$ export ROX_API_TOKEN=<api_token>- 文档
- Red Hat Advanced Cluster Security for Kubernetes
- RHACS 云服务
- 使用 Kubernetes 安全集群设置 RHACS 云服务
- 为 Kubernetes 安全集群生成初始化包 history bug_report picture_as_pdf
OpenShift 文档正在迁移,很快将只能在 docs.redhat.com(所有 Red Hat 产品文档的中心)访问。立即体验 新的文档体验。
- 关于
- 发行说明
- RHACS 云服务
- 架构
- 安装
- 配置
- 操作
- 集成
- 与镜像注册表集成
- 与 CI 系统集成
- 与 PagerDuty 集成
- 与 Slack 集成
- 使用通用 Webhook 集成
- 与 QRadar 集成
- 与 ServiceNow 集成
- 与 Sumo Logic 集成
- 与 Google Cloud Storage 集成
- 使用 syslog 协议集成
- 与 Amazon S3 集成
- 与兼容 S3 API 的服务集成
- 与 Google Cloud Security Command Center 集成
- 与 Splunk 集成
- 与镜像漏洞扫描器集成
- 与 Jira 集成
- 与电子邮件集成
- 与云管理平台集成
- 使用短期令牌集成
- 与 Microsoft Sentinel 通知器集成
- 备份和恢复
- 升级
- roxctl CLI
- 收集器故障排除
- 中央故障排除
- 遥测
- 支持
- API 参考
- AdministrationEventService
- AdministrationUsageService
- AlertService
- APITokenService
- AuthProviderService
- AuthService
- CentralHealthService
- CloudSourcesService
- ClusterCVEService
- ClusterInitService
- ClustersService
- CollectionService
- ComplianceManagementService
- ComplianceService
- ConfigService
- CredentialExpiryService
- DBService
- DebugService
- DeclarativeConfigHealthService
- DelegatedRegistryConfigService
- DeploymentService
- DetectionService
- DiscoveredClustersService
- ExternalBackupService
- FeatureFlagService
- GroupService
- GRPCPreferencesService
- ImageCVEService
- ImageIntegrationService
- 镜像服务 (ImageService)
- 集成健康服务 (IntegrationHealthService)
- 监听端点服务 (ListeningEndpointsService)
- 元数据服务 (MetadataService)
- MITRE ATT&CK 服务 (MitreAttackService)
- 命名空间服务 (NamespaceService)
- 网络基线服务 (NetworkBaselineService)
- 网络图服务 (NetworkGraphService)
- 网络策略服务 (NetworkPolicyService)
- 获取当前策略中对部署允许的对等体 (GetAllowedPeersFromCurrentPolicyForDeployment)
- 应用网络策略 (ApplyNetworkPolicy)
- 为部署应用网络策略 YAML (ApplyNetworkPolicyYamlForDeployment)
- 获取部署中策略和基线之间的差异流 (GetDiffFlowsBetweenPolicyAndBaselineForDeployment)
- 获取网络图 (GetNetworkGraph)
- 获取为部署生成的基线网络策略 (GetBaselineGeneratedNetworkPolicyForDeployment)
- 生成网络策略 (GenerateNetworkPolicies)
- 获取网络策略 (GetNetworkPolicies)
- 获取网络图纪元 (GetNetworkGraphEpoch)
- 获取网络策略 (GetNetworkPolicy)
- 发送网络策略 YAML (SendNetworkPolicyYAML)
- 模拟网络图 (SimulateNetworkGraph)
- 获取部署中撤销修改的差异流 (GetDiffFlowsFromUndoModificationForDeployment)
- 获取撤销修改 (GetUndoModification)
- 获取部署的撤销修改 (GetUndoModificationForDeployment)
- 节点 CVE 服务 (NodeCVEService)
- 节点服务 (NodeService)
- 通知器服务 (NotifierService)
- Ping 服务 (PingService)
- Pod 服务 (PodService)
- 策略类别服务 (PolicyCategoryService)
- 策略服务 (PolicyService)
- 取消预演作业 (CancelDryRunJob)
- 查询预演作业状态 (QueryDryRunJobStatus)
- 提交预演策略作业 (SubmitDryRunPolicyJob)
- 预演策略 (DryRunPolicy)
- 导出策略 (ExportPolicies)
- 搜索策略 (PolicyFromSearch)
- 列出策略 (ListPolicies)
- 删除策略 (DeletePolicy)
- 获取策略 (GetPolicy)
- 获取策略 MITRE 向量 (GetPolicyMitreVectors)
- 修补策略 (PatchPolicy)
- 设置策略 (PutPolicy)
- 导入策略 (ImportPolicies)
