4.2. 启用准入控制器强制

您可在安装 Sensor 或编辑现有集群配置时,从 Clusters 视图启用准入控制器强制。

流程

  1. 在 RHACS 门户,进入到 Platform ConfigurationClusters
  2. 从列表中选择现有集群,或者选择 + New Cluster
  3. 在集群配置面板中输入集群详情。
  4. 红帽建议,如果您计划使用准入控制器强制处理对象创建事件,则只打开 Configure Admission Controller Webhook 以侦听创建 切换。
  5. 红帽建议,如果您计划使用准入控制器强制强制处理 更新事件,则只打开 Configure Admission Controller Webhook 以侦听 更新切换。
  6. 红帽建议,如果您计划使用准入控制器强制强制处理 pod 执行 和 pod 端口转发事件,则只打开 Enable Admission Controller Webhook 以侦听 exec 和 port-forward 事件。
  7. 配置以下选项:

    • 对象 Creates 上强制实施 :这个切换控制准入控制服务的行为。您必须具有 Configure Admission Controller Webhook 才能监听 打开的 Create 切换才能正常工作。
    • 在对象更新 上强制实施 :此切换控制准入控制服务的行为。您必须具有 Configure Admission Controller Webhook 才能监听打开 updates 切换才能正常工作。
  8. 选择 Next
  9. Download files 部分中,选择 Download YAML Files and Keys

    注意

    在为现有集群启用准入控制器时,如果您对以下几项进行任何更改,

    • 静态配置 部分,您必须下载 YAML 文件并重新部署 Sensor。
    • 动态配置 部分,您可以跳过下载文件和部署,因为 Red Hat Advanced Cluster Security for Kubernetes 会自动同步 Sensor 并应用更改。
  10. 选择 Finish

验证

  • 在使用生成的 YAML 置备新集群后,运行以下命令验证是否正确配置了准入控制器强制:

    $ oc get ValidatingWebhookConfiguration 1
    1
    如果使用 Kubernetes,请输入 kubectl 而不是 oc

    输出示例

    NAME       CREATED AT
    stackrox   2019-09-24T06:07:34Z