5.4. 승인 컨트롤러 적용 비활성화
RHACS(Red Hat Advanced Cluster Security for Kubernetes) 포털에서 클러스터 보기에서 승인 컨트롤러 적용을 비활성화할 수 있습니다.
절차
- RHACS 포털에서 플랫폼 구성 → 클러스터를 선택합니다.
- 목록에서 기존 클러스터를 선택합니다.
- 동적 구성 섹션에서 Enforce on Object Creates and Enforce on Object Updates 토글을 끕니다.
- 다음을 선택합니다.
- 완료 를 선택합니다.
5.4.1. 관련 정책 비활성화
관련 정책에 대해 시행을 끄면 승인 컨트롤러에서 시행을 건너뛰도록 지시할 수 있습니다.
절차
- RHACS 포털에서 플랫폼 구성 → 정책 으로 이동합니다.
기본 정책에 대한 적용을 비활성화합니다.
- 정책 보기에서 아래로 스크롤하여 Kubernetes Actions: Exec into Pod 정책 옆에 있는 전원 아이콘을 선택하여 해당 정책을 비활성화합니다.
- 정책 보기에서 아래로 스크롤하여 Kubernetes Actions: Port Forward to Pod 정책 옆에 있는 전원 아이콘을 선택하여 해당 정책을 비활성화합니다.
- 기본 Kubernetes Actions: Port Forward to Pod and Kubernetes Actions: Exec into Pod 정책의 기준을 사용하여 생성한 다른 사용자 지정 정책에 대한 적용을 비활성화합니다.
5.4.2. Webhook 비활성화
RHACS 포털의 클러스터 보기에서 승인 컨트롤러 적용을 비활성화할 수 있습니다.
웹 후크를 해제하여 승인 컨트롤러를 비활성화하는 경우 Sensor 번들을 재배포해야 합니다.
절차
- RHACS 포털에서 플랫폼 구성 → 클러스터로 이동합니다.
- 목록에서 기존 클러스터를 선택합니다.
- Enable Admission Controller Webhook를 정적 구성 섹션에서 exec 및 port-forward 이벤트 토글에서 수신 대기하도록 끕니다.
- 다음을 선택하여 센서 설정을 계속합니다.
- YAML 파일 및 키 다운로드를 클릭합니다.
모니터링된 클러스터에 액세스할 수 있는 시스템에서
센서스크립트를 압축 해제하고 실행합니다.$ unzip -d sensor sensor-<cluster_name>.zip
$ ./sensor/sensor.sh
참고센서를 배포하는 데 필요한 권한이 없다는 경고가 표시되면 화면의 지침을 따르거나 클러스터 관리자에게 문의하십시오.
센서가 배포되면 중앙에 연결되고 클러스터 정보를 제공합니다.
RHACS 포털로 돌아가서 배포에 성공했는지 확인합니다. 성공하면 녹색 확인 표시가 섹션 #2에 나타납니다. 녹색 확인 표시가 표시되지 않으면 다음 명령을 사용하여 문제를 확인합니다.
OpenShift Container Platform에서 다음을 수행합니다.
$ oc get pod -n stackrox -w
Kubernetes에서 다음을 수행합니다.
$ kubectl get pod -n stackrox -w
- 완료 를 선택합니다.
승인 컨트롤러를 비활성화하면 Kubernetes용 Red Hat Advanced Cluster Security가 ValidatingWebhookConfiguration 을 삭제하지 않습니다. 그러나 위반 요청을 확인하는 대신 모든 AdmissionReview 요청을 수락합니다.
ValidatingWebhookConfiguration 오브젝트를 제거하려면 보안 클러스터에서 다음 명령을 실행합니다.
OpenShift Container Platform에서 다음을 수행합니다.
$ oc delete ValidatingWebhookConfiguration/stackrox
Kubernetes에서 다음을 수행합니다.
$ kubectl delete ValidatingWebhookConfiguration/stackrox