Pregunta 37 | Controlador de Admisión ImagePolicyWebhook
Se requiere desplegar un controlador de admisión ImagePolicyWebhook para asegurar los despliegues que se realizan en nuestro cluster asegurando lo siguiente:
- Actualizar y corregir el problema en /etc/kubernetes/pki/admission_configuration.yaml que será usado por ImagePolicyWebhook
- Asegurar que la política esté configurada como implicit deny.
- Asegurar que el plugin esté en el servidor kube-api
Solución
1 - Actualizar y corregir el problema en la configuración de admisión
apiVersion: apiserver.config.k8s.io/v1
kind: AdmissionConfiguration
plugins:
- name: ImagePolicyWebhook
configuration:
imagePolicy:
kubeConfigFile: /etc/kubernetes/pki/admission_kube_config.yaml ## asegurar aplicar la ruta correcta
allowTTL: 50
denyTTL: 50
retryBackoff: 500
defaultAllow: false ## asegurar que esto esté configurado como false
2 - Actualizar el servidor kube-api
- --enable-admission-plugins=NodeRestriction,ImagePolicyWebhook ## añadir ImagePolicyWebhook aquí
- --admission-control-config-file=/etc/kubernetes/pki/admission_configuration.yaml ## asegurar que se usa la ruta correcta del archivo de configuración
Una vez que salgas del editor vim y guardes, el servidor API se reiniciará automáticamente y tomará la configuración.