Aller au contenu principal

Confiner une application

Confiner une application​

Ce processus décrit les étapes permettant d'isoler une application du système suite à une requête de l'administrateur sécurité ou du réseau d'hébergement.

En entrée, il est alimenté par la consigne de confiner une ou plusieurs applications. Cette consigne précisera l'application concernée.

En sortie, (la) les applications ne sont plus accessibles pour les utilisateurs métiers.

Stopper la synchronisation automatique de l'application​

Accéder à Rancher et à la console pour exécuter des commandes K8S.

Pour supprimer la synchronisation automatique de l'application déployée APPLI, effectuer les gestes suivants :

Lancer la commande suivante:

kubectl -n kosmos-system-restricted edit application APPLI

Supprimer le bloc syncPolicy sous spec puis sauvegarder.

Supprimer les netpols de ce namespace​

Lancer les commandes suivantes sur le namespace XXX de l'application :

## Lister les network policies d'un namespace
kubectl -n XXX get netpol
kubectl -n XXX get ciliumnetworkpolicies.cilium.io

## Supprimer toutes les network policies Kube du namespace (SAUF la dernière qui fait le deny all)
kubectl -n XXX delete netpol default-sap-ns-xxx   # pour chacune
kubectl -n XXX delete netpol egress-ki-netpols.xxx   # pour chacune
kubectl -n XXX delete netpol ingress-ki-netpols.xxx   # pour chacune

## Supprimer toutes les network policies Cilium du namespace (SAUF celle par defaut pour parler avec l'api server: default-sap-cilum-egress-xxx)
kubectl -n XXX delete ciliumNetworkPolicies xxxxxxxxxxx

## Lister les labels liés aux network policies du namespace
kubectl get namespace XXX -o yaml | grep " netpols.sap.tech" | cut -f1 -d:

## Supprimer les labels liés aux network policies du namespace
kubectl label namespace XXX yyy- # pour chaque label yyy ( avec le '-' pour enlever le label)

Résultat obtenu​

L'application est désormais inaccessible aux utilisateurs metier (la page peut etre en cache et s'afficher mais les requêtes échouent). Un administrateur systeme peut accéder à Rancher pour consulter les logs des pods par exemple, qui sont eux toujours actifs.

Déconfiner une application​

Pour déconfiner une application précédemment confinée, demander à l'administrateur métier de stopper et relancer l'application via l'IHM SAp.