在里面本系列的第一部分,我讨论了权力红帽的合规运营商用于保护您的OpenShift 4.x集群。我快速概述了安装,然后通过如何启动合规性扫描并查看高级结果。我还通过应用运营商附带的所有自动补救措施来展示合规运营商的权力。
在第二部分,我从我的扫描中提取了结果,并以HTML格式生成了一个很好的OpenSCAP评估报告,以及需要手动修复的剩余项目的简单任务列表。
在本系列的最后一篇文章中,我将走过如何应用MachineConfig,以执行可能对您环境特定的一些剩余补救措施。虽然这篇文章尚未旨在完全解释Machineconfig,但我将通过创建一个。
如果您在本系列中的第一篇文章中记得,我将扫描对我的工作者和主节点以及OpenShift集装箱平台本身扫描。我展示了如何在运营商的Compuancescan标签中看到这些扫描的结果:
每个单独扫描的检查都列在合规运算符的ComplianCecheckResult选项卡下。我将与一个很容易看到结果的工作,这是节点的登录横幅。正如您所看到的,请检查主节点和工作节点的类似检查。我会在这里工作。
正如您所见,操作员提供了许多有用的信息。在ComplianCeCheckResult的Yaml文件中,对被检查的内容有很好的解释。
yaml文件的底部还显示了扫描结果,在这种情况下,它是一个失败。
生成的OpenSCAP HTML报告还提供了有关此特定查找的良好信息。
如果我点击登录横幅查找,我会得到很多细节,包括一些建议的冗长使用。
由于我想修改登录横幅并将其应用于所有主节点,我将用machineconfig执行此操作。MachineConfig在OpenShift控制台中的计算下列出。
有两件事我想指出。首先,通过创建MachineConfig来完成操作员的自动补救功能,因此当前配置显示许多MachineConfig。要指出的第二件事是Machineconfig以字母顺序应用。因此,操作员将“75”附加到其配置的前面,将其在所有Machineconfig列表中放置在其上。
在我修改登录横幅之前,让我们看看它现在看起来像什么。在控制台中执行此操作的简单方法是转到计算并选择其中一个主节点的节点部分。你会看到一个“终端”选项卡,如果我去那个,我会在我的节点上获得一个终端。在终端上方是一条消息,即“使用主机二进制文件,运行chroot / host”,所以我会这样做,然后我会禁止/ etc /问题文件。您可以看到以下结果:
对于我的machineconfig,我将把文本放在base64编码中的/ etc /问题文件中。对于我的样本,我只是要将文件更改为“测试文件”,这可能不会通过任何审核,而是对此演示很好。
要生成文本,我将从Linux终端运行此命令:
$ echo“测试文件”|Base64.
vgvzdcbmawxlcg ==
我将采取生成的线,并在我的配置中使用它。这是我用于修改/ etc /问题文件的machineconfig yaml:
在文件中指出了几件事。首先,请注意我的配置名称以“99”开头。那是因为我希望它在Machineconfig列表的最后。此外,在第20行,您可以看到我在其中插入我的文本输出转换为base64的位置。您可以从命令行应用此yaml文件,如我之前演示的,或者在控制台的MachineConfig部分中,您可以选择“创建MachineConfig”并将其粘贴到您的YAML文件中。
一旦我点击保存,Machineconfig将以滚动方式应用于我的主节点。这将需要一点时间,所以要耐心等待,直到您的节点再次显示“准备就绪”。一旦完成,让我们来看看,看看设置是否成功应用。
在计算的控制台中返回我的主节点,我选择“终端”选项卡。我会运行“chroot / host”,正如我之前所做的那样,然后我会骗我/ etc /问题文件。这是结果应该如下所示:
正如我在早期的帖子中提到的那样,您理想地使用存储库,并且理想的是修改和管理Machineconfig的Git-Ops方法。此外,此练习应向您展示合规运营商的一些权力和功能以及如何大大简化您对OpenShift平台的安全合规性。
参考:
