Kubernetes Kyverno
Der ursprüngliche Autor dieser Seite ist Guillaume
Definition
Kyverno ist ein Open-Source-Rahmenwerk für das Richtlinienmanagement in Kubernetes, das es Organisationen ermöglicht, Richtlinien über ihre gesamte Kubernetes-Infrastruktur zu definieren, durchzusetzen und zu überprüfen. Es bietet eine skalierbare, erweiterbare und hochgradig anpassbare Lösung zur Verwaltung der Sicherheit, Compliance und Governance von Kubernetes-Clustern.
Anwendungsfälle
Kyverno kann in einer Vielzahl von Anwendungsfällen eingesetzt werden, einschließlich:
Durchsetzung von Netzwerk-Richtlinien: Kyverno kann verwendet werden, um Netzwerk-Richtlinien durchzusetzen, wie z.B. das Erlauben oder Blockieren von Verkehr zwischen Pods oder Diensten.
Geheimnisverwaltung: Kyverno kann verwendet werden, um Richtlinien zur Geheimnisverwaltung durchzusetzen, wie z.B. die Anforderung, dass Geheimnisse in einem bestimmten Format oder an einem bestimmten Ort gespeichert werden.
Zugriffskontrolle: Kyverno kann verwendet werden, um Richtlinien zur Zugriffskontrolle durchzusetzen, wie z.B. die Anforderung, dass Benutzer bestimmte Rollen oder Berechtigungen haben, um auf bestimmte Ressourcen zuzugreifen.
Beispiel: ClusterPolicy und Policy
Angenommen, wir haben einen Kubernetes-Cluster mit mehreren Namespaces, und wir möchten eine Richtlinie durchsetzen, die erfordert, dass alle Pods im default Namespace ein bestimmtes Label haben.
ClusterPolicy
Eine ClusterPolicy ist eine hochrangige Richtlinie, die die allgemeine Absicht der Richtlinie definiert. In diesem Fall könnte unsere ClusterPolicy so aussehen:
Wenn ein Pod im default Namespace ohne das Label app: myapp erstellt wird, wird Kyverno die Anfrage blockieren und eine Fehlermeldung zurückgeben, die angibt, dass der Pod die Anforderungen der Richtlinie nicht erfüllt.
References
Last updated