Ce document a été traduit à l'aide d'une technologie de traduction automatique. Bien que nous nous efforcions de fournir des traductions exactes, nous ne fournissons aucune garantie quant à l'exhaustivité, l'exactitude ou la fiabilité du contenu traduit. En cas de divergence, la version originale anglaise prévaut et fait foi.

Il s'agit d'une documentation non publiée pour Admission Controller 1.34-dev.

Gérer SUSE Security Admission Controller avec Rancher Fleet

Vous pouvez gérer les charts Helm SUSE Security Admission Controller, comme d’autres charts Helm, avec Rancher Fleet. Rancher Fleet utilise les CRDs Kubernetes pour définir une approche GitOps pour la gestion des clusters Kubernetes. Cela se fait en définissant Fleet Bundles.

Installation

Les charts Admission Controller sont des charts standard, ils dépendent transitivement les uns des autres :

kubewarden-crds ← kubewarden-controller ← kubewarden-defaults

Consultez la documentation Quickstart pour plus d’informations.

En utilisant Rancher Fleet, vous pouvez coder les dépendances des charts en utilisant dependsOn dans le fichier fleet.yaml.

Vous pouvez voir des erreurs transitoires jusqu’à ce que les charts soient prêts, telles que :

ErrApplied(1) [Cluster fleet-local/local: dependent bundle(s) are not ready:
[kubewarden-example-helm-kubewarden-controller]]

Ces erreurs ne signifient pas qu’il y a un problème, et une fois que les charts ont terminé leur déploiement, elles n’apparaissent plus.

Suppression

Lors de la suppression du GitRepo, tous les 3 charts Admission Controller sont supprimés en même temps. Cela signifie que le chart kubewarden-crds est supprimé.

Admission Controller utilise un job de hook helm pré-suppression dans le chart kubewarden-controller qui supprime le PolicyServer par défaut. Ce hook pré-suppression est nécessaire pour libérer les webhooks des stratégies avant de supprimer le PolicyServer. C’est vrai pour tout moteur de stratégie. Sinon, le cluster peut avoir des webhooks pour des stratégies qui n’existent plus, ce qui entraîne un rejet de tout et un état d’échec.

Supprimer le GitRepo, et donc le chart kubewarden-crds, en même temps que le chart kubewarden-controller fait échouer le job du hook pré-suppression. Cela signifie que la suppression est incomplète, laissant des "débris" dans le cluster.

La désinstallation automatique des CRDs n’est normalement pas supportée par les outils, et Rancher Fleet ne fait pas exception.

Pour effectuer une suppression correcte, assurez-vous d’abord de supprimer le Bundle pour kubewarden-defaults du cluster. Faites cela en engageant ces modifications dans le dépôt contenant la configuration de Fleet, puis attendez qu’elles soient appliquées. Ensuite, supprimez kubewarden-controller de la même manière, et enfin, supprimez kubewarden-crds.

Une autre option est d’ajouter 2 GitRepos, un uniquement pour les CRDs, et un autre pour le reste des charts Admission Controller. Cela vous permet de supprimer d’abord les charts Admission Controller, puis, en dernier, les CRDs Admission Controller.

Par exemple :

Pour un exemple de définitions de Bundle Fleet, voir github.com/kubewarden/fleet-example.