/DOCS
Облачная платформаEvolution

Настроить политики Gatekeeper

Эта статья полезна?

В инструкции создадим шаблон ограничений из библиотеки Gatekeeper и настроим правило, запрещающее использование образов контейнеров без указания дайджеста.

Перед началом работы

  1. Создайте кластер Managed Kubernetes и хотя бы одну группу узлов.

Шаг 1. Создайте шаблон ограничений

В терминале или PowerShell выполните команду:

kubectl apply -f https://raw.githubusercontent.com/open-policy-agent/gatekeeper-library/master/library/general/imagedigests/template.yaml

Если команда выполнена успешно, появится сообщение:

constrainttemplate.templates.gatekeeper.sh/k8simagedigests created

Шаг 2. Создайте правило для пода

  1. Создайте файл cloudru-constraint-image-digests.yaml и сохраните следующую спецификацию:

    apiVersion: constraints.gatekeeper.sh/v1beta1
    kind: K8sImageDigests
    metadata:
      name: cloudru-constraint-image-digests
    spec:
      match:
        kinds:
          - apiGroups: [""]
            kinds: ["Pod"]
        namespaces:
          - "default"

  2. Выполните команду:

    kubectl create -f cloudru-constraint-image-digests.yaml

    Если команда выполнена успешно, появится сообщение:

    k8simagedigests.constraints.gatekeeper.sh/cloudru-constraint-image-digests created

Шаг 3. Попробуйте создать под с образом контейнера без дайджеста

  1. Создайте файл cloudru-nginx-disallowed-pod.yaml и скопируйте следующую спецификацию:

    apiVersion: v1
    kind: Pod
    metadata:
      name: cloudru-nginx-disallowed-pod
    spec:
      containers:
        - name: cloudru-nginx-disallowed-pod
          image: emk8s.cr.cloud.ru/nginx:latest

  2. Выполните команду:

    kubectl create -f cloudru-nginx-disallowed-pod.yaml

В результате создать под с образом без дайджеста не получится.

Шаг 4. Создайте под с образом контейнера с дайджестом

  1. Создайте файл cloudru-nginx-allowed-pod.yaml и скопируйте следующую спецификацию:

    apiVersion: v1
    kind: Pod
    metadata:
      name: cloudru-nginx-allowed-pod
    spec:
      containers:
        - name: cloudru-nginx-allowed-pod
          image: emk8s.cr.cloud.ru/nginx@sha256:6ef3c77a4ebfbf8f2cada3442839f0c49f7e5f643b5179ec4ed0f100ada8c9ae

  2. Выполните команду:

    kubectl create -f cloudru-nginx-allowed-pod.yaml

Под будет успешно создан.

Шаг 5. Удалите ресурсы

Если вы закончили работать с примером, удалите созданные ресурсы.

  1. Удалите правило:

    kubectl delete K8sImageDigests cloudru-constraint-image-digests

    Результат:

    k8simagedigests.constraints.gatekeeper.sh "cloudru-constraint-image-digests" deleted

  2. Удалите шаблон:

    kubectl delete constrainttemplate k8simagedigests

    Результат:

    constrainttemplate.templates.gatekeeper.sh "k8simagedigests" deleted

  3. Удалите под:

    kubectl delete pod cloudru-nginx-allowed-pod

    Результат:

    pod "cloudru-nginx-allowed-pod" deleted
См.также
Поддержка Юридические документы
© 2026 Cloud.ru