4.4. 禁用准入控制器强制
您可以在 Red Hat Advanced Cluster Security for Kubernetes(RHACS)门户的 Clusters 视图中禁用准入控制器强制功能。
流程
- 在 RHACS 门户,选择 Platform Configuration → Clusters。
- 从列表中选择现有集群。
- 在 Dynamic Configuration 项中,关闭T Enforce on Object Creates 和 Enforce on Object Updates。
- 选择 Next。
- 选择 Finish。
4.4.1. 禁用关联的策略
您可以在相关的策略中关闭强制实施,这将指示准入控制器跳过强制。
流程
- 在 RHACS 门户网站中,导航至 Platform Configuration → Policies。
在默认策略中禁用强制:
- 在策略视图中,向下滚动并选择 Kubernetes Actions: Exec into Pod 策略旁边的电源图标来禁用该策略。
- 在策略视图中,向下滚动并选择 Kubernetes Actions: Port Forward to Pod 策略旁边的电源图标来禁用该策略。
- 在使用默认 Kubernetes Actions 中的条件创建的任何其他自定义策略中禁用强制: Port Forward to Pod 和 Kubernetes Actions: Exec to Pod 策略。
4.4.2. 禁用 Webhook
您可以从 RHACS 门户上的 Clusters 视图禁用准入控制器强制。
如果关闭 Webhook 来禁用准入控制器,您必须重新部署 Sensor 捆绑包。
流程
- 在 RHACS 门户,进入到 Platform Configuration → Clusters。
- 从列表中选择现有集群。
- 在 Static Configuration 项中关闭 Enable Admission Controller Webhook to listen on exec and port-forward events。
- 选择 Next 以继续进行 Sensor setup。
- 点 Download YAML File and Keys。
在可以访问受监控的集群的系统中,解压缩并运行
sensor
脚本:$ unzip -d sensor sensor-<cluster_name>.zip
$ ./sensor/sensor.sh
注意如果您收到一个您没有部署传感器所需的权限,请按照屏幕上的说明,或与集群管理员联系以获得帮助。
部署完传感器后,它会联系中心并提供集群信息。
返回 RHACS 门户并检查部署是否成功。如果成功,则在 #2 部分中会出现一个绿色勾号。如果您没有看到绿色勾选标记,请使用以下命令检查问题:
在 OpenShift Container Platform 中:
$ oc get pod -n stackrox -w
对于 Kubernetes:
$ kubectl get pod -n stackrox -w
- 选择 Finish。
当您禁用准入控制器时,Red Hat Advanced Cluster Security for Kubernetes 不会删除 ValidatingWebhookConfiguration
。但是,它接受所有 AdmissionReview
请求,而不是检查违反请求。
要删除 ValidatingWebhookConfiguration
对象,请在安全集群中运行以下命令:
在 OpenShift Container Platform 中:
$ oc delete ValidatingWebhookConfiguration/stackrox
对于 Kubernetes:
$ kubectl delete ValidatingWebhookConfiguration/stackrox