Дополнительные конфигурации OpenShift: различия между версиями
(Новая страница: «Интеграция Ключ-АСТРОМ '''Operator''' в среды '''OpenShift''' требует понимания специфики обеих платф...») |
(нет различий)
|
Текущая версия на 20:42, 1 декабря 2025
Интеграция Ключ-АСТРОМ Operator в среды OpenShift требует понимания специфики обеих платформ. В этом руководстве описаны необходимые конфигурации с акцентом на ограничения контекста безопасности (SCC) и использование драйвера Ключ-АСТРОМ Operator CSI в различных сценариях.
Ограничения контекста безопасности (SCC)
В OpenShift SCC обеспечивают управление разрешениями для подов аналогично встроенной системе управления доступом на основе ролей (RBAC) в Kubernetes. SCC определяют действия, которые может выполнять под, и уровни доступа к ресурсам.
Чтобы получить обзор всех стандартных и пользовательских SCC в кластере OpenShift, выполните следующую команду:
| oc get scc |
OpenShift предоставляет стандартные SCC для более стандартизированного подхода, а также поддерживает пользовательские SCC для удовлетворения более специфических требований.
Ключ-АСТРОМ Operator
В этом разделе представлен обзор SCC, используемых Ключ-АСТРОМ Operator, в зависимости от версии OpenShift, и он служит справочным материалом. Также подробно рассматривается связь между SCC и более ранними версиями Ключ-АСТРОМ Operator.
| Компонент | OpenShift версии 4.20 или более ранней | OpenShift версии 4.11+ |
|---|---|---|
| Operator | privileged
|
nonroot-v2
|
| Webhook | privileged
|
nonroot-v2
|
| CSI driver | privileged
|
privileged
|
| ЕдиныйАгент | privileged
|
privileged
|
| АктивныйШлюз | privileged
|
nonroot-v2
|
Ключ-АСТРОМ Operator версии 0.11.0 или более ранней
Развертывания Ключ-АСТРОМ Operator включают и используют пользовательские SCC, при этом SCC по умолчанию не используются.
| Компонент | SCC |
|---|---|
| Operator | astromkey-operator
|
| Webhook | astromkey-webhook
|
| CSI driver | privileged
|
| ЕдиныйАгент | astromkey-dynakube-oneagent-privileged,astromkey-dynakube-oneagent-unprivileged
|
| АктивныйШлюз | nonroot-v2
|
Внедрение модуля кода для мониторинга приложений
cloudNativeFullStack applicationMonitoring
Для эффективного мониторинга приложений Ключ-АСТРОМ Operator добавляет тома CSI к модулям приложений. Эти тома, предоставляемые драйвером CSI, содержат необходимые модули кода для внедрения ЕдиногоАгента. Учитывая, что SCC регулируют уровни доступа к ресурсам, их роль критически важна для обеспечения этой интеграции.
Ниже приведены сценарии, подробно описывающие использование SCC, а также случаи, когда может потребоваться настройка.
- Приложение использует пользовательский SCC Используемый SCC должен включать объем
csi, как описано в разделе Настройка пользовательского SCC для мониторинга приложений (ниже). - OpenShift версии 4.12 или более ранней Для приложений требуются специальные SCC, которые должны включать объем
csi, как описано в разделе Настройка специальных SCC для мониторинга приложений (ниже). - OpenShift версии 4.13+ Стандартные SCC допускают объем
csiпо умолчанию, устраняя необходимость в специальном SCC.
Инструкции по изменению SCC применимы только к пользовательским SCC. Стандартные SCC, такие как restricted или restricted-v2, ни в коем случае не следует изменять.
|
Настройте собственный SCC для мониторинга приложений
В следующем фрагменте кода объясняется, как добавить том csi в пользовательский SCC:
| apiVersion: security.openshift.io/v1
kind: SecurityContextConstraints metadata: name: <custom> ... volumes: ... - csi |
Более подробную информацию о параметрах конфигурации SCC см. в документации по ограничениям контекста безопасности.
CSI Inline Ephemeral Volume Security
OpenShift версии 4.13+
Драйверу CSI требуется особая маркировка для проверки плагином CSI Volume Admission.
Необходимая метка автоматически добавляется к ресурсу csidriver. Она необходима для включения CSI-томов, внедряемых Ключ-АСТРОМ Operator с использованием режимов внедрения на основе Webhook.
Ключ-АСТРОМ Operator версии 0.11.0 или более ранней
Вручную пометьте драйвер CSI для applicationMonitoring, hostMonitoring, или cloudNativefullStack.
| kubectl label csidriver csi.oneagent.astromkey.com security.openshift.io/csi-ephemeral-volume-profile=restricted |
