Um Laufzeitsicherheit auf OpenShift bereitzustellen, müssen Sie einen privilegierten
Benutzer verwenden (einen Benutzer in der
system:cluster-admins Kubernetes-Gruppe). Auf ROSA ist dies normalerweise der Cluster-Admin-Benutzer. Auf
ARO ist dies normalerweise der kubeadmin-Benutzer. |
HinweisContainer Security unterstützt OpenShift Version 4.12 und höher.
|
OpenShift kann Laufzeitsicherheitsregeln auslösen und eine große Anzahl von Ereignissen
generieren.
 |
Wichtig
|
Verwenden Sie die folgenden Schritte, um Namespaces manuell aus Ihrer OpenShift-Overrides-Datei
auszuschließen.
visionOne:
exclusion:
namespaces: [list, of, namespaces]
In OpenShift möchten Sie möglicherweise die folgenden Namespaces ausschließen:
visionOne:
exclusion:
namespaces: [openshift, openshift-addon-operator, openshift-apiserver, openshift-apiserver-operator, openshift-aqua, openshift-authentication, openshift-authentication-operator,
openshift-azure-logging, openshift-azure-operator, openshift-backplane, openshift-backplane-cee, openshift-backplane-managed-scripts, openshift-backplane-srep, openshift-build-test,
openshift-cloud-controller-manager-operator, openshift-cloud-credential-operator, openshift-cloud-ingress-operator, openshift-cloud-network-config-controller, openshift-cluster-csi-drivers,
openshift-cluster-machine-approver, openshift-cluster-node-tuning-operator, openshift-cluster-samples-operator, openshift-cluster-storage-operator, openshift-cluster-version,
openshift-codeready-workspaces, openshift-config, openshift-config-managed, openshift-config-operator, openshift-console, openshift-console-operator, openshift-console-user-settings,
openshift-controller-manager, openshift-controller-manager-operator, openshift-custom-domains-operator, openshift-customer-monitoring, openshift-deployment-validation-operator, openshift-dns,
openshift-dns-operator, openshift-etcd, openshift-etcd-operator, openshift-host-network, openshift-image-registry, openshift-infra, openshift-ingress, openshift-ingress-canary,
openshift-ingress-operator, openshift-insights, openshift-kni-infra, openshift-kube-apiserver, openshift-kube-apiserver-operator, openshift-kube-controller-manager,
openshift-kube-controller-manager-operator, openshift-kube-scheduler, openshift-kube-scheduler-operator, openshift-kube-storage-version-migrator, openshift-kube-storage-version-migrator-operator,
openshift-kubevirt-infra, openshift-logging, openshift-machine-api, openshift-machine-config-operator, openshift-managed-node-metadata-operator, openshift-managed-upgrade-operator,
openshift-marketplace, openshift-monitoring, openshift-multus, openshift-must-gather-operator, openshift-network-diagnostics, openshift-network-operator, openshift-node,
openshift-oauth-apiserver, openshift-ocm-agent-operator, openshift-openstack-infra, openshift-operator-lifecycle-manager, openshift-operators, openshift-operators-redhat, openshift-osd-metrics,
openshift-ovirt-infra, openshift-ovn-kubernetes, openshift-rbac-permissions, openshift-route-monitor-operator, openshift-sdn, openshift-security, openshift-service-ca, openshift-service-ca-operator,
openshift-splunk-forwarder-operator, openshift-sre-pruning, openshift-sre-sshd, openshift-strimzi, openshift-user-workload-monitoring, openshift-validation-webhook,
openshift-velero, openshift-vsphere-infra]
Standardmäßig wendet OpenShift Taints auf die Infrastruktur- und Master-Knoten an,
was dazu führt, dass die Laufzeitsicherheits-Pods diesen Knoten nicht zugewiesen werden.
Wenn Sie Laufzeitsicherheit zu diesen Knoten hinzufügen möchten, können Sie die folgenden
Toleranzen zu Ihrer Overrides-Datei hinzufügen:
tolerations:
scout:
- effect: NoSchedule
key: node-role.kubernetes.io/infra
operator: Exists
- effect: NoSchedule
key: node-role.kubernetes.io/master
operator: Exists