4.4. 禁用准入控制器强制

您可以在 Red Hat Advanced Cluster Security for Kubernetes(RHACS)门户的 Clusters 视图中禁用准入控制器强制功能。

流程

  1. 在 RHACS 门户,选择 Platform ConfigurationClusters
  2. 从列表中选择现有集群。
  3. Dynamic Configuration 项中,关闭T Enforce on Object CreatesEnforce on Object Updates
  4. 选择 Next
  5. 选择 Finish

4.4.1. 禁用关联的策略

您可以在相关的策略中关闭强制实施,这将指示准入控制器跳过强制。

流程

  1. 在 RHACS 门户网站中,导航至 Platform ConfigurationPolicies

  2. 在默认策略中禁用强制:

    • 在策略视图中,向下滚动并选择 Kubernetes Actions: Exec into Pod 策略旁边的电源图标来禁用该策略。
    • 在策略视图中,向下滚动并选择 Kubernetes Actions: Port Forward to Pod 策略旁边的电源图标来禁用该策略。
  3. 在使用默认 Kubernetes Actions 中的条件创建的任何其他自定义策略中禁用强制: Port Forward to PodKubernetes Actions: Exec to Pod 策略。

4.4.2. 禁用 Webhook

您可以从 RHACS 门户上的 Clusters 视图禁用准入控制器强制。

重要

如果关闭 Webhook 来禁用准入控制器,您必须重新部署 Sensor 捆绑包。

流程

  1. 在 RHACS 门户,进入到 Platform ConfigurationClusters
  2. 从列表中选择现有集群。
  3. Static Configuration 项中关闭 Enable Admission Controller Webhook to listen on exec and port-forward events
  4. 选择 Next 以继续进行 Sensor setup。
  5. Download YAML File and Keys

  6. 在可以访问受监控的集群的系统中,解压缩并运行 sensor 脚本: 

    $ unzip -d sensor sensor-<cluster_name>.zip
    $ ./sensor/sensor.sh
    注意

    如果您收到一个您没有部署传感器所需的权限,请按照屏幕上的说明,或与集群管理员联系以获得帮助。

    部署完传感器后,它会联系中心并提供集群信息。

  7. 返回 RHACS 门户并检查部署是否成功。如果成功,则在 #2 部分中会出现一个绿色勾号。如果您没有看到绿色勾选标记,请使用以下命令检查问题:

    • 在 OpenShift Container Platform 中: 

      $ oc get pod -n stackrox -w

    • 对于 Kubernetes: 

      $ kubectl get pod -n stackrox -w
  8. 选择 Finish
注意

当您禁用准入控制器时,Red Hat Advanced Cluster Security for Kubernetes 不会删除 ValidatingWebhookConfiguration。但是,它接受所有 AdmissionReview 请求,而不是检查违反请求。

要删除 ValidatingWebhookConfiguration 对象,请在安全集群中运行以下命令:

  • 在 OpenShift Container Platform 中: 

    $ oc delete ValidatingWebhookConfiguration/stackrox

  • 对于 Kubernetes: 

    $ kubectl delete ValidatingWebhookConfiguration/stackrox