これは未公開の文書です Admission Controller 1.37-dev.

緊急無効化

緊急時には、オペレーションチームがSUSE Security Admission Controllerによってブロックされるアクションを実行する必要がある場合があります。

この文書では、オペレーションチームがクラスターの障害に対処できるようにするためにAdmission Controllerを無効化する方法を説明します。状況が解決した後、オペレーションチームはAdmission Controllerを再起動できます。

Admission Controllerを無効化

まず、Admission Controllerコントローラーを停止します。これを行うには、そのデプロイメントをゼロにスケールします:

kubectl scale deployment kubewarden-controller \
  --replicas=0 \
  -n kubewarden

Admission Controllerスタックがデプロイされているネームスペースの名前を使用していることを確認してください。 ここでは、スタックが`kubewarden`ネームスペースにデプロイされています。

次に、Admission Controllerによって作成されたすべての`ValidatingWebhookConfigurations`と`MutatingWebhookConfigurations`を削除します:

# Delete all the ValidatingWebhookConfiguration created by {admc-short-name}
kubectl delete validatingwebhookconfigurations \
  -l app.kubernetes.io/part-of=kubewarden

# Delete all the MutatingWebhookConfiguration created by {admc-short-name}
kubectl delete mutatingwebhookconfigurations \
  -l app.kubernetes.io/part-of=kubewarden

Admission Controllerを復元

緊急事態が終了したら、Admission Controllerコントローラーを復元することによってAdmission Controllerスタックを復元します:

kubectl scale deployment kubewarden-controller \
  --replicas=1 \
  -n kubewarden

  • Admission Controllerスタックがデプロイされているネームスペースの名前を使用していることを確認してください。 ここでは、スタックが`kubewarden`ネームスペースにデプロイされています。

  • コントローラーを元の値にスケールバックすることを確認してください。この例では、コントローラーのレプリカが1つだけ実行されていると仮定しています。

コントローラーが実行されると、デプロイされたポリシーを調整します。以前に削除された`ValidatingWebhookConfiguration`と`MutatingWebhookConfiguration`リソースが再作成され、ポリシーが強制されます。