随着用户kubernetes集群的数量不断增加,如何确保在日益扩大的环境中创建和执行一致的配置和安全策略变得越来越具挑战性。为了解决这个问题,CCSE ONE推出了基于OPA(Open Policy Agent)的Gatekeeper实现的策略中心功能。通过管控实例的统一分发,帮助用户快速在多个集群中定义和执行一致的安全策略,展示集群资源的合规性状态。
CCSE ONE的策略管理主要功能如下:
- 策略下发: 通过管控集群将一组安全合规策略一致的下发到多个接入集群中。
- 策略监护: 根据用户下发的策略,接入集群持续审计资源,以确保资源满足安全合规要求并且不出现违反策略的行为。
- 监护结果: 根据策略监护详情,展示策略执行汇总结果。同时可查询具体策略报告,包含当前不合规资源和最近1小时策略监护事件。
查看模板策略模板
- 在分布式容器云平台控制台左侧导航栏中选择【策略管理】>【策略模板】。
- CCSE ONE内置了30余条策略模板,可点击【查看策略模板】 查看详情。
创建策略监护
- 在分布式容器云平台控制台左侧导航栏中选择【策略管理】>【策略监护】。
- 点击"创建策略",在创建策略页面中完成相关信息配置。
- 策略类型:策略模板分类,目前有"安全类策略"和"合规类策略"两种类型,用于过滤策略模板。
- 选择策略: 选择策略模板。
- 生效资源: 策略生效的k8s资源类型,支持多选。不同的策略模板生效的资源不相同。
- 策略参数: 填写策略参数;不同的策略模板对应的策略参数不相同。
- 处理方式:包括拦截和告警两种方式。拦截表示不符合策略要求的资源将无法创建,告警表示不符合策略要求的资源仅告警提醒,仍可以正常创建。
- 作用范围: 选择生效的接入集群。
- 作用命名空间:选择生效的命名空间。
- 单击“保存”,创建完成后系统会自动分发策略,分发成功后,策略实例将在集群中生效。
若在集群中执行不符合策略实例的动作,该动作将被拒绝掉或者上报告警事件。
查看策略状态-汇总
- 在分布式容器云平台控制台左侧导航栏中选择【策略管理】>【策略监护】。可查看已创建策略的汇总信息,其中包含:
- 不合规资源:该策略当前不合规资源统计。
- 告警事件数: 该策略历史告警事件总数。
- 拦截事件数: 该策略历史拦截事件总数。
查看策略状态-明细报告
-
在分布式容器云平台控制台左侧导航栏中选择【策略管理】>【策略监护】。
-
选择一条策略,点击【查看报告】。其中:
- 不合规资源:该策略当前不合规资源明细,单个接入集群仅展示20条。
- 最近1小时策略事件: 仅展示最近1小时内的事件明细。