- 文档
- Red Hat Advanced Cluster Security for Kubernetes
- RHACS 云服务
- 开始使用 RHACS 云服务 history bug_report picture_as_pdf
- 关于
- 发行说明
- RHACS 云服务
- 架构
- 安装
- 配置
- 操作
- 集成
- 备份和恢复
- 升级
- roxctl CLI
- 收集器故障排除
- 中心故障排除
- 遥测
- 支持
- API 参考
- AdministrationEventService
- AdministrationUsageService
- AlertService
- APITokenService
- AuthProviderService
- AuthService
- CentralHealthService
- CloudSourcesService
- ClusterCVEService
- ClusterInitService
- ClustersService
- CollectionService
- ComplianceManagementService
- ComplianceService
- ConfigService
- CredentialExpiryService
- DBService
- DebugService
- DeclarativeConfigHealthService
- DelegatedRegistryConfigService
- DeploymentService
- DetectionService
- DiscoveredClustersService
- ExternalBackupService
- FeatureFlagService
- GroupService
- GRPCPreferencesService
- ImageCVEService
- ImageIntegrationService
- ImageService
- IntegrationHealthService
- ListeningEndpointsService
- MetadataService
- MitreAttackService
- NamespaceService
- NetworkBaselineService
- NetworkGraphService
- NetworkPolicyService
- 获取当前策略对部署允许的对等节点 (GetAllowedPeersFromCurrentPolicyForDeployment)
- 应用网络策略 (ApplyNetworkPolicy)
- 为部署应用网络策略 YAML (ApplyNetworkPolicyYamlForDeployment)
- 获取部署中策略和基线之间的差异流 (GetDiffFlowsBetweenPolicyAndBaselineForDeployment)
- 获取网络图 (GetNetworkGraph)
- 获取为部署生成的基线网络策略 (GetBaselineGeneratedNetworkPolicyForDeployment)
- 生成网络策略 (GenerateNetworkPolicies)
- 获取网络策略 (GetNetworkPolicies)
- 获取网络图纪元 (GetNetworkGraphEpoch)
- 获取网络策略 (GetNetworkPolicy)
- 发送网络策略 YAML (SendNetworkPolicyYAML)
- 模拟网络图 (SimulateNetworkGraph)
- 获取部署撤销修改的差异流 (GetDiffFlowsFromUndoModificationForDeployment)
- 获取撤销修改 (GetUndoModification)
- 获取部署的撤销修改 (GetUndoModificationForDeployment)
- NodeCVEService
- NodeService
- NotifierService
- PingService
- PodService
- PolicyCategoryService
- PolicyService
- 取消模拟运行作业 (CancelDryRunJob)
- 查询模拟运行作业状态 (QueryDryRunJobStatus)
- 提交模拟运行策略作业 (SubmitDryRunPolicyJob)
- 模拟运行策略 (DryRunPolicy)
- 导出策略 (ExportPolicies)
- 根据搜索结果获取策略 (PolicyFromSearch)
- 列出策略 (ListPolicies)
- 删除策略 (DeletePolicy)
- 获取策略 (GetPolicy)
- 获取策略 MITRE 攻击向量 (GetPolicyMitreVectors)
- 修补策略 (PatchPolicy)
- 设置策略 (PutPolicy)
- 导入策略 (ImportPolicies)
- 启用/禁用策略通知 (EnableDisablePolicyNotification)
- 发布策略 (PostPolicy)
- 重新评估策略 (ReassessPolicies)
- 获取策略类别 (GetPolicyCategories)
- ProbeUploadService
- ProcessBaselineService
- ProcessService
- RbacService
- ReportConfigurationService
- ReportService
- RoleService
- 计算有效访问范围 (ComputeEffectiveAccessScope)
- 获取我的权限 (GetMyPermissions)
- 列出权限集 (ListPermissionSets)
- 删除权限集 (DeletePermissionSet)
- 获取权限集 (GetPermissionSet)
- 设置权限集 (PutPermissionSet)
- 发布权限集 (PostPermissionSet)
- 获取资源 (GetResources)
- 获取角色 (GetRoles)
- 删除角色 (DeleteRole)
- 获取角色 (GetRole)
- 创建角色 (CreateRole)
- 更新角色 (UpdateRole)
- 获取集群和权限的命名空间 (GetNamespacesForClusterAndPermissions)
- 获取权限的集群 (GetClustersForPermissions)
- 列出简单的访问范围 (ListSimpleAccessScopes)
- 删除简单的访问范围 (DeleteSimpleAccessScope)
- 获取简单的访问范围 (GetSimpleAccessScope)
- 设置简单的访问范围 (PutSimpleAccessScope)
- 发布简单的访问范围 (PostSimpleAccessScope)
