|
Dieses Dokument wurde mithilfe automatisierter maschineller Übersetzungstechnologie übersetzt. Wir bemühen uns um korrekte Übersetzungen, übernehmen jedoch keine Gewähr für die Vollständigkeit, Richtigkeit oder Zuverlässigkeit der übersetzten Inhalte. Im Falle von Abweichungen ist die englische Originalversion maßgebend und stellt den verbindlichen Text dar. |
|
Dies ist eine unveröffentlichte Dokumentation für Admission Controller 1.34-dev. |
Air Gap-Installation mit Hauler
Dieser Leitfaden zeigt Ihnen, wie Sie SUSE Security Admission Controller in Air Gap-Umgebungen mit Hauler installieren. Hauler ist ein Tool, das Benutzern hilft, Workloads in Air Gap-Umgebungen auszuführen. Es bewegt die erforderlichen Ressourcen für Apps in diese Air Gap-Umgebungen.
Admission Controller stellt eine Manifestdatei mit allen erforderlichen Ressourcen zur Verfügung, um Admission Controller in einer privaten Umgebung auszuführen. Diese Dokumentation beschreibt, wie Sie es verwenden können. Konsultieren Sie die Hauler-Dokumentation, um mehr darüber zu erfahren.
Der grundlegende Arbeitsablauf mit dem Hauler-Manifest ist:
-
Holen Sie es von einer Admission Controller-Release-Seite
-
Laden Sie alle Ressourcen, die erforderlich sind, um Admission Controller auszuführen, in einen lokalen Speicher
-
Exportieren Sie sie in eine Datei
-
Bewegen Sie die Datei in die private Umgebung
-
Laden Sie die Ressourcen in Hauler, das in der privaten Umgebung läuft
-
Kopieren Sie alles in das Registry, um es im Installationsprozess in Ihrer Air Gap-Umgebung zu verwenden.
Laden Sie das Hauler-Manifest von der Helm-Chart-Release-Seite herunter
Laden Sie hauler_manifest.yml von der Admission Controller Release-Seite herunter.
Synchronisieren Sie die im Manifest definierten Ressourcen mit Ihrem Hauler-Speicher:
hauler store sync --filename hauler_manifest.yamlDer Hauler lädt alle Ressourcen aus dem Manifest in den lokalen Speicher herunter. Dieser Prozess dauert einige Minuten. Wenn der Vorgang abgeschlossen ist, können Sie die synchronisierten Ressourcen mit dem hauler store info Befehl sehen.
Generieren Sie die TAR-Datei mit allen Admission Controller Ressourcen.
Führen Sie den Hauler-Befehl aus, um alle zuvor im Speicher geladenen Ressourcen in eine Datei zu exportieren:
hauler store save --filename kubewarden-resources.tar.zst|
Admission Controller Containerbilder unterstützen die Architekturen x86_64 und ARM. Daher können Sie, wenn Sie die Ressource in die Datei speichern, Warnmeldungen wie diese sehen: Um diese Warnmeldung zu vermeiden, können Sie das |
Übertragen Sie die TAR-Datei in Ihre isolierte Umgebung.
Jetzt, da Sie alle Admission Controller Ressourcen in kubewarden-resources.tar.zst haben, kopieren Sie es in Ihre Air Gap-Umgebung und laden Sie es dort in den Hauler-Speicher:
hauler store load --filename kubewarden-resources.tar.zst
# Check if the resources are loaded
hauler store infoJetzt sind alle Ressourcen, die zur Installation von Admission Controller erforderlich sind, im Hauler-Speicher in Ihrer isolierten Umgebung.
Private Registry befüllen
Um die Ressourcen aus Ihrem Hauler-Speicher zu verwenden, ist es notwendig, sie im internen Registry verfügbar zu machen. Sie können Hauler-Befehle verwenden, um sie in Ihr privates Registry zu kopieren.
hauler store copy registry://localhost:5000Sie können auch Hauler ausführen, um ein privates Registry mit allen Ressourcen aus dem Speicher zu starten. Dieses Registry ist unsicher, und Sie müssen die Clusterkonfiguration anpassen:
# Find IP address of your host
# hostname -I
# Update registries.yaml for k3s based cluster to allow insecure access
# mirrors:
# "<HOST_IP>:5000":
# endpoint:
# - "http://<HOST_IP>:5000"
# configs:
# "<HOST_IP>:5000":
# tls:
# insecure_skip_verify: true
# Configure policy-server to allow pulling policies from insecure sources
# helm install .. kubewarden-defaults .. --set policyServer.insecureSources[0]=<HOST_IP:5000>
hauler store serve registryDies startet ein privates Registry unter der Adresse localhost:5000. Von diesem Punkt an können Sie andere Befehle wie Skopeo verwenden, um alle Containerbilder, Richtlinienmodule und Helm-Charts, die von Admission Controller verwendet werden, in Ihr privates Registry zu kopieren.
Installieren Sie Admission Controller
Jetzt, da Ihr privates Registry alles Erforderliche hat, können Sie Admission Controller installieren. Der Unterschied zu einer Standardinstallation von Admission Controller besteht darin, dass Sie das Registry in den Containerbildern und Richtlinien auf das private Registry ändern müssen. Zusätzlich müssen Sie die Helm-Charts aus OCI-Artefakten installieren.
Installieren Sie den Admission Controller Stack:
helm install --wait -n kubewarden kubewarden-crds --create-namespace \
oci://<REGISTRY.YOURDOMAIN.COM:PORT>/hauler/kubewarden-crds
helm install --wait -n kubewarden kubewarden-controller \
--set "global.cattle.systemDefaultRegistry=<REGISTRY.YOURDOMAIN.COM:PORT>" \
oci://<REGISTRY.YOURDOMAIN.COM:PORT>/hauler/kubewarden-controller|
Um das im Es ist notwendig, |
helm install --wait -n kubewarden \
kubewarden-defaults oci://<REGISTRY.YOURDOMAIN.COM:PORT>/hauler/kubewarden-defaults \
--set global.cattle.systemDefaultRegistry=<REGISTRY.YOURDOMAIN.COM:PORT>Schließlich konfigurieren Sie jeden Policy Server, um Richtlinien aus Ihrem privaten Registry abzurufen. Bitte beachten Sie den Abschnitt Verwendung des privaten Registry der Dokumentation.
Jetzt erstellen Sie Admission Controller Richtlinien in Ihrem Cluster. Richtlinien müssen in Ihrem privaten Registry verfügbar sein.
kubectl apply -f - <<EOF
apiVersion: policies.kubewarden.io/v1
kind: ClusterAdmissionPolicy
metadata:
name: privileged-pods
spec:
module: registry://<REGISTRY.YOURDOMAIN.COM:PORT>/kubewarden/policies/pod-privileged:v0.2.2
rules:
- apiGroups: [""]
apiVersions: ["v1"]
resources: ["pods"]
operations:
- CREATE
mutating: false
EOF|
|