监控工作负载和集群合规性
通过执行合规性扫描,您可以检查RHACS中整个基础设施的合规性状态。您可以在合规性仪表板中查看结果,在该仪表板中您可以过滤数据并监控集群、命名空间和节点上的合规性状态。
通过生成详细的合规性报告并关注具体的标准、控制和行业基准,您可以跟踪和共享环境的合规性状态,并确保您的基础设施满足所需的合规性标准。
检查基础设施的合规性状态
通过执行合规性扫描,您可以检查整个基础设施对所有合规性标准的合规性状态。运行合规性扫描时,Red Hat Advanced Cluster Security for Kubernetes (RHACS) 会创建环境的数据快照。数据快照包括警报、镜像、网络策略、部署和相关的基于主机的数 据。
Central 从在您的集群中运行的传感器收集基于主机的数 据。然后,Central 从每个 Collector pod 中运行的合规性容器中收集更多数据。
合规性容器会收集有关您的环境的以下数据:
-
容器守护程序、容器运行时和容器镜像的配置。
-
有关容器网络的信息。
-
容器运行时、Kubernetes 和 OpenShift Container Platform 的命令行参数和进程。
-
特定文件路径的权限。
-
Kubernetes 和 OpenShift Container Platform 核心服务的配置文件。
-
数据收集完成后,Central 会检查数据以确定结果。您可以在合规性仪表板中查看结果,并根据结果创建合规性报告。
|
-
在 RHACS 门户中,单击合规性→仪表板。
-
可选:默认情况下,合规性结果中会显示所有标准的信息。
要仅显示有关特定标准的信息,请执行以下步骤:
-
单击管理标准。
-
默认情况下,所有标准均已选中。清除您不想显示的任何特定标准的复选框。
-
单击保存。
未选中的标准不会出现在仪表板显示中,包括窗口小部件、可从仪表板访问的合规性结果表以及使用导出按钮创建的 PDF 文件。但是,将结果导出为 CSV 文件时,将包含所有默认标准。
-
-
单击扫描环境。
扫描整个环境大约需要 2 分钟。此时间可能因环境中集群和节点的数量而异。
-
在 RHACS 门户中,单击**配置管理**。
-
在**CIS Kubernetes v1.5** 小部件中,单击**扫描**。
-
RHACS 将显示一条消息,指示合规性扫描正在进行中。
查看环境中的合规性标准
合规性仪表板提供对环境中所有集群、命名空间和节点中合规性标准的概述,包括图表和调查潜在合规性问题的选项。
您可以查看单个集群、命名空间或节点的合规性扫描结果。您还可以生成关于容器化环境合规性状态的报告。
-
在 RHACS 门户中,单击**合规性 → 仪表板**。
首次打开合规性仪表板时,您会看到仪表板为空。执行合规性扫描以使用数据填充仪表板。
合规性仪表板概述
执行合规性扫描后,合规性仪表板会将结果显示为环境的合规性状态。您可以直接从仪表板查看合规性违规。要了解您的环境是否符合特定基准,请过滤详细视图并深入了解合规性标准。
您可以使用快捷方式检查位于合规性仪表板右上角的集群、命名空间和节点的合规性状态。单击这些快捷方式,您可以查看合规性快照并生成关于集群、命名空间或节点整体合规性的报告。
查看集群的合规性状态
通过查看集群的合规性状态,您可以监控并确保您的集群符合所需的合规性标准。
您可以在合规性仪表板中查看所有集群或单个集群的合规性状态。
-
要查看环境中所有集群的合规性状态
-
在 RHACS 门户中,单击**合规性 → 仪表板 → 集群**选项卡。
-
-
要查看环境中特定集群的合规性状态,请执行以下步骤
-
在 RHACS 门户中,单击合规性→仪表板。
-
查找**按集群划分的通过标准**小部件。
-
在此小部件中,单击集群名称以查看其合规性状态。
-
查看命名空间的合规性状态
通过查看命名空间的合规性状态,您可以监控并确保每个命名空间都符合所需的合规性标准。
您可以在合规性仪表板中查看所有命名空间或单个命名空间的合规性状态。
-
要查看环境中所有命名空间的合规性状态
-
在 RHACS 门户中,单击**合规性 → 仪表板 → 命名空间**选项卡。
-
-
要查看环境中特定命名空间的合规性状态,请执行以下步骤
-
在 RHACS 门户中,单击**合规性 → 仪表板 → 命名空间**选项卡。
-
在**命名空间**表中,单击一个命名空间。右侧将打开一个侧面板。
-
在侧面板中,单击命名空间的名称以查看其合规性状态。
-
限制合规性仪表板中显示的数据量
通过过滤合规性数据,您可以将注意力集中在集群、行业标准、通过或失败的控制的子集上,并限制合规性仪表板中显示的数据量。
-
在 RHACS 门户中,单击合规性→仪表板。
-
单击**集群**、**命名空间**或**节点**选项卡以打开详细信息页面。
-
在搜索栏中输入您的筛选条件,然后单击**Enter**。
跟踪环境的合规性状态
通过生成合规性报告,您可以跟踪环境的合规性状态。您可以使用这些报告向其他利益相关者传达各种行业指令的合规性状态。
您可以生成以下报告:
-
侧重于业务方面并包含图表和 PDF 格式合规性状态摘要的**执行报告**。
-
侧重于技术方面并包含 CSV 格式详细信息的**证据报告**。
-
在 RHACS 门户中,单击合规性→仪表板。
-
单击**导出**选项卡可执行以下任何任务:
-
要生成执行报告,请选择**将页面下载为 PDF**。
-
要生成证据报告,请选择**将证据下载为 CSV**。
**导出**选项出现在所有合规性页面和筛选视图中。
-
证据报告
您可以以 CSV 格式从 Red Hat Advanced Cluster Security for Kubernetes (RHACS) 导出全面的合规性相关数据作为证据报告。此证据报告包含有关合规性评估的详细信息,并专为技术角色(例如合规性审计员、DevOps 工程师或安全从业人员)量身定制。
证据报告包含以下信息:
| CSV 字段 | 描述 |
|---|---|
标准 |
合规性标准,例如 CIS Kubernetes。 |
集群 |
被评估集群的名称。 |
命名空间 |
部署所在的命名空间或项目的名称。 |
对象类型 |
对象的 Kubernetes 实体类型。例如, |
对象名称 |
对象的名称,这是一个 Kubernetes 系统生成的唯一标识对象的字符串。例如, |
控制 |
符合性标准中显示的控制编号。 |
控制描述 |
关于控制执行的合规性检查的描述。 |
状态 |
合规性检查是否通过。 |
证据 |
关于特定合规性检查失败或通过的原因的解释。 |
评估时间 |
运行合规性扫描的时间和日期。 |