Dieses Dokument wurde mithilfe automatisierter maschineller Übersetzungstechnologie übersetzt. Wir bemühen uns um korrekte Übersetzungen, übernehmen jedoch keine Gewähr für die Vollständigkeit, Richtigkeit oder Zuverlässigkeit der übersetzten Inhalte. Im Falle von Abweichungen ist die englische Originalversion maßgebend und stellt den verbindlichen Text dar.

Dies ist eine unveröffentlichte Dokumentation für Admission Controller 1.34-dev.

Verwalten von SUSE Security Admission Controller mit Rancher Fleet

Sie können SUSE Security Admission Controller Helm-Charts, wie andere Helm-Charts, mit Rancher Fleet verwalten. Rancher Fleet verwendet Kubernetes CRDs, um einen GitOps-Ansatz zur Verwaltung von Kubernetes-Clustern zu definieren. Dies geschieht durch die Definition von Fleet Bundles.

Installieren

Die Admission Controller Charts sind Standard-Charts, sie hängen transitiv voneinander ab:

kubewarden-crds ← kubewarden-controller ← kubewarden-defaults

Siehe die Quickstart-Dokumentation für weitere Informationen.

Mit Rancher Fleet können Sie die Chart-Abhängigkeiten mit dependsOn in der fleet.yaml Datei codieren.

Sie können vorübergehende Fehler sehen, bis die Charts bereit sind, wie zum Beispiel:

ErrApplied(1) [Cluster fleet-local/local: dependent bundle(s) are not ready:
[kubewarden-example-helm-kubewarden-controller]]

Diese Fehler bedeuten kein Problem, und sobald die Charts bereitgestellt sind, erscheinen sie nicht mehr.

Entfernen

Beim Entfernen des GitRepo werden alle 3 Admission Controller Charts auf einmal entfernt. Das bedeutet, dass das kubewarden-crds Chart entfernt wird.

Admission Controller verwendet einen Pre-Delete Helm Hook Job im kubewarden-controller Chart, der den Standard-Policy-Server löscht. Dieser Pre-Delete Hook ist notwendig, um die Webhooks der Richtlinien vor dem Löschen des PolicyServers freizugeben. Das gilt für jede Policy Engine. Andernfalls könnte der Cluster Webhooks für Richtlinien haben, die nicht mehr existieren, sodass alles abgelehnt wird und sich in einem fehlerhaften Zustand befindet.

Das Entfernen des GitRepo und damit des kubewarden-crds Charts zur gleichen Zeit wie das kubewarden-controller Chart führt dazu, dass der Pre-Delete-Hook-Job fehlschlägt. Das bedeutet, dass die Entfernung unvollständig ist und "Trümmer" im Cluster zurückbleiben.

Das automatische Deinstallieren von CRDs wird normalerweise von keinem Tool unterstützt, und Rancher Fleet ist da keine Ausnahme.

Um eine korrekte Entfernung durchzuführen, stellen Sie sicher, dass Sie zuerst das Bundle für kubewarden-defaults aus dem Cluster entfernen. Tun Sie dies, indem Sie diese Änderungen in das Repository, das die Fleet-Konfiguration enthält, einpflegen und dann warten, bis es angewendet wird. Entfernen Sie dann kubewarden-controller auf die gleiche Weise und zuletzt kubewarden-crds.

Eine weitere Möglichkeit besteht darin, 2 GitRepos hinzuzufügen, eines nur für die CRDs und ein weiteres für den Rest der Admission Controller Charts. Dies ermöglicht es Ihnen, die Admission Controller Charts zuerst und die Admission Controller CRDs zuletzt zu entfernen.

Beispiel

Für ein Beispiel von Fleet-Bundle-Definitionen siehe github.com/kubewarden/fleet-example.