4.5. ValidatingWebhookConfiguration YAML 文件更改

使用 Red Hat Advanced Cluster Security for Kubernetes，您可以考虑以下安全策略：

准入控制器需要来自 Sensor 的初始配置才能工作。Kubernetes 或 OpenShift Container Platform 保存此配置，即使所有准入服务副本都重新调度到其他节点，它也仍可访问。如果存在此初始配置，准入控制器会强制执行所有配置的 deploy-time 策略。

如果 Sensor 或 Central 不可用：

注意

如果需要禁用准入控制强制，您可以通过运行以下命令来删除验证 Webhook 配置：

在 OpenShift Container Platform 中：

oc delete ValidatingWebhookConfiguration/stackrox

$ oc delete ValidatingWebhookConfiguration/stackrox

Copy to Clipboard

Toggle word wrap

对于 Kubernetes：

kubectl delete ValidatingWebhookConfiguration/stackrox

$ kubectl delete ValidatingWebhookConfiguration/stackrox

Copy to Clipboard

Toggle word wrap

红帽建议您在 control plane 上调度准入 control 服务，而不是 worker 节点上。部署 YAML 文件包含用于在 control plane 上运行的软首选项，但不强制使用。

默认情况下，准入控制服务运行 3 个副本。要提高可靠性，您可以运行以下命令来提高副本：

oc -n stackrox scale deploy/admission-control --replicas=<number_of_replicas>

$ oc -n stackrox scale deploy/admission-control --replicas=<number_of_replicas>

Copy to Clipboard

Toggle word wrap

在您生成 Sensor 部署 YAML 文件时，您可以使用以下选项：

--admission-controller-listen-on-updates ：如果您使用这个选项，Red Hat Advanced Cluster Security for Kubernetes 会生成带有 ValidatingWebhookConfiguration 的 Sensor 捆绑包，以接收来自 Kubernetes 或 OpenShift Container Platform API 服务器的更新事件。
--admission-controller-enforce-on-updates: 如果您使用这个选项，Red Hat Advanced Cluster Security for Kubernetes 配置中央，使得准入控制器也强制执行安全策略对象更新。

这两个选项都是可选的，默认情况下为 false。

返回顶部