Este documento foi traduzido usando tecnologia de tradução automática de máquina. Sempre trabalhamos para apresentar traduções precisas, mas não oferecemos nenhuma garantia em relação à integridade, precisão ou confiabilidade do conteúdo traduzido. Em caso de qualquer discrepância, a versão original em inglês prevalecerá e constituirá o texto official.

Esta é uma documentação não divulgada para Admission Controller 1.34-dev.

Gerenciando SUSE Security Admission Controller com Rancher Fleet

Você pode gerenciar gráficos Helm SUSE Security Admission Controller, como outros gráficos Helm, com Rancher Fleet. Rancher Fleet usa CRDs do Kubernetes para definir uma abordagem GitOps para gerenciar clusters Kubernetes. Isso é feito definindo Fleet Bundles.

Instalando

Os gráficos Admission Controller são gráficos padrão, eles dependem transitivamente uns dos outros:

kubewarden-crdskubewarden-controllerkubewarden-defaults

Veja a documentação de início rápido para mais informações.

Usando Rancher Fleet, você pode codificar as dependências do gráfico usando dependsOn no arquivo fleet.yaml.

Você pode ver erros transitórios até que os gráficos estejam prontos, como:

ErrApplied(1) [Cluster fleet-local/local: dependent bundle(s) are not ready:
[kubewarden-example-helm-kubewarden-controller]]

Esses erros não significam um problema, e uma vez que os gráficos tenham terminado a implantação, eles não aparecem mais.

Removendo

Ao remover o GitRepo, todos os 3 gráficos Admission Controller são removidos de uma vez. Isso significa que o gráfico kubewarden-crds é removido.

Admission Controller usa um job de hook Helm pre-delete no gráfico kubewarden-controller que exclui o policy-server padrão. Esse gancho pre-delete é necessário para liberar os webhooks das políticas antes de excluir o PolicyServer. Isso é verdade para qualquer mecanismo de políticas. Caso contrário, o cluster pode ter webhooks para políticas que não existem mais, rejeitando tudo e ficando em um estado de falha.

Remover o GitRepo, e portanto o gráfico kubewarden-crds, ao mesmo tempo que o gráfico kubewarden-controller faz com que o job de hook pre-delete falhe. Isso significa que a remoção está incompleta, deixando 'detritos' no cluster.

Desinstalar CRDs automaticamente normalmente não é suportado por nenhuma ferramenta, e o Rancher Fleet não é exceção.

Para realizar uma remoção correta, certifique-se de primeiro remover o Bundle para kubewarden-defaults do cluster. Faça isso comprometendo essas alterações no repositório que contém a configuração do Fleet e, em seguida, aguarde até que seja aplicado. Depois, remova kubewarden-controller da mesma forma, e por último, remova kubewarden-crds.

Outra opção é adicionar 2 GitRepos, um apenas para os CRDs e outro para o restante dos gráficos Admission Controller. Isso permite que você remova os gráficos Admission Controller primeiro e os CRDs Admission Controller por último.

Exemplo

Para um exemplo de definições de Bundle do Fleet, veja github.com/kubewarden/fleet-example.