Dieses Dokument wurde mithilfe automatisierter maschineller Übersetzungstechnologie übersetzt. Wir bemühen uns um korrekte Übersetzungen, übernehmen jedoch keine Gewähr für die Vollständigkeit, Richtigkeit oder Zuverlässigkeit der übersetzten Inhalte. Im Falle von Abweichungen ist die englische Originalversion maßgebend und stellt den verbindlichen Text dar.

Dies ist eine unveröffentlichte Dokumentation für Admission Controller 1.34-dev.

Notfall-Deaktivierung

In einem Notfall müssen die Betriebsteams möglicherweise Aktionen durchführen, die SUSE Security Admission Controller blockieren würde.

Dieses Dokument erklärt, wie man Admission Controller deaktiviert, damit die Betriebsteams Clusterfehler beheben können. Nachdem die Situation gelöst ist, können die Betriebsteams Admission Controller neu starten.

Deaktivieren Sie Admission Controller

Zuerst beenden Sie den Admission Controller-Controller. Sie tun dies, indem Sie dessen Implementierung auf null skalieren:

kubectl scale deployment kubewarden-controller \
  --replicas=0 \
  -n kubewarden

Stellen Sie sicher, dass Sie den Namen des Namespaces verwenden, in dem der Admission Controller-Stack bereitgestellt ist. Hier ist der Stack im kubewarden Namespace bereitgestellt.

Als nächstes löschen Sie alle ValidatingWebhookConfigurations und MutatingWebhookConfigurations, die von Admission Controller erstellt wurden:

# Delete all the ValidatingWebhookConfiguration created by {short-project-name}
kubectl delete validatingwebhookconfigurations \
  -l app.kubernetes.io/part-of=kubewarden

# Delete all the MutatingWebhookConfiguration created by {short-project-name}
kubectl delete mutatingwebhookconfigurations \
  -l app.kubernetes.io/part-of=kubewarden

Stellen Sie Admission Controller wieder her

Wenn der Notfall vorbei ist, stellen Sie den Admission Controller-Stack wieder her, indem Sie den Admission Controller-Controller zurückbringen:

kubectl scale deployment kubewarden-controller \
  --replicas=1 \
  -n kubewarden

  • Stellen Sie sicher, dass Sie den Namen des Namespaces verwenden, in dem der Admission Controller-Stack bereitgestellt ist. Hier ist der Stack im kubewarden Namespace bereitgestellt.

  • Stellen Sie sicher, dass Sie den Controller auf seinen ursprünglichen Wert zurückskalieren. Dieses Beispiel geht davon aus, dass nur eine Replik des Controllers läuft.

Sobald der Controller läuft, reconciliert er die bereitgestellten Richtlinien. Die ValidatingWebhookConfiguration- und MutatingWebhookConfiguration-Ressourcen, die zuvor gelöscht wurden, werden neu erstellt, wodurch die Richtlinien durchgesetzt werden.