Este documento foi traduzido usando tecnologia de tradução automática de máquina. Sempre trabalhamos para apresentar traduções precisas, mas não oferecemos nenhuma garantia em relação à integridade, precisão ou confiabilidade do conteúdo traduzido. Em caso de qualquer discrepância, a versão original em inglês prevalecerá e constituirá o texto official.

Esta é uma documentação não divulgada para Admission Controller 1.34-dev.

Modo monitor

Ao definir uma política, você pode escolher entre dois modos, especificados em seu spec.mode. Você implanta uma política em mode: protect por padrão. A política então aceita, rejeita ou muta solicitações.

Pode-se optar por implantar uma política em modo monitor. No modo monitor:

  • A política aceita todas as solicitações, como se a política não estivesse instalada.

  • O policy-server rastreia a política normalmente. Se uma solicitação for rejeitada ou uma política propor uma mutação, então o rastreamento contém os detalhes.

  • As métricas do policy-server são atualizadas normalmente, com o modo incluído na carga das métricas. Portanto, é fácil filtrar políticas por modo e focar naquelas implantadas usando o modo monitor.

O mode é um atributo incluído nos recursos ClusterAdmissionPolicy e AdmissionPolicy. Existem dois valores que o atributo mode pode assumir: monitor e protect. O mode assume protect por padrão, se omitido.

Para criar uma política em monitor mode, você precisa incluir a declaração modo: monitor como parte da especificação do recurso. Por exemplo, na seção spec (marcada ➀), deste ClusterAdmissionPolicy:

apiVersion: policies.kubewarden.io/v1alpha2
kind: ClusterAdmissionPolicy
metadata:
  name: psp-capabilities
spec:
  mode: monitor (1)
  policyServer: reserved-instance-for-tenant-a
  module: registry://ghcr.io/kubewarden/policies/psp-capabilities:v0.1.3
  rules:
  - apiGroups: [""]
    apiVersions: ["v1"]
    resources: ["pods"]
    operations:
    - CREATE
    - UPDATE
  mutating: true
  settings:
    allowed_capabilities:
    - CHOWN
    required_drop_capabilities:
    - NET_ADMIN
1 O atributo mode: monitor está na seção spec.

Mudando o modo de política

Por motivos de segurança, um usuário com UPDATE permissões sobre recursos de política pode tornar a política mais restritiva. Isso significa que você pode alterar o mode de um ClusterAdmissionPolicy ou AdmissionPolicy existente de monitor para protect.

No entanto, você não pode alterar o mode de um ClusterAdmissionPolicy ou AdmissionPolicy existente de protect para monitor.

Portanto, para mudar o mode de uma política de protect para monitor, você precisa excluir a política e recriá-la no modo monitor. Trocar uma política de protect para monitor é o mesmo que excluir a política, então essa abordagem assume que o usuário tem permissões para excluir políticas.

Uma nota sobre a mutação de políticas

Mutar políticas no modo monitor não realizará uma mutação no recurso. No modo monitor, as políticas registram o que sua ação teria sido. Elas também registram o patch de mutação que teriam produzido no modo protect.

Quando uma política de mutação está no modo monitor, as políticas posteriores avaliam um recurso que permanece inalterado, sendo, assim, diferente daquele avaliado quando a política de mutação está no modo protect.