计划合规性扫描和评估配置文件合规性(技术预览版)
|
计划合规性扫描和评估配置文件合规性仅为技术预览功能。技术预览功能不受 Red Hat 生产服务级别协议 (SLA) 的支持,并且可能功能不完整。Red Hat 不建议在生产环境中使用它们。这些功能可让客户提前访问即将推出的产品功能,从而能够在开发过程中测试功能并提供反馈。 有关 Red Hat 技术预览功能的支持范围的更多信息,请参阅技术预览功能支持范围。 |
您可以在计划页面上创建和管理符合您运营需求的合规性扫描计划。您只能有一个计划扫描同一集群上的同一配置文件。
通过查看和过滤覆盖率页面上的扫描结果,您可以监控所有集群的合规性状态。
自定义和自动化合规性扫描
通过创建合规性扫描计划,您可以自定义和自动化合规性扫描以符合您的运营要求。
|
您只能有一个计划扫描同一集群上的同一配置文件。这意味着您不能为单个集群上的同一配置文件创建多个扫描计划。 |
-
您已安装合规性操作员。
有关如何安装合规性操作员的更多信息,请参阅“将合规性操作员与 Red Hat Advanced Cluster Security for Kubernetes 配合使用”。
-
目前,合规性功能和合规性操作员仅评估基础设施和平台合规性。
-
合规性功能要求合规性操作员正在运行,并且*不支持* Amazon Elastic Kubernetes Service (EKS)。
-
-
在 RHACS 门户中,单击**合规性 → 计划**。
-
单击**创建扫描计划**。
-
在**创建扫描计划**页面中,提供以下信息
-
**名称**: 输入一个名称以标识不同的合规性扫描。
-
**描述**: 指定每次合规性扫描的原因。
-
**计划**: 调整扫描计划以适合您的所需计划。
-
**频率**: 从下拉列表中选择您想要执行扫描的频率。
以下值与您想要执行扫描的频率相关联
-
每日 -
每周 -
每月
-
-
日期:从列表中选择一个或多个您想要执行扫描的星期几。
以下值与您想要执行扫描的星期几相关联
-
星期一 -
星期二 -
星期三 -
星期四 -
星期五 -
星期六 -
星期日 -
每月第一天 -
每月月中只有当您将扫描频率指定为
每周或每月时,这些值才适用。
-
-
时间:开始输入您想要运行扫描的
hh:mm格式的时间。从显示的列表中选择一个时间。
-
-
-
点击下一步。
-
在集群页面中,选择一个或多个您想要包含在扫描中的集群。
-
点击下一步。
-
在配置文件页面中,选择一个或多个您想要包含在扫描中的配置文件。
-
点击下一步。
-
可选:要为手动触发的报告配置电子邮件投递目标,请执行以下步骤
您可以添加一个或多个投递目标。
-
展开添加投递目标。
-
在投递目标页面中,提供以下信息
-
电子邮件通知程序:从下拉列表中选择一个电子邮件通知程序。
可选:要配置新电子邮件通知程序集成的设置,请执行以下步骤
-
从选择通知程序下拉列表中,点击创建电子邮件通知程序。
-
在创建电子邮件通知程序页面中,提供以下信息
-
集成名称:输入电子邮件通知程序的唯一名称。此名称可帮助您识别和管理此特定电子邮件通知程序配置。
-
电子邮件服务器:指定您想要用于发送电子邮件的SMTP服务器地址。
-
用户名:输入SMTP服务器身份验证所需的用户名。这通常是用于发送电子邮件的电子邮件地址。
-
密码:输入与SMTP用户名关联的密码。此密码用于与SMTP服务器进行身份验证。
-
发件人:此地址通常代表电子邮件的发件人,收件人可见。这是可选的。
-
发件人名称:输入发件人名称,该名称将与发件人电子邮件地址一起显示。此名称可帮助收件人识别谁发送了电子邮件。
-
默认收件人:输入应在未指定特定收件人的情况下接收通知的默认电子邮件地址。这确保始终有电子邮件收件人。
-
收件人注释键:指定注释键以定义您想要通知有关与特定部署或命名空间相关的策略违规的收件人。这是可选的。
