4.2. 启用准入控制器强制
您可在安装 Sensor 或编辑现有集群配置时,从 Clusters 视图启用准入控制器强制。
流程
- 在 RHACS 门户,进入到 Platform Configuration → Clusters。
- 从列表中选择现有集群,或者选择 + New Cluster。
- 在集群配置面板中输入集群详情。
- 红帽建议,如果您计划使用准入控制器强制处理对象创建事件,则只打开 Configure Admission Controller Webhook 以侦听创建 切换。
- 红帽建议,如果您计划使用准入控制器强制强制处理 更新事件,则只打开 Configure Admission Controller Webhook 以侦听 更新切换。
- 红帽建议,如果您计划使用准入控制器强制强制处理 pod 执行 和 pod 端口转发事件,则只打开 Enable Admission Controller Webhook 以侦听 exec 和 port-forward 事件。
配置以下选项:
- 在 对象 Creates 上强制实施 :这个切换控制准入控制服务的行为。您必须具有 Configure Admission Controller Webhook 才能监听 打开的 Create 切换才能正常工作。
- 在对象更新 上强制实施 :此切换控制准入控制服务的行为。您必须具有 Configure Admission Controller Webhook 才能监听打开 updates 切换才能正常工作。
- 选择 Next。
在 Download files 部分中,选择 Download YAML Files and Keys。
注意在为现有集群启用准入控制器时,如果您对以下几项进行任何更改,
- 静态配置 部分,您必须下载 YAML 文件并重新部署 Sensor。
- 动态配置 部分,您可以跳过下载文件和部署,因为 Red Hat Advanced Cluster Security for Kubernetes 会自动同步 Sensor 并应用更改。
- 选择 Finish。
验证
在使用生成的 YAML 置备新集群后,运行以下命令验证是否正确配置了准入控制器强制:
$ oc get ValidatingWebhookConfiguration 1
- 1
- 如果使用 Kubernetes,请输入
kubectl
而不是oc
。
输出示例
NAME CREATED AT stackrox 2019-09-24T06:07:34Z