- SearchService
- SecretService
- SensorUpgradeService
- ServiceAccountService
- ServiceIdentityService
- SignatureIntegrationService
- SummaryService
- TelemetryService
- UserService
- VulnerabilityRequestService
- 延迟漏洞 (DeferVulnerability)
- 将漏洞标记为误报 (FalsePositiveVulnerability)
- 列出漏洞请求 (ListVulnerabilityRequests)
- 批准漏洞请求 (ApproveVulnerabilityRequest)
- 删除漏洞请求 (DeleteVulnerabilityRequest)
- 拒绝漏洞请求 (DenyVulnerabilityRequest)
- 获取漏洞请求 (GetVulnerabilityRequest)
- 撤销漏洞请求 (UndoVulnerabilityRequest)
- 更新漏洞请求 (UpdateVulnerabilityRequest)
- VulnMgmtService
开始使用 RHACS 云服务
Red Hat Advanced Cluster Security Cloud Service (RHACS 云服务) 为您的 Red Hat OpenShift 和 Kubernetes 集群提供安全服务。有关受支持的已保护集群平台的更多信息,请参阅Red Hat Advanced Cluster Security for Kubernetes 支持矩阵。
-
确保您可以从 Red Hat Hybrid Cloud Console 访问**高级集群安全**菜单选项。
要访问 RHACS 云服务控制台,您需要您的 Red Hat 单点登录 (SSO) 凭据,或者如果已配置,则需要其他身份提供商的凭据。请参阅ACS 控制台的默认访问权限。
安装步骤概述 (High-level overview of installation steps)
以下部分概述了安装步骤,并提供了相关文档的链接。
保护 Red Hat OpenShift 集群 (Securing Red Hat OpenShift clusters)
要使用 Operator 保护 Red Hat OpenShift 集群,请执行以下步骤:
-
验证您要保护的集群是否符合要求。
-
在 Red Hat Hybrid Cloud Console 中,创建一个**ACS 实例**。
-
在您想要保护的每个 Red Hat OpenShift 集群上,创建一个名为
stackrox的项目。此项目将包含 RHACS 云服务的受保护集群的资源。 -
在 ACS 控制台中,创建一个初始化包。初始化包包含允许 RHACS 云服务的受保护集群与 ACS 控制台之间通信的密钥。
-
在每个 Red Hat OpenShift 集群上,应用初始化包,使用它来创建资源。
-
在每个 Red Hat OpenShift 集群上,安装 RHACS 运算符。
-
在每个 Red Hat OpenShift 集群上,在
stackrox项目中使用运算符安装受保护的集群资源。 -
验证安装,确保受保护的集群可以与 ACS 实例通信。
要使用 Helm 图表或roxctl CLI 保护 Red Hat OpenShift 集群,请执行以下步骤
-
验证您要保护的集群是否符合要求。
-
在 Red Hat Hybrid Cloud Console 中,创建一个**ACS 实例**。
-
在您想要保护的每个 Red Hat OpenShift 集群上,创建一个名为
stackrox的项目。此项目将包含 RHACS 云服务的受保护集群的资源。 -
在 ACS 控制台中,创建一个初始化包。初始化包包含允许 RHACS 云服务的受保护集群与 ACS 控制台之间通信的密钥。
-
在每个 Red Hat OpenShift 集群上,应用初始化包,使用它来创建资源。
-
在每个 Red Hat OpenShift 集群上,使用Helm 图表或
roxctlCLI在stackrox项目中安装受保护的集群资源。 -
验证安装,确保受保护的集群可以与 ACS 实例通信。
保护 Kubernetes 集群
要保护 Kubernetes 集群,请执行以下步骤
-
验证您要保护的集群是否符合要求。
-
在 Red Hat Hybrid Cloud 控制台中,创建一个ACS 实例。
-
在 ACS 控制台中,创建一个初始化包。初始化包包含允许 RHACS 云服务的受保护集群与 ACS 控制台之间通信的密钥。
-
在每个 Kubernetes 集群上,应用初始化包,使用它来创建资源。
-
在每个 Kubernetes 集群上,使用 Helm 图表或
roxctlCLI 安装受保护的集群资源。 -
验证安装,确保受保护的集群可以与 ACS 实例通信。
ACS 控制台的默认访问权限
默认情况下,用户可用的身份验证机制是使用 Red Hat 单点登录 (SSO) 进行身份验证。您不能删除或更改 Red Hat SSO 身份验证提供程序。但是,您可以更改最低访问角色并添加其他规则,或添加另一个身份提供程序。
|
要了解 ACS 中身份验证提供程序的工作原理,请参阅 了解身份验证提供程序。 |
为每个 ACS 控制台创建一个sso.redhat.com的专用 OIDC 客户端。所有 OIDC 客户端共享相同的sso.redhat.com领域。来自sso.redhat.com颁发的令牌的声明将映射到 ACS 颁发的令牌,如下所示:
-
realm_access.roles到groups -
org_id到rh_org_id -
is_org_admin到rh_is_org_admin -
sub到userid
内置的 Red Hat SSO 身份验证提供程序具有必需的属性rh_org_id,其设置为分配给创建 RHACS 云服务实例的用户帐户的组织 ID。这是用户所属的组织帐户的 ID。这可以理解为用户所属的“租户”,并且由其拥有。只有具有相同组织帐户的用户才能使用 Red Hat SSO 身份验证提供程序访问 ACS 控制台。
|
要更好地控制对 ACS 控制台的访问,请配置另一个身份提供程序,而不是依赖 Red Hat SSO 身份验证提供程序。有关更多信息,请参阅 了解身份验证提供程序。要将另一个身份验证提供程序配置为登录页面上的第一个身份验证选项,其名称应按字典顺序小于 |
最低访问角色设置为None。为该字段分配不同的值会使所有具有相同组织帐户的用户都能访问 RHACS 云服务实例。
在内置的 Red Hat SSO 身份验证提供程序中设置的其他规则包括:
-
将您的
userid映射到Admin的规则 -
将组织管理员映射到
Admin的规则
您可以添加更多规则,以允许具有相同组织帐户的其他用户访问 ACS 控制台。例如,您可以使用email作为密钥。