Red Hat Summit5.4. 승인 컨트롤러 적용 비활성화
RHACS(Red Hat Advanced Cluster Security for Kubernetes) 포털의 Clusters 보기에서 승인 컨트롤러 시행을 비활성화할 수 있습니다.
프로세스
-
RHACS 포털에서 플랫폼 구성
클러스터를 선택합니다. - 목록에서 기존 클러스터를 선택합니다.
- 동적 구성 섹션에서 Object Creates 및 Enforce on Object Updates 토글을 끕니다.
- 다음을 선택합니다.
- 완료 를 선택합니다.
5.4.1. 연결된 정책 비활성화
관련 정책에 대한 적용 기능을 끄면 승인 컨트롤러가 적용 사항을 건너뛰도록 지시할 수 있습니다.
프로세스
-
RHACS 포털에서 플랫폼 구성
정책 관리로 이동합니다. 기본 정책에서 적용을 비활성화합니다.
-
정책 보기에서 Kubernetes 작업: Exec into Pod 정책을 찾습니다. 오버플로 메뉴
를 클릭한 다음 정책 비활성화 를 선택합니다.
-
정책 보기에서 Kubernetes 작업: Pod로 전달 포트 정책을 찾습니다. 오버플로 메뉴
를 클릭한 다음 정책 비활성화 를 선택합니다.
-
정책 보기에서 Kubernetes 작업: Exec into Pod 정책을 찾습니다. 오버플로 메뉴
- 기본 Kubernetes 동작의 기준을 사용하여 생성한 다른 사용자 정의 정책에 대한 적용(포드 및 Kubernetes 작업으로 전달: Pod 정책으로 실행) 을 비활성화합니다.
5.4.2. Webhook 비활성화
RHACS 포털의 클러스터 보기에서 승인 컨트롤러 시행을 비활성화할 수 있습니다.
Webhook를 해제하여 승인 컨트롤러를 비활성화하는 경우 센서 번들을 다시 배포해야 합니다.
프로세스
-
RHACS 포털에서 플랫폼 구성
클러스터로 이동합니다. - 목록에서 기존 클러스터를 선택합니다.
- Enable Admission Controller Webhook to listen on exec and port-forward events toggles on the Static Configuration 섹션에서 수신 대기합니다.
- 다음을 선택하여 센서 설정을 계속합니다.
- YAML 파일 및 키 다운로드를 클릭합니다.
모니터링된 클러스터에 액세스할 수 있는 시스템에서
센서스크립트를 추출하고 실행합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow unzip -d sensor sensor-<cluster_name>.zip
$ unzip -d sensor sensor-<cluster_name>.zipCopy to Clipboard Copied! Toggle word wrap Toggle overflow ./sensor/sensor.sh
$ ./sensor/sensor.sh참고센서를 배포하는 데 필요한 권한이 없다는 경고가 표시되면 화면의 지침을 따르거나 클러스터 관리자에게 도움을 요청하십시오.
센서가 배포되면 Central에 연결하여 클러스터 정보를 제공합니다.
RHACS 포털로 돌아가서 배포가 완료되었는지 확인합니다. 성공하면 섹션 #2에 녹색 확인 표시가 표시됩니다. 녹색 확인 표시가 표시되지 않는 경우 다음 명령을 사용하여 문제를 확인합니다.
OpenShift Container Platform에서 다음을 수행합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow oc get pod -n stackrox -w
$ oc get pod -n stackrox -wKubernetes에서 다음을 수행합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow kubectl get pod -n stackrox -w
$ kubectl get pod -n stackrox -w
- 완료 를 선택합니다.
승인 컨트롤러를 비활성화하면 RHACS에서 ValidatingWebhookConfiguration 매개변수를 삭제하지 않습니다. 그러나 위반 요청을 확인하는 대신 모든 AdmissionReview 요청을 수락합니다.
ValidatingWebhookConfiguration 오브젝트를 제거하려면 보안 클러스터에서 다음 명령을 실행합니다.
OpenShift Container Platform에서 다음을 수행합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow oc delete ValidatingWebhookConfiguration/stackrox
$ oc delete ValidatingWebhookConfiguration/stackroxKubernetes에서 다음을 수행합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow kubectl delete ValidatingWebhookConfiguration/stackrox
$ kubectl delete ValidatingWebhookConfiguration/stackrox
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}