-
可选:如果您的SMTP服务器不需要身份验证,请选择启用未经身份验证的SMTP复选框。由于安全原因,不推荐此操作。
-
可选:如果您想禁用TLS证书验证,请选择禁用TLS证书验证(不安全)复选框。由于安全原因,不推荐此操作。
-
可选:在使用STARTTLS(需要禁用TLS)字段中,从下拉列表中选择用于保护与SMTP服务器连接的STARTTLS类型。
要使用此选项,您必须禁用TLS证书验证。
以下值与用于保护与SMTP服务器连接的STARTTLS类型相关联
-
禁用数据未加密。
-
普通使用base64编码用户名和密码。
-
登录发送用户名和密码作为单独的base64编码字符串,以增强安全性。
-
-
-
点击保存集成。
-
-
分发列表:输入应接收报告的一个或多个以逗号分隔的收件人电子邮件地址。
-
电子邮件模板:默认模板会自动应用。
可选:根据需要自定义电子邮件主题和正文,请执行以下步骤
-
点击铅笔图标。
-
在编辑电子邮件模板页面中,提供以下信息
-
电子邮件主题:输入电子邮件所需的主题行。此主题显示在收件人的收件箱中,应清楚地表明电子邮件的目的。
-
电子邮件正文:撰写电子邮件正文。这是电子邮件的主要内容,可以包含文本、动态内容的占位符以及使您的消息有效传达所需的任何格式。
-
-
点击应用。
-
-
-
-
点击下一步。
-
检查您的扫描配置,然后点击保存。
-
在 RHACS 门户中,单击**合规性 → 计划**。
-
选择您已创建的合规性扫描。
-
在集群部分,验证操作员状态是否正常。
-
可选:要编辑扫描计划,请执行以下步骤
-
从页面右上角的操作下拉列表中,选择编辑扫描计划。
-
进行更改。
-
点击保存。
-
-
可选:手动发送扫描报告
-
只有在您已配置电子邮件投递目标的情况下,才能手动发送扫描报告。
-
合规性报告仅适用于运行合规性操作员版本1.6或更高版本的集群。
-
从页面右上角的操作下拉列表中,选择发送报告。
您会收到一条确认消息,表明您已请求发送报告。
-
-
可选:要下载扫描报告,请执行以下步骤
合规性报告仅适用于运行合规性操作员版本1.6或更高版本的集群。
-
从页面右上角的操作下拉列表中,选择生成下载。
您会收到一条确认消息,表明报告生成已开始。
-
点击所有报告作业选项卡。
-
可选:将仅查看我的作业设置为开启。
-
找到您创建的报告作业。
-
等待下载完成,然后点击准备下载。
-
可选:要删除报告作业,请点击溢出菜单
,然后选择删除下载。
-
分析合规性扫描计划
通过查看计划页面,您可以分析您创建的合规性扫描计划的各种属性。
-
您已创建了一个合规性扫描计划。
有关如何创建合规性扫描计划的更多信息,请参阅“自定义和自动化您的合规性扫描”。
-
在 RHACS 门户中,单击**合规性 → 计划**。
-
可选:要按升序或降序对合规性扫描计划进行排序,请选择名称列标题。
-
选择您创建的合规性扫描。
-
可选:要按升序或降序对集群健康信息进行排序,请选择集群部分中的列标题。
-
可选:查看来自不同用户的多个请求作业的状态
-
点击所有报告作业选项卡。
-
您可以在状态列中找到一个或多个报表作业的状态。
-
可选:选择合适的方法来重新组织所有报表作业部分中的信息
-
要按升序或降序对作业进行排序,请选择已完成列标题。
-
要根据报表运行状态进行筛选,请从按报表运行状态筛选下拉列表中选择一个或多个状态。
-
要仅查看您创建的作业,请将仅查看我的作业设置为开启。
-
-
可选:要查看与报表作业关联的作业详细信息,请执行以下步骤
-
找到要查看其作业详细信息的报表作业。
-
要查看作业详细信息,请展开报表作业。
-
-
计划页面概述
计划页面列出了所有扫描计划,并将信息组织到以下几组:
-
名称:为每个扫描计划指定的唯一标识符或标题。
-
