CREDENTIAL OPERATOR 19.2. 使用 MINT 模式 19.3. 使用 PASSTHROUGH 模式 19.4. 使用手动模式 19.5. 在 AMAZON WEB SERVICES SECURITY TOKEN SERVICE 中使用手动模式 19.6. 在 GCP WORKLOAD IDENTITY 中使用手动模式 132 134 134 138 150 156 156 162 CLI 配置身份提供程序 (IDP)。 先决条件 先决条件 您必须以集群管理员身份登录到 web 控制台。 流程 流程 1. 导航至 Administration → Cluster Settings。 2. 在 Configuration 选项卡下，单击 OAuth。 3. 在 Identity Providers 部分中，从 Add 下拉菜单中选择您的身份提供程序。 注意 注意 上注册应用程序： 对于 GitHub,点击 Settings → Developer settings → OAuth Apps → Register a new OAuth application。 对于 GitHub Enterprise，前往 GitHub Enterprise 主页，然后点击 Settings → Developer settings → Register a new application。

-- query="_flush/synced" -XPOST 输 输出示例 出示例 {"_shards":{"total":4,"successful":4,"failed":0},".security": {"total":2,"successful":2,"failed":0},".kibana_1":{"total":2,"successful":2,"failed":0}} 5. 使用 工具防止在有意关闭节点时进行分片平衡： $ oc exec -c elasticsearch -- es_util -- query="_cluster/settings" -XPUT -d '{ "persistent": { "cluster.routing.allocation.enable" : "primaries" } }' 例如： $ oc exec elasticsearch-cdm-5ceex6ts-1-dcd6c4c7c-jpw6 -c elasticsearch -- es_util -- query="_cluster/settings" -XPUT -d '{ "persistent": { "cluster.routing.allocation.enable" : "primaries" } }' 输 输出示例 出示例

发行版本中删除： 使用旧的 Fluentd 方法转发日志 使用旧的 syslog 方法转发日志 反之，使用以下非传统方法： 使用 Fluentd fohttps://www.redhat.com/security/data/cve/CVE-2021-22922.htmlrward 协议转 发日志 使用 syslog 协议转发日志 1.37.6. CVE 例 例 1.26. 点 点击 击以展开 以展开 -- query="_flush/synced" -XPOST 输 输出示例 出示例 {"_shards":{"total":4,"successful":4,"failed":0},".security": {"total":2,"successful":2,"failed":0},".kibana_1":{"total":2,"successful":2,"failed":0}} 5. 使用 工具防止在有意关闭节点时进行分片平衡： $ oc exec -c elasticsearch -- es_util -- query="_cluster/settings" -XPUT -d '{ "persistent": { "cluster.routing.allocation.enable" : "primaries" } }' 例如： $ oc

NetworkPolicies 资源，例如为了强制执行公司安全策略，您可以编辑 ServiceMeshControlPlane，将 spec.security.manageNetworkPolicy 设置设置为 false 注意 注意 当您禁用了 spec.security.manageNetworkPolicy，Red Hat OpenShift Service Mesh 不 会创建 任何 NetworkPolicy 在 Create ServiceMeshControlPlane Details 页中，点 YAML 修改您的配置。 5. 将 ServiceMeshControlPlane 字段 spec.security.manageNetworkPolicy 设置为 false，如下 例所示。 6. 点击 Save。 1.2.2.12. Red Hat OpenShift Service Mesh 2 OpenShift Service Mesh 2.1 版中包含的组件版本 apiVersion: maistra.io/v2 kind: ServiceMeshControlPlane spec: security: trust: manageNetworkPolicy: false 第 第 1 章 章 SERVICE MESH 2.X 9 组 组件 件 版本 版本 Istio

添加可升级状态进行更改的注解后，可能需要几分钟时间。 4. 验证 CCO 是否可升级： a. 在 Web 控制台的 Administrator 视角中，导航至 Administration → Cluster Settings。 b. 要查看 CCO 状态详情，请点 Cluster Operators 列表中的 cloud-credential。 c. 如果 Conditions 部分中的 Upgradeable disableAllDefaultSources: true 来禁用默认目录的源： 提示 提示 或者，您可以使用 Web 控制台管理目录源。在 Administration → Cluster Settings → Global Configuration → OperatorHub 页面中，点 Sources 选项卡，其中可创建、删除、禁用和启用单独的 源。 4.7.11. OpenShift Container AWS::EC2::Security Group icmp 0 第 第 4 章 章 在 在 AWS 上安装 上安装 241 tcp 22 tcp 6443 tcp 22623 WorkerSecurityGrou p AWS::EC2::Security Group icmp 0 tcp 22 BootstrapSecurityGr oup AWS::EC2::Security Group

