第4章 受付コントローラーの適用の使用

手順

1. RHACS ポータルで、Platform Configuration Clusters に移動します。
2. 一覧から既存のクラスターを選択するか、+ New Cluster を選択します。
3. クラスター設定パネルで、クラスターの詳細を入力します。
4. Red Hat は、受付コントローラーを使用してオブジェクト作成イベントを適用することを計画している場合にのみ、Configure Admission Controller Webhook to listen on creates のトグルをオンにすることをお勧めします。
5. Red Hat は、受付コントローラーを使用して更新イベントを実行する予定の場合には Configure Admission Controller Webhook to listen on updates トグルをオンにすることを推奨します。
6. Red Hat は、受付コントローラーを使用して Pod 実行および Pod のポート転送イベントを強制することを予定している場合は、Enable Admission Controller Webhook to listen on exec and port-forward events トグルをオンにすることを推奨します。

7. 以下のオプションを設定します。

   • Enforce on Object Creates: このトグルでは、受付コントロールサービスの動作が制御されます。これを機能させるには、Configure Admission Controller Webhook to listen on creates トグルをオンにする必要があります。
   • Enforce on Object Updates: この切り替えにより、受付コントロールサービスの動作が制御されます。これを機能させるには、Configure Admission Controller Webhook to listen on updates トグルをオンにする必要があります。
8. Next を選択します。

9. Download files セクションで Download YAML Files and Keys を選択します。

   注記

   既存クラスターの受付コントローラーを有効にする場合は、以下の変更を加えます。

   • Static Configuration セクション。YAML ファイルをダウンロードし、Sensor を再デプロイする必要があります。
   • Dynamic Configuration セクション。Red Hat Advanced Cluster Security for Kubernetes が自動的に Sensor を同期して変更を適用するため、ファイルおよびデプロイメントのダウンロードを省略できます。
10. Finish を選択します。

手順

1. RHACS ポータルで、Platform Configuration Clusters に移動します。
2. 一覧から既存のクラスターを選択するか、+ New Cluster を選択します。
3. クラスター設定パネルで、クラスターの詳細を入力します。
4. Static Configuration セクションで Create Admission Controller Webhook トグルをオンにします。この設定は、Kubernetes または OpenShift Container Platform が AdmissionReview リクエストで Red Hat Advanced Cluster Security for Kubernetes に接続するように設定されているかどうかを制御します。

5. Red Hat は、受付コントローラーを使用して更新を実行する予定の場合には Configure Admission Controller Webhook to listen on updates トグルをオンにすることを推奨します。

   注記

   Configure Admission Controller Webhook to listen on updates オプションは、Red Hat Advanced Cluster Security for Kubernetes バージョン 3.0.41 以降でのみ使用できます。

   オフのままにすると、Red Hat Advanced Cluster Security for Kubernetes は、Kubernetes または OpenShift Container Platform API サーバーがオブジェクト更新イベントを送信しないように ValidatingWebhookConfiguration を作成します。オブジェクトの更新量は通常、オブジェクトが作成する量よりも多いため、これをオフのままにしておくと、アドミッションコントロールサービスの負荷が制限されます。

6. Dynamic Configuration セクションで Enable Admission Controller トグルをオンにします。この設定は、Red Hat Advanced Cluster Security for Kubernetes がポリシーを評価するかどうかを制御します。無効にすると、すべての AdmissionReview リクエストが自動的に受け入れられます。

7. 以下のオプションを設定します。

   • Enforce on Updates: この切り替えにより、受付コントロールサービスの動作が制御されます。これを機能させるには、Configure Admission Controller Webhook to listen on updates トグルをオンにする必要があります。

     注記

     Enforce on Updates オプションは、Red Hat Advanced Cluster Security for Kubernetes バージョン 3.0.41 以降でのみ利用できます。

   • タイムアウト: アドミッションレビューリクエストを評価する間、Red Hat Advanced Cluster Security for Kubernetes が待機する最大時間 (秒単位) です。これを使用して、イメージスキャンを有効にするときにリクエストのタイムアウトを設定します。イメージスキャンが指定された時間より長く実行される場合、Red Hat Advanced Cluster Security for Kubernetes はリクエストを受け入れます。イメージが該当するポリシーに違反している場合、他の強制オプション (デプロイをゼロレプリカにスケーリングするなど) は後で適用されます。
   • イメージスキャナーに連絡する: このトグルをオンにすると、イメージスキャンが有効になります。この切り替えを有効にする前に、イメージスキャンに関する情報を参照してください。
   • バイパス注釈の使用を無効にする: このトグルをオンにすると、アドミッションコントローラーのバイパスが無効になります。
8. Next を選択します。

9. Download files セクションで Download YAML Files and Keys を選択します。

   注記

   既存クラスターの受付コントローラーを有効にする場合は、以下の変更を加えます。

   • Static Configuration セクション。YAML ファイルをダウンロードし、Sensor を再デプロイする必要があります。
   • Dynamic Configuration セクション。Red Hat Advanced Cluster Security for Kubernetes が自動的に Sensor を同期して変更を適用するため、ファイルおよびデプロイメントのダウンロードを省略できます。
10. Finish を選択します。