Kubernetes Kyverno
Last updated
Last updated
Der ursprüngliche Autor dieser Seite ist
Kyverno ist ein Open-Source-Rahmenwerk für das Richtlinienmanagement in Kubernetes, das es Organisationen ermöglicht, Richtlinien über ihre gesamte Kubernetes-Infrastruktur zu definieren, durchzusetzen und zu überprüfen. Es bietet eine skalierbare, erweiterbare und hochgradig anpassbare Lösung zur Verwaltung der Sicherheit, Compliance und Governance von Kubernetes-Clustern.
Kyverno kann in einer Vielzahl von Anwendungsfällen eingesetzt werden, einschließlich:
Durchsetzung von Netzwerk-Richtlinien: Kyverno kann verwendet werden, um Netzwerk-Richtlinien durchzusetzen, wie z.B. das Erlauben oder Blockieren von Verkehr zwischen Pods oder Diensten.
Geheimnisverwaltung: Kyverno kann verwendet werden, um Richtlinien zur Geheimnisverwaltung durchzusetzen, wie z.B. die Anforderung, dass Geheimnisse in einem bestimmten Format oder an einem bestimmten Ort gespeichert werden.
Zugriffskontrolle: Kyverno kann verwendet werden, um Richtlinien zur Zugriffskontrolle durchzusetzen, wie z.B. die Anforderung, dass Benutzer bestimmte Rollen oder Berechtigungen haben, um auf bestimmte Ressourcen zuzugreifen.
Angenommen, wir haben einen Kubernetes-Cluster mit mehreren Namespaces, und wir möchten eine Richtlinie durchsetzen, die erfordert, dass alle Pods im default
Namespace ein bestimmtes Label haben.
ClusterPolicy
Eine ClusterPolicy ist eine hochrangige Richtlinie, die die allgemeine Absicht der Richtlinie definiert. In diesem Fall könnte unsere ClusterPolicy so aussehen:
Wenn ein Pod im default
Namespace ohne das Label app: myapp
erstellt wird, wird Kyverno die Anfrage blockieren und eine Fehlermeldung zurückgeben, die angibt, dass der Pod die Anforderungen der Richtlinie nicht erfüllt.