特長 | メリット |
大規模なクラスタ設定管理 | Open Cluster Management プロジェクトを活用することで、フリート全体でのクラスタの望ましい設定および状態の管理と監視が容易になります。 「通知」モードを使用して望ましい制御からの構成ドリフトを検出し、「適用」モードでそれらの制御を継続的に実装し、維持します。 |
Policy-as-Code 設計による GitOps 対応 | Kubernetes CustomResourceDefinition (CRD) パターンを利用すると、ポリシーを宣言的に定義し、OpenShift GitOps (Argo CD) などのツールを使用して git ワークフローと自然に統合することができます。 Open Cluster Management ポリシーの「ヘルスチェック」が事前定義されているため、Argo CD はポリシー違反のステータスをインテリジェントに把握し、Argo CD ダッシュボードにネイティブに表示します。 |
柔軟なマルチクラスタ・デプロイメントのオプション | RHACM のポリシーフレームワークは、ポリシーカスタムリソースを介して配置基準に一致するクラスタにポリシーをデプロイする、継続的デリバリー (CD) メカニズムを提供します。 Argo CD などの既存のデリバリーツールがすでに導入されている場合は、ツールやプロセスを変更することなく、ポリシーを既存のワークフローに統合してクラスタにデプロイできます。 |
ルックアップとテンプレート化による動的なランタイム設定 | 設定によっては、固有のクラスタ値や特性が必要になる場合や、クラスタの状態に基づいて動的に適応する必要がある場合があります。 ルックアップによって、クラスタ名、シークレット値など、クラスタ内の他の値を簡単に参照できます。テンプレート化では、条件などを使用し、設定の独自のニーズに合わせて、高度にカスタマイズ可能なロジックを作成できます。
ルックアップとテンプレート化により、クラスタの特性、クラスタまたはデプロイされたソフトウェアのバージョン、環境などが変化したことで管理が必要になるリソースマニフェストの数を大幅に削減し、単純化することができます。 |
ハブからスポークへのシークレット、ConfigMap、その他の設定の同期 | テンプレート化されたポリシーとその基盤となる暗号化 (シークレット機能と保護機能による) を使用して、ハブから管理対象クラスタへのコンテンツの配信および実行のセキュリティを強化します。 |
Operator ライフサイクル管理 (OLM) | OperatorPolicy (単一の統合 API) を使用して、フリート全体の OLM Operator のライフサイクルを宣言的に管理します。Operator のヘルスステータスを統合し、問題を迅速に検出します。「手動」モードでデプロイされた Operator にも GitOps 対応の API を提供し、アップグレードの制御性を高める Operator のインストール計画を宣言的に管理します。 |
アドミッションとミューテーションの制御 | Operator のフリートへのデプロイを可能にする Open Policy Agent (OPA) Gatekeeper を完全にサポートします。フリート全体で Gatekeeper の制御を開始して、さまざまな OPA の制御を適用します。すべての Gatekeeper ポリシーの違反を一元的に表示し、ドリルダウンできます。 |
証明書の問題の検出 | CertificatePolicy を使用して、期限が近づいている証明書、有効期間が長すぎる証明書、または指定されたパターンに一致しない DNS 名を含む証明書を検出します。 |
すぐに使えるポリシーのカスタマイズ | 事前構築済みのポリシーテンプレートを使用して、Kubernetes 構成 (etcd 暗号化など)、ID およびアクセス管理 (IAM)、証明書管理に対するポリシーを適用し、コンプライアンス Operator、Gatekeeper/OPA、コンテナセキュリティ Operator などの Operator をクラスタ全体に展開し、設定します。オープンソースのポリシー・コレクション・リポジトリを使用して、GitOps を介してポリシーベースのガバナンスを実装し、内外の標準に準拠します。 Policy Generator を使用してポリシーを自動生成し、既存の Kubernetes 構成、Gatekeeper、Kyverno のポリシーから OpenShift GitOps を介してデプロイできるようにします。 |
可観測性ツールとの統合 | ポリシーは関連する Prometheus メトリクスを生成します。これにより、カスタマイズされた Grafana ダッシュボードの作成やアラートツールへの接続など、可観測性ツールとの信頼性の高い統合が可能になり、SRE ワークフローに自然に適合します。 |
Ansible Automation Platform との統合 | Ansible Automation Platform と Red Hat Advanced Cluster Management の統合を使用することで、違反状態の修復を自動化し、クラスタに関する監査情報を収集して分析することで、Red Hat Advanced Cluster Management によって検出されたポリシー違反に対するプロアクティブな対策を促進できます。 |
Red Hat OpenShift Platform Plus ポリシーセット | Red Hat Advanced Cluster Management コンソールを使用してハブと管理対象クラスタ全体で一貫して OpenShift Platform Plus コンポーネントをデプロイし、Policy Generator で策定したポリシーセットを作成することで、統合エクスペリエンスが得られます。 |
ポリシー CLI | ポリシーのローカル開発を改善するには、policytools CLI によってルックアップ機能とテンプレート化機能を使用するポリシーの動作をより簡単に作成し、ローカルでテストします。 |
単純化されたポリシー管理エクスペリエンス | ガバナンスのダッシュボードを使用して、すべてのクラスタとアプリケーションのセキュリティリスクとポリシー違反を表示し、管理します。違反履歴の詳細を取得します。Red Hat Advanced Cluster Management ハブから管理対象クラスタの詳細に一元的にアクセスすることで、違反の詳細を調査します。 PolicySets を使用して、特定の目的 (例:Red Hat OpenShift Platform Plus のデプロイ、Red Hat Advanced Cluster Management の強化、管理対象クラスタ強化、Gatekeeper ポリシーのグループ化、PCIStoreFront、HIPAA バックエンド) のためのポリシーをグループ化します。これにより、クラスタのポリシーまたはポリシーセットを大規模に整理、管理、適用する際の使いやすさが向上します。この機能を使用するための出発点として、GitOps を通じて事前設定済みのポリシーセットを入手できます。 さまざまなコンプライアンス基準に対するポリシーと、ガバナンス・ダッシュボードのビュー、および特定の基準について最も影響を受けるコントロールのビューをカスタマイズできます。 |
複数のポリシーエンジンに対応する自動ポリシー検出とユーザーエクスペリエンス | Red Hat Advanced Cluster Management Governance ダッシュボードは、Open Cluster Management や Open Policy Agent Gatekeeper などの複数のポリシーエンジンからデプロイされたポリシーを自動的に検出します。 |
