5.4. 禁用准入控制器强制
您可以从 Red Hat Advanced Cluster Security for Kubernetes (RHACS)门户上的 Clusters 视图禁用准入控制器强制。
流程
-
在 RHACS 门户中,选择 Platform Configuration
Clusters。 - 从列表中选择现有集群。
- 在 Dynamic Configuration 项中,关闭T Enforce on Object Creates 和 Enforce on Object Updates。
- 选择 Next。
- 选择 Finish。
5.4.1. 禁用关联的策略
您可以在相关策略上关闭强制,该策略会指示准入控制器跳过强制。
流程
-
在 RHACS 门户中,进入 Platform Configuration
Policy Management。 在默认策略中禁用强制:
- 在 policies 视图中,找到 Kubernetes Actions: Exec into Pod 策略。点 overflow 菜单 ,然后选择 Disable policy。
- 在 policies 视图中,找到 Kubernetes Actions: Port Forward to Pod 策略。点 overflow 菜单 ,然后选择 Disable policy。
- 使用来自默认 Kubernetes Actions: Port Forward to Pod 和 Kubernetes Actions: Exec into Pod 策略中的条件来在禁用您所创建的任何自定义策略的强制。
5.4.2. 禁用 Webhook
您可以从 RHACS 门户中的 Clusters 视图禁用准入控制器强制。
如果通过关闭 webhook 来禁用准入控制器,您必须重新部署 Sensor 捆绑包。
流程
-
在 RHACS 门户中,进入 Platform Configuration
Clusters。 - 从列表中选择现有集群。
- 在 Static Configuration 项中关闭 Enable Admission Controller Webhook to listen on exec and port-forward events。
- 选择 Next 以继续 Sensor 设置。
- 点 Download YAML 文件和密钥。
在可以访问被监控的集群的系统中,提取并运行
传感器
脚本:$ unzip -d sensor sensor-<cluster_name>.zip
$ ./sensor/sensor.sh
注意如果您收到没有部署传感器所需的权限的警告,请按照屏幕上的说明操作,或联系您的集群管理员寻求帮助。
部署传感器后,它会联系中心并提供集群信息。
返回 RHACS 门户并检查部署是否成功。如果成功,则在 #2 部分中会出现一个绿色勾号。如果您没有看到绿色勾选标记,请使用以下命令检查问题:
在 OpenShift Container Platform 中:
$ oc get pod -n stackrox -w
对于 Kubernetes:
$ kubectl get pod -n stackrox -w
- 选择 Finish。
当您禁用准入控制器时,RHACS 不会删除 ValidatingWebhookConfiguration
参数。但是,它不接受所有 AdmissionReview
请求,而不是检查违反情况的请求。
要删除 ValidatingWebhookConfiguration
对象,请在安全集群中运行以下命令:
在 OpenShift Container Platform 中:
$ oc delete ValidatingWebhookConfiguration/stackrox
对于 Kubernetes:
$ kubectl delete ValidatingWebhookConfiguration/stackrox