计划:指示扫描的频率和时间。
-
上次扫描:指示该计划最近一次扫描的日期和时间。
-
集群:列出包含在扫描计划中的集群。
-
配置文件:标识在合规性扫描中应用的一个或多个配置文件。
-
我的上次作业状态:显示您作业的状态。
以下值与作业状态相关联:
-
等待中报表作业正在排队。
-
准备中报表作业正在处理。
-
准备下载报表已准备就绪,可以下载。
-
已成功发送报表已成功发送电子邮件。
-
错误报表作业出现问题。
-
无没有最近的可用作业。
-
要查看与合规性扫描关联的配置详细信息和报表作业状态,请选择您创建的合规性扫描。
配置详细信息选项卡
配置详细信息选项卡显示有关扫描计划信息的信息,例如基本参数、集群状态、关联配置文件和电子邮件投递目的地。
参数部分
参数部分将信息组织到以下几组:
-
名称:合规性扫描的唯一标识符。
-
描述:指定有关合规性扫描的附加信息。
-
计划:指定应何时运行合规性扫描。
-
上次扫描:执行上次合规性扫描的时间戳。
-
上次更新:合规性扫描数据上次修改的日期和时间。
集群部分
集群部分将信息组织到以下几组:
-
集群:列出与合规性扫描关联的一个或多个集群。
-
操作员状态:指示操作员的当前健康状况或运行状态。
配置文件部分
配置文件部分列出与合规性扫描关联的一个或多个配置文件。
投递目的地部分
投递目的地部分将信息组织到以下几组:
-
电子邮件通知器:指定用于分发报表或警报的电子邮件通知系统或工具。
-
分发列表:列出应接收通知或报表的收件人。
-
电子邮件模板:指定用于通知的电子邮件格式。您可以使用默认模板,也可以根据需要自定义电子邮件主题和正文。
评估跨集群的配置文件合规性
通过查看覆盖率页面,您可以评估跨集群的节点和平台资源的配置文件合规性。
-
您已安装合规性操作员。
有关如何安装合规性操作员的更多信息,请参阅“将合规性操作员与 Red Hat Advanced Cluster Security for Kubernetes 配合使用”。
-
目前,合规性功能和合规性操作员仅评估基础设施和平台合规性。
-
合规性功能要求合规性操作员正在运行,并且*不支持* Amazon Elastic Kubernetes Service (EKS)。
-
-
您已创建了一个合规性扫描计划。
有关如何创建合规性扫描计划的更多信息,请参阅“自定义和自动化您的合规性扫描”。
-
在 RHACS 门户中,单击合规性→覆盖率。
覆盖率页面概述
当您查看覆盖率页面并对计划应用筛选器时,所有结果都会相应地进行筛选。此筛选器将对所有覆盖率页面保持有效,直到您将其删除。您可以始终根据单个配置文件查看结果。
您可以使用切换组选择根据其关联基准分组的配置文件。您可以根据通过的检查数与检查总数的比率计算合规性百分比。
检查视图列出了配置文件检查,使您可以轻松导航并了解您的合规性状态。
配置文件检查信息组织到以下几组:
-
检查:配置文件检查的名称。
-
控件:显示与每个检查关联的各种控件。
-
失败状态:显示失败并需要您关注的检查。
-
通过状态:显示已成功通过的检查。
-
手动状态:显示需要手动审查的检查,因为需要您无法自动化的其他组织或技术知识。
-
其他状态:显示状态非通过或失败的检查,例如警告或信息状态。
-
合规性:显示整体合规性状态,并帮助您确保您的环境符合所需标准。
集群视图列出集群,并使您可以有效地监控和管理您的集群。
集群信息组织在以下几组中
-
集群:集群的名称。
-
上次扫描:指示各个集群上次扫描的时间。
-
失败状态:显示扫描失败并需要您关注的集群。
-
通过状态:显示已成功通过所有检查的集群。
-
手动状态:显示需要手动审查的检查,因为需要您无法自动化的其他组织或技术知识。
-
其他状态:显示状态既非通过也非失败的集群,例如警告或信息警报。
-
合规性:显示集群的整体合规性状态,并帮助您确保它们符合所需标准。