Web 控制台中的 OperatorHub 也会显示由目录源提供的 Operator。 提示 提示 集群管理员可以使用 web 控制台中的 Administration → Cluster Settings → Configuration → OperatorHub 页面查看集群中已启用的目录源提供的 Operator 的完整列表。 CatalogSource 的 spec 指明了如何构造 pod，以及如何与服务于 -400 6 publisher: Example Org sourceType: grpc 7 grpcPodConfig: securityContextConfig: <security_mode> 8 nodeSelector: 9 custom_label: priorityClassName: system-cluster-critical "my-operators" namespace: "operators" spec: sourceType: grpc grpcPodConfig: securityContextConfig: <security_mode> 1 image: example.com/my/operator-index:v1 displayName: "My Operators" priority: 100

Operator 版本 版本 以下 ImageSetConfiguration 文件使用本地存储后端，仅包含从 3.67.0 及之后的版本开始的 Red Hat Advanced Cluster Security for Kubernetes Operator。 ImageSetConfiguration 文件示例 文件示例 apiVersion: mirror.openshift.io/v1alpha1 disableAllDefaultSources: true 来 来 禁用默认目录的源： 提示 提示 或者，您可以使用 Web 控制台管理目录源。在 Administration → Cluster Settings → Configuration → OperatorHub 页面中，点 Sources 选项卡，您可以在其中创建、删除、禁用和启用单独的源。 5.7.11. OpenShift Container MasterSecurityGrou p AWS::EC2::Security Group icmp 0 tcp 22 tcp 6443 tcp 22623 WorkerSecurityGrou p AWS::EC2::Security Group icmp 0 tcp 22 BootstrapSecurityGr oup AWS::EC2::Security Group tcp 22 tcp 19531

cluster oc config use-context minikube # Show merged kubeconfig settings oc config view # Show merged kubeconfig settings and raw certificate data and exposed secrets 第 第 2 章 章 OPENSHIFT CLI current project oc adm policy add-role-to-user edit -z serviceaccount1 # Add the 'restricted' security context constraint to group1 and group2 oc adm policy add-scc-to-group restricted group1 group2 用法示例 用法示例 # Add the 'restricted' security context constraint to user1 and user2 oc adm policy add-scc-to-user restricted user1 user2 # Add the 'privileged' security context constraint to serviceaccount1

版本 以下 ImageSetConfiguration 文件使用本地存储后端，仅包含 stable 频道中从 4.0.1 及之后的版本开始 的 Red Hat Advanced Cluster Security for Kubernetes Operator。 注意 注意 当您指定了一个最小或最大版本范围时，可能不会接收该范围内的所有 Operator 版本。 默认情况下，oc-mirror 排除了 API，或者不想将管理员级别的凭证 secret 存储在 kube- system 命名空间中，请参阅为 AWS 手动创建长期凭证，或将 AWS 集群配置为使用 Amazon Web Services Security Token Service (AWS STS)的短期凭证。 6.1.3. 选择在 AWS 上安装 OpenShift Container Platform 的方法 您可以在安装程序置备的基础架构或用户置备的基础架构上安装 disableAllDefaultSources: true 来 来 禁用默认目录的源： 提示 提示 或者，您可以使用 Web 控制台管理目录源。在 Administration → Cluster Settings → Configuration → OperatorHub 页面中，点 Sources 选项卡，您可以在其中创建、更新、删除、禁用和启用单独的源。 6.6.12. OpenShift Container

选项卡中，您可以为应接收集群通知的个人添加通知联系人。您提供的用户名或电子邮件地 址必须与部署了集群的红帽机构的用户帐户相关。 另外，在这个选项卡中，您可以创建一个支持问题单来请求集群的技术支持。 4.3.7. 设置标签页 Settings 选项卡为集群所有者提供几个选项： Monitoring （默认启用）允许报告用户定义的操作。请参阅了解监控堆栈。 通过更新策略 更新策略，您可以确定集群是否在指定时间的某一天上自动更新，或者是否可以手动调度所 由一个 ClusterOperator 对象表示，集群管理员可在 OpenShift Container Platform Web 控制台的 Administration → Cluster Settings 页面中查看它。每个集群 Operator 都会提供一个确定集群 功能的简单 API。Operator 将管理组件生命周期的细节隐藏起来。Operator 可以管理一个组件或数十个 组件，但最 openshift.io/RestrictedEndpointsAdmission image.openshift.io/ImagePolicy security.openshift.io/SecurityContextConstraint security.openshift.io/SCCExecRestrictions route.openshift.io/IngressAdmission config