- 启用/禁用策略通知 (EnableDisablePolicyNotification)
- 发布策略 (PostPolicy)
- 重新评估策略 (ReassessPolicies)
- 获取策略类别 (GetPolicyCategories)
- 探针上传服务 (ProbeUploadService)
- 进程基线服务 (ProcessBaselineService)
- 进程服务 (ProcessService)
- RBAC 服务 (RbacService)
- 报表配置服务 (ReportConfigurationService)
- 报表服务 (ReportService)
- 角色服务 (RoleService)
- 计算有效访问范围 (ComputeEffectiveAccessScope)
- 获取我的权限 (GetMyPermissions)
- 列出权限集 (ListPermissionSets)
- 删除权限集 (DeletePermissionSet)
- 获取权限集 (GetPermissionSet)
- 设置权限集 (PutPermissionSet)
- 发布权限集 (PostPermissionSet)
- 获取资源 (GetResources)
- 获取角色 (GetRoles)
- 删除角色 (DeleteRole)
- 获取角色 (GetRole)
- 创建角色 (CreateRole)
- 更新角色 (UpdateRole)
- 获取集群和权限的命名空间 (GetNamespacesForClusterAndPermissions)
- 获取集群权限 (GetClustersForPermissions)
- 列出简单访问范围 (ListSimpleAccessScopes)
- 删除简单访问范围 (DeleteSimpleAccessScope)
- 获取简单访问范围 (GetSimpleAccessScope)
- 设置简单访问范围 (PutSimpleAccessScope)
- 发布简单访问范围 (PostSimpleAccessScope)
- 搜索服务 (SearchService)
- 密钥服务 (SecretService)
- 传感器升级服务 (SensorUpgradeService)
- 服务账户服务 (ServiceAccountService)
- 服务身份服务 (ServiceIdentityService)
- 签名集成服务 (SignatureIntegrationService)
- 汇总服务 (SummaryService)
- 遥测服务 (TelemetryService)
- 用户服务 (UserService)
- 漏洞请求服务 (VulnerabilityRequestService)
- 延迟漏洞 (DeferVulnerability)
- 误报漏洞 (FalsePositiveVulnerability)
- 列出漏洞请求 (ListVulnerabilityRequests)
- 批准漏洞请求 (ApproveVulnerabilityRequest)
- 删除漏洞请求 (DeleteVulnerabilityRequest)
- 拒绝漏洞请求 (DenyVulnerabilityRequest)
- 获取漏洞请求 (GetVulnerabilityRequest)
- 撤销漏洞请求 (UndoVulnerabilityRequest)
- 更新漏洞请求 (UpdateVulnerabilityRequest)
- 漏洞管理服务 (VulnMgmtService)
×
为 Kubernetes 安全集群生成初始化包
在集群上安装 `SecuredCluster` 资源之前,必须创建一个初始化包。安装并配置了 `SecuredCluster` 的集群随后使用此包对 ACS 控制台进行身份验证。可以使用 RHACS 门户或 `roxctl` CLI 创建初始化包。然后,使用它创建资源来应用初始化包。
使用 RHACS 门户生成初始化包 (Generating an init bundle by using the RHACS portal)
可以使用 RHACS 门户创建包含密钥的初始化包。
|
必须具有 `Admin` 用户角色才能创建初始化包。 |
步骤 (Procedure)
-
查找 RHACS 门户的地址,如“使用 Operator 方法验证 Central 安装”中所述。
-
登录到 RHACS 门户。
-
如果没有安全集群,则会显示**平台配置** → **集群**页面。
-
单击**创建初始化包**。
-
输入集群初始化包的名称。
-
选择您的平台。
-
选择您将用于安全集群的安装方法:Operator 或 Helm chart。
-
单击下载以生成并下载初始化包,该包以 YAML 文件的形式创建。如果您使用相同的安装方法,则可以将一个初始化包及其对应的 YAML 文件用于所有安全集群。
安全地存储此包,因为它包含密钥。
-
使用初始化包在安全集群上创建资源来应用它。
-
在每个集群上安装安全集群服务。
使用 roxctl CLI 生成初始化包
您可以使用roxctl CLI 创建包含密钥的初始化包。
|
您必须具有 |
先决条件
-
您已配置
ROX_API_TOKEN和ROX_CENTRAL_ADDRESS环境变量-
运行以下命令设置
ROX_API_TOKEN -
运行以下命令设置
ROX_CENTRAL_ADDRESS环境变量$ export ROX_CENTRAL_ADDRESS=<address>:<port_number>
-
|
在 RHACS 云服务中,当使用需要 Central 地址的 |
步骤 (Procedure)
-
要生成包含用于 Helm 安装的密钥的集群初始化包,请运行以下命令
$ roxctl -e "$ROX_CENTRAL_ADDRESS" \ central init-bundles generate --output \ <cluster_init_bundle_name> cluster_init_bundle.yaml -
要生成包含用于 Operator 安装的密钥的集群初始化包,请运行以下命令
$ roxctl -e "$ROX_CENTRAL_ADDRESS" \ central init-bundles generate --output-secrets \ <cluster_init_bundle_name> cluster_init_bundle.yaml确保安全地存储此包,因为它包含密钥。您可以使用相同的包来设置多个安全集群。