IKuznetsov: Новая страница: «Интеграция Ключ-АСТРОМ '''Operator''' в среды '''OpenShift''' требует понимания специфики обеих платф...»

2025-12-01T20:42:57Z

Новая страница: «Интеграция Ключ-АСТРОМ '''Operator''' в среды '''OpenShift''' требует понимания специфики обеих платф...»

Новая страница

Интеграция Ключ-АСТРОМ '''Operator''' в среды '''OpenShift''' требует понимания специфики обеих платформ. В этом руководстве описаны необходимые конфигурации с акцентом на [https://docs.redhat.com/en/documentation/openshift_container_platform/4.14/html/authentication_and_authorization/managing-pod-security-policies ограничения контекста безопасности (SCC)] и использование драйвера Ключ-АСТРОМ '''Operator''' '''CSI''' в различных сценариях.

== Ограничения контекста безопасности (SCC) ==
В '''OpenShift''' '''SCC''' обеспечивают управление разрешениями для подов аналогично встроенной системе управления доступом на основе ролей ('''RBAC''') в '''Kubernetes'''. '''SCC''' определяют действия, которые может выполнять под, и уровни доступа к ресурсам.

Чтобы получить обзор всех стандартных и пользовательских '''SCC''' в кластере '''OpenShift''', выполните следующую команду:
{| class="wikitable"
|oc get scc
|}
'''OpenShift''' предоставляет [https://docs.redhat.com/en/documentation/openshift_container_platform/4.18/html/authentication_and_authorization/managing-pod-security-policies#default-sccs_configuring-internal-oauth стандартные SCC] для более стандартизированного подхода, а также поддерживает пользовательские '''SCC''' для удовлетворения более специфических требований.

=== Ключ-АСТРОМ Operator ===
В этом разделе представлен обзор '''SCC''', используемых Ключ-АСТРОМ '''Operator''', в зависимости от версии '''OpenShift''', и он служит справочным материалом. Также подробно рассматривается связь между '''SCC''' и более ранними версиями Ключ-АСТРОМ '''Operator'''.
{| class="wikitable"
!Компонент
!OpenShift версии 4.20 или более ранней
!OpenShift версии 4.11+
|-
|Operator
|<code>privileged</code>
|<code>nonroot-v2</code>
|-
|Webhook
|<code>privileged</code>
|<code>nonroot-v2</code>
|-
|CSI driver
|<code>privileged</code>
|<code>privileged</code>
|-
|ЕдиныйАгент
|<code>privileged</code>
|<code>privileged</code>
|-
|АктивныйШлюз
|<code>privileged</code>
|<code>nonroot-v2</code>
|}
<u>Ключ-АСТРОМ Operator версии 0.11.0 или более ранней</u>

Развертывания Ключ-АСТРОМ '''Operator''' включают и используют пользовательские '''SCC''', при этом '''SCC''' по умолчанию не используются.
{| class="wikitable"
!Компонент
!SCC
|-
|Operator
|<code>astromkey-operator</code>
|-
|Webhook
|<code>astromkey-webhook</code>
|-
|CSI driver
|<code>privileged</code>
|-
|ЕдиныйАгент
|<code>astromkey-dynakube-oneagent-privileged</code>,<code>astromkey-dynakube-oneagent-unprivileged</code>
|-
|АктивныйШлюз
|<code>nonroot-v2</code>
|}

=== Внедрение модуля кода для мониторинга приложений ===
<code>cloudNativeFullStack</code> <code>applicationMonitoring</code>

Для эффективного мониторинга приложений Ключ-АСТРОМ '''Operator''' добавляет тома '''CSI''' к модулям приложений. Эти тома, предоставляемые драйвером '''CSI''', содержат необходимые модули кода для внедрения ЕдиногоАгента. Учитывая, что '''SCC''' регулируют уровни доступа к ресурсам, их роль критически важна для обеспечения этой интеграции.

Ниже приведены сценарии, подробно описывающие использование '''SCC''', а также случаи, когда может потребоваться настройка.

* '''Приложение использует пользовательский SCC''' Используемый '''SCC''' должен включать объем <code>csi</code>, как описано в разделе Настройка пользовательского SCC для мониторинга приложений (ниже).
* '''OpenShift версии 4.12 или более ранней''' Для приложений требуются специальные '''SCC''', которые должны включать объем <code>csi</code>, как описано в разделе Настройка специальных SCC для мониторинга приложений (ниже).
* '''OpenShift версии 4.13+''' Стандартные '''SCC''' допускают объем <code>csi</code> по умолчанию, устраняя необходимость в специальном '''SCC'''.

{| class="wikitable"
|Инструкции по изменению '''SCC''' применимы только к пользовательским '''SCC'''. Стандартные '''SCC''', такие как <code>restricted</code> или <code>restricted-v2</code>, ни в коем случае не следует изменять.
|}

==== Настройте собственный SCC для мониторинга приложений ====
В следующем фрагменте кода объясняется, как добавить том <code>csi</code> в пользовательский '''SCC''':
{| class="wikitable"
|apiVersion: security.openshift.io/v1

kind: SecurityContextConstraints

metadata:

name: <custom>

...

volumes:

...

- csi
|}
Более подробную информацию о параметрах конфигурации '''SCC''' см. в документации [https://docs.redhat.com/en/documentation/openshift_container_platform/4.6/html/authentication_and_authorization/managing-pod-security-policies#security-context-constraints-example_configuring-internal-oauth по ограничениям контекста безопасности].

== CSI Inline Ephemeral Volume Security ==
<code>OpenShift версии 4.13+</code>

Драйверу '''CSI''' требуется особая маркировка для проверки плагином [https://docs.redhat.com/en/documentation/openshift_container_platform/4.13/html/storage/using-container-storage-interface-csi#ephemeral-storage-csi-overview-admin-plugin_ephemeral-storage-csi-inline CSI Volume Admission].

[https://github.com/Dynatrace/dynatrace-operator/blob/release-0.11/config/helm/chart/default/templates/Common/csi/csidriver.yaml#L22 Необходимая метка автоматически добавляется к ресурсу <code>csidriver</code>]. Она необходима для включения CSI-томов, внедряемых Ключ-АСТРОМ '''Operator''' с использованием режимов внедрения на основе '''Webhook'''.

<u>Ключ-АСТРОМ Operator версии 0.11.0 или более ранней</u>

Вручную пометьте драйвер '''CSI''' для <code>applicationMonitoring</code>, <code>hostMonitoring</code>, или <code>cloudNativefullStack</code>.
{| class="wikitable"
|kubectl label csidriver csi.oneagent.astromkey.com security.openshift.io/csi-ephemeral-volume-profile=restricted
|}

Дополнительные конфигурации OpenShift - История изменений

IKuznetsov: Новая страница: «Интеграция Ключ-АСТРОМ '''Operator''' в среды '''OpenShift''' требует понимания специфики обеих платф...»