5.5. ValidatingWebhookConfiguration YAML ファイルの変更

Red Hat Advanced Cluster Security for Kubernetes を使用すると、以下でセキュリティーポリシーを有効にできます。

  • オブジェクトの作成
  • オブジェクトの更新
  • Pod の実行
  • Pod ポート転送

Central または Sensor が利用できない場合

受付コントローラーを機能させるには、Sensor からの初期設定を機能させる必要があります。Kubernetes または OpenShift Container Platform はこの設定を保存し、すべての受付制御サービスレプリカが他のノードに再スケジュールされている場合でもアクセスできます。この初期設定が存在する場合には、受付コントローラーは設定済みのデプロイ時のポリシーをすべて適用します。

Sensor または Central が後に利用できなくなる場合:

  • イメージスキャンを実行したり、キャッシュされたイメージスキャンに関する情報をクエリーしたりすることはできません。ただし、受付コントローラーの適用は、収集された情報が不完全な場合でも、タイムアウトが期限切れになる前に収集されて利用可能な情報に基づいて引き続き機能します。
  • 変更が受付コントロールサービスに伝播されないため、RHACS ポータルから受付コントローラーを無効にしたり、既存のポリシーの適用を変更したりすることはできません。
注記

受付コントロールの適用を無効にする必要がある場合は、以下のコマンドを実行して検証用の Webhook 設定を削除できます。

  • OpenShift Container Platform

    $ oc delete ValidatingWebhookConfiguration/stackrox
  • Kubernetes の場合:

    $ kubectl delete ValidatingWebhookConfiguration/stackrox

受付コントローラーの信頼性の強化

Red Hat は、ワーカーノードではなく、コントロールプレーンで受付コントロールサービスをスケジュールすることを推奨します。デプロイメント YAML ファイルには、コントロールプレーンで実行するためのソフト設定が含まれていますが、これは適用されていません。

デフォルトでは、アドミッションコントロールサービスは 3 つのレプリカを実行します。信頼性を向上させるには、以下のコマンドを実行してレプリカを増やします。

$ oc -n stackrox scale deploy/admission-control --replicas=<number_of_replicas> 1
1
Kubernetes を使用する場合は、oc の代わりに kubectl を入力します。

roxctl CLI での使用

Sensor のデプロイメント YAML ファイルを生成する場合に、以下のオプションを使用できます。

  • --admission-controller-listen-on-updates: このオプションを使用すると、Red Hat Advanced Cluster Security for Kubernetes は、Kubernetes または OpenShift Container Platform API サーバーから更新イベントを受信するように事前に設定された ValidatingWebhookConfiguration を使用して Sensor バンドルを生成します。
  • --admission-controller-enforce-on-updates: このオプションを使用する場合に、Red Hat Advanced Cluster Security for Kubernetes は、受付コントローラーがセキュリティーポリシーオブジェクトの更新も実施するように Central を設定します。

これらのオプションは両方とも任意で、デフォルトは false です。