红帽全球峰会5.4. 禁用准入控制器强制
您可以在安装 RHACS 时禁用集群中的准入控制器强制。对于不使用 Operator 或 Helm 安装的集群,您可以从 Red Hat Advanced Cluster Security for Kubernetes (RHACS)门户上的 Clusters 视图中禁用准入控制器强制。
流程
-
对于使用 Operator 安装的集群,在
SecuredCluster自定义资源(CR)中,将spec.admissionControl.enforcement参数编辑为Disabled。 对于使用 Helm 安装的集群,在
values-public.yaml文件中,将admissionControl.enforce值设置为false,并运行以下命令:helm upgrade -n stackrox \ stackrox-secured-cluster-services rhacs/secured-cluster-services \ --reuse-values \ -f /config/yaml/values-public.yaml \ -f /config/yaml/values-private.yaml对于不是由 Operator 或 Helm 管理的集群,您可以使用 RHACS 门户更改此设置:
-
在 RHACS 门户中,选择 Platform Configuration
Clusters。 - 从列表中选择一个现有集群。
在 Dynamic configuration 部分中,在 Admission controller enforcement behavior 字段中选择以下选项之一:
- enforce 策略 :准入控制器通过拒绝工作负载准入或更新尝试来强制实施策略。
- 无强制:如果为策略配置了强制,如果选择了这个选项,则准入控制器不会强制执行策略,并允许违反策略的工作负载准入尝试或更新。
- 选择 Next。
- 选择 "完成 "。
-
在 RHACS 门户中,选择 Platform Configuration
5.4.1. 禁用关联的策略
您可以在相关策略上关闭强制,这指示准入控制器跳过强制。
流程
-
在 RHACS 门户中,进入 Platform Configuration
Policy Management。 在默认策略中禁用强制:
-
在 policies 视图中,找到 Kubernetes Actions: Exec into Pod 策略。点 overflow 菜单
,然后选择 Disable policy。
-
在 policies 视图中,找到 Kubernetes Actions: Port Forward to Pod 策略。点 overflow 菜单
,然后选择 Disable policy。
-
在 policies 视图中,找到 Kubernetes Actions: Exec into Pod 策略。点 overflow 菜单
- 使用来自默认 Kubernetes Actions: Port Forward to Pod 和 Kubernetes Actions: Exec into Pod 策略中的条件来在禁用您所创建的任何自定义策略的强制。
5.4.2. 禁用 Webhook
您可以从 RHACS 门户中的 Clusters 视图禁用准入控制器强制。
如果通过关闭 Webhook 禁用准入控制器,您必须重新部署 Sensor 捆绑包。
流程
-
在 RHACS 门户中,进入 Platform Configuration
Clusters。 - 从列表中选择一个现有集群。
- 在 Static Configuration 项中关闭 Enable Admission Controller Webhook to listen on exec and port-forward events。
- 选择 Next 以继续 Sensor 设置。
- 点 Download YAML file and keys。
从可访问被监控的集群的系统中,提取并运行
传感器脚本:$ unzip -d sensor sensor-<cluster_name>.zip$ ./sensor/sensor.sh注意如果您收到部署传感器所需的权限的警告,请按照屏幕说明操作,或联系您的集群管理员寻求帮助。
部署传感器后,它会联系中心并提供集群信息。
返回 RHACS 门户并检查部署是否成功。如果成功,则在 #2 部分中会出现一个绿色勾号。如果您没有看到绿色勾选标记,请使用以下命令检查问题:
在 OpenShift Container Platform 中:
$ oc get pod -n stackrox -w对于 Kubernetes:
$ kubectl get pod -n stackrox -w
- 选择 "完成 "。
当您禁用准入控制器时,RHACS 不会删除 ValidatingWebhookConfiguration 参数。但是,它不会检查违反情况的请求,而是接受所有 AdmissionReview 请求。
要删除 ValidatingWebhookConfiguration 对象,请在安全集群中运行以下命令:
在 OpenShift Container Platform 中:
$ oc delete ValidatingWebhookConfiguration/stackrox对于 Kubernetes:
$ kubectl delete ValidatingWebhookConfiguration/stackrox
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}