5.2. 启用准入控制器强制
在安装 Sensor 或编辑现有集群配置时,您可以从 Clusters 视图中启用准入控制器强制。
流程
-
在 RHACS 门户中,进入 Platform Configuration
Clusters。 -
选择 Secure a cluster
Legacy 安装方法 从列表中选择现有集群或保护新集群。 - 如果要保护新集群,在 集群配置 面板的静态配置部分中,输入集群的详情。
- 如果您计划使用准入控制器在 对象创建事件上强制使用准入控制器,则红帽建议您只打开 Configure Admission Controller Webhook 来侦听 对象创建切换。
- 如果您计划使用准入控制器在更新事件时强制使用准入控制器,则红帽建议您只打开 Configure Admission Controller Webhook 来侦听对象更新 切换。
- 如果您计划使用准入控制器强制 pod 执行 和 pod 端口转发事件,红帽建议只打开 Enable Admission Controller Webhook 来侦听 exec 和 port-forward 事件切换。
在 Dynamic Configuration 部分中配置以下选项:
- 在对象创建时强制 :此切换控制准入控制服务的行为。您必须具有 Configure Admission Controller Webhook 来侦听 Object Creates 切换,才能使它正常工作。
- 在对象更新上强制 :此切换控制准入控制服务的行为。您必须具有 Configure Admission Controller Webhook 来侦听 Object Updates 切换,才能使它正常工作。
- 选择 Next。
在 Download files 部分中,选择 Download YAML 文件和密钥。
注意当为现有集群启用准入控制器时,请按照以下指导操作:
- 如果您在 Static Configuration 部分中进行任何更改,您必须下载 YAML 文件并重新部署 Sensor。
- 如果您在 Dynamic Configuration 部分中进行任何更改,您可以跳过下载文件和部署,因为 RHACS 会自动同步 Sensor 并应用更改。
- 选择 Finish。
验证
使用生成的 YAML 置备新集群后,运行以下命令验证准入控制器强制是否正确配置:
$ oc get ValidatingWebhookConfiguration 1
- 1
- 如果使用 Kubernetes,请输入
kubectl
而不是oc
。
输出示例
NAME CREATED AT stackrox 2019-09-24T06:07:34Z