|
この文書は自動機械翻訳技術を使用して翻訳されています。 正確な翻訳を提供するように努めておりますが、翻訳された内容の完全性、正確性、信頼性については一切保証いたしません。 相違がある場合は、元の英語版 英語 が優先され、正式なテキストとなります。 |
ポッドセキュリティアドミッション(PSA)設定テンプレート
ポッドセキュリティアドミッション(PSA)設定テンプレートは、Rancher v2.7.2以降で利用可能なRancherのカスタム定義リソース(CRD)です。これらのテンプレートは、クラスターに適用できる事前定義されたセキュリティ設定を提供します。
|
Rancherにデフォルトで搭載されているポリシーは、セキュリティと利便性のバランスを提供することを目的としています。より厳格なポリシー設定が必要な場合、ユーザーは特定の要件に基づいてそのようなポリシーを自分で作成することができます。Rancherポリシーが好ましい場合、環境内で使用されない免除されたネームスペースの作成をブロックするアドミッションコントローラーをデプロイする必要があります。 |
-
rancher-privileged:最も寛容な設定です。この設定は、いかなるポッドの動作も制限しません。これにより、既知の特権昇格が可能になります。このポリシーには免除がありません。 -
rancher-restricted:ポッドのハードニングに関する現在のベストプラクティスに従った、厳しく制限された設定です。Rancherコンポーネントのためにネームスペースレベルの免除を作成する必要があります。
ポッドセキュリティアドミッション(PSA)設定テンプレートを割り当てる
ダウンストリームクラスターを作成する際に、同時にPSAテンプレートを割り当てることができます。既存のダウンストリームクラスターを構成することで、テンプレートを追加することもできます。
クラスター作成時にテンプレートを割り当てる
-
RKE2およびK3s
-
RKE1
-
左上隅で、*☰ > クラスター管理*をクリックします。
-
*クラスター*ページで、*作成*ボタンをクリックします。
-
プロバイダーを選択してください。
-
*クラスター:*ページで、に移動します。
-
*ポッドセキュリティアドミッション設定テンプレート*のドロップダウンメニューから、割り当てたいテンプレートを選択します。
-
[作成]をクリックします。
既存のクラスターにテンプレートを割り当てる
-
左上隅で、*☰ > クラスター管理*をクリックします。
-
クラスター*テーブルで更新したいクラスターを見つけ、⋮*をクリックします。
-
*設定を編集*を選択します。
-
*ポッドセキュリティアドミッション設定テンプレート*のドロップダウンメニューから、割り当てたいテンプレートを選択します。
-
[保存]をクリックします。
-
左上隅で、*☰ > クラスター管理*をクリックします。
-
*クラスター*ページで、*作成*ボタンをクリックします。
-
プロバイダーを選択してください。
-
*クラスターを追加*ページで、*クラスターオプション*の下にある*詳細オプション*をクリックします。
-
*ポッドセキュリティアドミッション設定テンプレート*のドロップダウンメニューから、割り当てたいテンプレートを選択します。
-
[作成]をクリックします。
既存のクラスターにテンプレートを割り当てる
-
左上隅で、*☰ > クラスター管理*をクリックします。
-
クラスター*テーブルで更新したいクラスターを見つけ、⋮*をクリックします。
-
*設定を編集*を選択します。
-
*クラスターを編集*ページで、に移動します。
-
*ポッドセキュリティアドミッション設定テンプレート*で、割り当てたいテンプレートを選択します。
-
[保存]をクリックします。
ポッドセキュリティアドミッション(PSA)設定テンプレートを追加または編集する
管理者権限がある場合は、追加のPSAテンプレートを作成するか、既存のテンプレートを編集することで、セキュリティ制限と権限をカスタマイズできます。
|
既存のPSAテンプレートを使用中に編集すると、そのテンプレートに割り当てられたすべてのクラスターに変更が適用されます。 |
-
左上隅で、*☰ > クラスター管理*をクリックします。
-
*詳細*をクリックしてドロップダウンメニューを開きます。
-
*ポッドセキュリティアドミッション*を選択します。
-
変更したいテンプレートを見つけ、*⋮*をクリックします。
-
テンプレートを編集するには、*設定を編集*を選択します。
-
設定の編集が完了したら、*保存*をクリックします。
必須のRancherネームスペースの除外
デフォルトで制限的なセキュリティポリシーを強制するKubernetesクラスターでRancherを実行する場合、以下のネームスペースを除外する必要があります。さもなければ、ポリシーがRancherシステムポッドの正常な実行を妨げる可能性があります。
-
calico-apiserver -
calico-system -
cattle-alerting -
cattle-capi-system -
cattle-csp-adapter-system -
cattle-elemental-system -
cattle-epinio-system -
cattle-externalip-system -
cattle-fleet-local-system -
cattle-fleet-system -
cattle-gatekeeper-system -
cattle-global-data -
cattle-global-nt -
cattle-impersonation-system -
cattle-istio -
cattle-istio-system -
cattle-logging -
cattle-logging-system -
cattle-monitoring-system -
cattle-neuvector-system -
cattle-prometheus -
cattle-provisioning-capi-system -
cattle-resources-system -
cattle-scc-system -
cattle-sriov-system -
cattle-system -
cattle-turtles-system -
cattle-ui-plugin-system -
cattle-windows-gmsa-system -
cert-manager -
cis-operator-system -
compliance-operator-system -
fleet-default -
fleet-local -
istio-system -
kube-node-lease -
kube-public -
kube-system -
longhorn-system -
rancher-alerting-drivers -
rancher-compliance-system -
security-scan -
sr-operator-system -
tigera-operator -
traefik
Rancher、いくつかのRancher所有のチャート、RKE2およびK3sディストリビューションは、すべてこれらのネームスペースを使用します。リストされたネームスペースの一部は、下流のクラスターで使用するために、ビルトインのRancher `rancher-restricted`ポリシーですでに除外されています。Rancherを実行するために必要なすべての除外が含まれている完全なテンプレートについては、このサンプルアドミッション設定を参照してください。
ネームスペースの除外
`rancher-restricted`テンプレートをクラスターに割り当てると、デフォルトでは、制限がネームスペースレベルでクラスター全体に適用されます。この非常に制限されたポリシーから特定のネームスペースを除外するには、次の手順を実行してください:
-
左上隅で、*☰ > クラスター管理*をクリックします。
-
*詳細*をクリックしてドロップダウンメニューを開きます。
-
*ポッドセキュリティアドミッション*を選択します。
-
変更したいテンプレートを見つけ、*⋮*をクリックします。
-
*設定を編集*を選択します。
-
*除外*の下にある*ネームスペース*のチェックボックスをクリックして、*ネームスペース*フィールドを編集します。
-
ネームスペースの除外が完了したら、*保存*をクリックします。
|
新しいテンプレートをそのクラスターで有効にするには、ターゲットクラスターを更新する必要があります。値を変更せずにクラスターを編集して保存することで、更新をトリガーできます。 |