Включение AppArmor для повышения безопасности

Материал из Документация Ключ-АСТРОМ
Версия от 19:48, 1 декабря 2025; IKuznetsov (обсуждение | вклад) (Новая страница: «== Включение AppArmor для Ключ-АСТРОМ Operator == Вы можете повысить безопасность Ключ-АСТРОМ '''Opera...»)
(разн.) ← Предыдущая | Текущая версия (разн.) | Следующая → (разн.)

Включение AppArmor для Ключ-АСТРОМ Operator

Вы можете повысить безопасность Ключ-АСТРОМ Operator, включив AppArmor. В зависимости от того, настраиваете ли вы мониторинг с помощью Manifest или Helm, выберите один из вариантов ниже.

Manifest Helm
1. Добавьте следующую аннотацию в DynaKube для развертывания АктивногоШлюза с включенным профилем AppArmor:
apiVersion: astromkey.com/v1beta5

kind: DynaKube

metadata:

  annotations:

    feature.astromkey.com/activegate-apparmor: true

Добавьте следующие свойства в файл values.yaml для развертывания АктивногоШлюза и Ключ-АСТРОМ Operator с включенным профилем AppArmor:
operator:

  apparmor: true

webhook:

  apparmor: true

activeGate:

  apparmor: true

2. Добавьте следующие аннотации в свой YAML для развертывания веб-перехватчика и Ключ-АСТРОМ Operator с включенным профилем AppArmor:
kind: Deployment

metadata:

  name: astromkey-webhook

spec:

  template:

    metadata:

      annotations:

        container.apparmor.security.beta.kubernetes.io/webhook: runtime/default

kind: Deployment

metadata:

  name: astromkey-operator

spec:

  template:

    metadata:

      annotations:

        container.apparmor.security.beta.kubernetes.io/astromkey-operator: runtime/default

Включите пользовательский профиль AppArmor для ЕдиногоАгента

Вы можете ограничить доступ ЕдиногоАгента к желаемому набору функций. Ниже описано, как включить настраиваемый профиль AppArmor и применить его к модулям ЕдиногоАгента.

Создайте собственный профиль ЕдиногоАгента AppArmor

Подробную информацию о создании пользовательского профиля AppArmor см. в разделе Запуск ЕдиногоАгента как контейнера Docker.

Установить профиль на все рабочие узлы

ЕдиныйАгент по умолчанию развёртывается как daemonset, что означает, что модули, использующие профиль AppArmor, будут использоваться на каждой ноде. Поэтому необходимо установить профиль ЕдиногоАгента AppArmor на всех нодах.

В зависимости от среды это можно сделать несколькими способами, например, с помощью kube-apparmor-manager или security-profiles-operator. Чтобы узнать, как применять эти инструменты в вашем кластере, обратитесь к официальной документации по ним.

Применение профиля ко всем подам ЕдиногоАгента

Чтобы включить AppArmor для всех подов ЕдиногоАгента, добавьте аннотацию container.apparmor.security.beta.kubernetes.io/astromkey-oneagent: localhost/oneagent в одно из следующих полей в зависимости от вашего развертывания:

  • oneAgent.classicFullStack.annotations
  • oneAgent.cloudNativeFullStack.annotations
  • oneAgent.hostMonitoring.annotations

Пример развертывания cloudNativeFullStack:

apiVersion: astromkey.com/v1beta5

kind: DynaKube

metadata:

  name: dynakube

  namespace: astromkey

spec:

  apiUrl: https://ENVIRONMENTID.live.astromkey.com/api

  oneAgent:

    cloudNativeFullStack:

      annotations:

        container.apparmor.security.beta.kubernetes.io/astromkey-oneagent: localhost/oneagent

Источник — https://doc.ruscomtech.ru/index.php?title=Включение_AppArmor_для_повышения_безопасности&oldid=5981