados e serão removidos em uma versão futura.
Usuários que desejam continuar usando os PolicyReports descontinuados, ou seja, o comportamento anterior à 1.33, precisam: - Alterar o valor do gráfico do Helm
kubewarden-crdsde.Values.install.installPolicyReportCRDsparatrue. - Alterar o valor do gráfico do Helmkubewarden-controllerde.Values.auditScanner.reportCRDsKinddeopenreportsparapolicyreport.Para armazenar os resultados dos relatórios de políticas, você precisa ter as definições de recursos personalizados (CRDs) do PolicyReport disponíveis. Se os CRDs do PolicyReport necessários já estiverem no cluster, você não pode instalá-los usando o gráfico kubewarden-crds. Nesse caso, você pode desabilitar a instalação dos CRDs do OpenReport definindo
installOpenReportCRDscomofalseno gráfico (ouinstallPolicyReportCRDscomofalsese estiver usando os PolicyReports descontinuados). Isso significa que a pilha Kubewarden não gerenciará esses CRDs, e a responsabilidade é dos administradores.Veja mais informações sobre os CRDs no repositório do grupo de trabalho de políticas.
-
Instale o gráfico do Helm
kubewarden-controller.helm install kubewarden-controller kubewarden/kubewarden-controllerO Scanner de Auditoria está habilitado por padrão. Para desabilitá-lo, defina o
auditScanner.enable=false.Se você quiser que o Scanner de Auditoria salve seus relatórios nos CRDs do PolicyReports (marcados como descontinuados) em vez dos CRDs padrão do OpenReports, defina
auditScanner.reportCRDsKind="policyreport".
Para mais informações sobre a instalação de Admission Controller, consulte o Guia de Início Rápido.
Por padrão, a implementação do Scanner de Auditoria é como um Cronjob acionado a cada 60 minutos. Você pode ajustar isso e outras configurações do Scanner de Auditoria alterando o gráfico do kubewarden-controller values.yaml.
Veja aqui mais informações sobre o Scanner de Auditoria.
Interface do Usuário do Policy Reporter (opcional)
O gráfico kubewarden-controller vem com um subgráfico do Policy Reporter. Está desabilitado por padrão e pode ser habilitado definindo auditScanner.policyReporter=true. Os valores do subgráfico do Policy Reporter estão sob a chave policyReporter dos valores kubewarden-controller.
Isso instala apenas parte do gráfico upstream do Policy Reporter, a UI, que fornece uma visualização dos PolicyReports e ClusterPolicyReports em um cluster. Veja Scanner de Auditoria para mais informações sobre a UI do Policy Reporter.
Por padrão, a UI do Policy Reporter é exposta apenas como um serviço ClusterIP com o nome kubewarden-controller-ui no namespace de instalação de
O gráfico kubewarden-controller foi instalado.
Ingress
Os usuários podem fornecer sua própria configuração de Ingress ou habilitar um Ingress através da configuração do subgráfico aqui.
Veja este exemplo de configuração de Ingress via o subgráfico:
auditScanner:
policyReporter: true
policy-reporter: # subchart values settings
ui:
enabled: true
ingress:
enabled: true
hosts:
- host: "*.local" # change this to your appropriate domain
paths:
- path: /
pathType: ImplementationSpecificAcionar execução manual
A implementação do Scanner de Auditoria é como um Cronjob que roda a cada 60 minutos por padrão. É possível acionar uma execução manual rodando o seguinte comando:
kubectl create job \
--namespace kubewarden \
--from cronjob/audit-scanner \
audit-scanner-manual-$(date +%Y-%m-%d-%H-%M-%S)Você pode verificar o status do trabalho com:
kubectl get -n kubewarden jobs