红帽全球峰会5.2. 启用准入控制器强制
安装 Sensor 或编辑现有集群配置时,您可以从 Clusters 视图启用准入控制器强制。
流程
-
在 RHACS 门户中,进入 Platform Configuration
Clusters。 -
从列表中选择一个现有集群,或者通过选择 Secure a cluster
Legacy installation method 来启动新的集群。 - 如果您要保护新集群,在集群配置面板的 Static Configuration 部分中,输入集群的详情。
- 如果您计划使用准入控制器在对象创建事件 上强制执行,红帽建议您只打开 Configure Admission Controller Webhook 来侦听 Object Creates 切换。
- 如果您计划使用准入控制器在更新事件时强制执行,红帽建议您只打开 Configure Admission Controller Webhook 来侦听 Object Updates 切换。
- 如果您计划使用准入控制器在 pod 执行 和 pod 端口转发事件上强制执行,红帽建议您只打开 Enable Admission Controller Webhook 来侦听 exec 和 port-forward 事件。
在 Dynamic Configuration 部分中配置以下选项:
- 在 Object Creates 上强制执行 :此切换控制准入控制服务的行为。您必须让 Configure Admission Controller Webhook 侦听 Object Creates 切换打开才能正常工作。
- 对 Object Updates 强制执行 :这会控制准入控制服务的行为。您必须打开 Configure Admission Controller Webhook 以侦听 Object Updates 切换,才能使它正常工作。
- 选择 Next。
在 Download files 部分中,选择 Download YAML 文件和密钥。
注意当为现有集群启用准入控制器时,请遵循以下指导:
- 如果您在 Static Configuration 部分中进行任何更改,则必须下载 YAML 文件并重新部署 Sensor。
- 如果您在 Dynamic Configuration 部分中进行任何更改,您可以跳过下载文件和部署,因为 RHACS 会自动同步 Sensor 并应用更改。
- 选择 "完成 "。
验证
使用生成的 YAML 置备新集群后,运行以下命令验证是否正确配置了准入控制器强制:
$ oc get ValidatingWebhookConfiguration 1- 1
- 如果使用 Kubernetes,请输入
kubectl而不是oc。
输出示例
NAME CREATED AT stackrox 2019-09-24T06:07:34Z
