Настроить политики Gatekeeper

В инструкции создадим шаблон ограничений из библиотеки Gatekeeper и настроим правило, запрещающее использование образов контейнеров без указания дайджеста.

Перед началом работы

  1. Создайте кластер Managed Kubernetes и хотя бы одну группу узлов.

  2. Установите плагин Gatekeeper.

  3. Подключитесь к кластеру Managed Kubernetes.

Шаг 1. Создайте шаблон ограничений

В терминале или PowerShell выполните команду:

 
kubectl apply -f https://raw.githubusercontent.com/open-policy-agent/gatekeeper-library/master/library/general/imagedigests/template.yaml

Если команда выполнена успешно, появится сообщение:

 
constrainttemplate.templates.gatekeeper.sh/k8simagedigests created

Шаг 2. Создайте правило для пода

  1. Создайте файл cloudru-constraint-image-digests.yaml и сохраните следующую спецификацию:

     
    apiVersion: constraints.gatekeeper.sh/v1beta1
    kind: K8sImageDigests
    metadata:
      name: cloudru-constraint-image-digests
    spec:
      match:
        kinds:
          - apiGroups: [""]
            kinds: ["Pod"]
        namespaces:
          - "default"

  2. Выполните команду:

     
    kubectl create -f cloudru-constraint-image-digests.yaml

    Если команда выполнена успешно, появится сообщение:

     
    k8simagedigests.constraints.gatekeeper.sh/cloudru-constraint-image-digests created

Шаг 3. Попробуйте создать под с образом контейнера без дайджеста

  1. Создайте файл cloudru-nginx-disallowed-pod.yaml и скопируйте следующую спецификацию:

     
    apiVersion: v1
    kind: Pod
    metadata:
      name: cloudru-nginx-disallowed-pod
    spec:
      containers:
        - name: cloudru-nginx-disallowed-pod
          image: mk8s.registry.smk.sbercloud.dev/nginx:latest

  2. Выполните команду:

     
    kubectl create -f cloudru-nginx-disallowed-pod.yaml

В результате создать под с образом без дайджеста не получится.

Шаг 4. Создайте под с образом контейнера с дайджестом

  1. Создайте файл cloudru-nginx-allowed-pod.yaml и скопируйте следующую спецификацию:

     
    apiVersion: v1
    kind: Pod
    metadata:
      name: cloudru-nginx-allowed-pod
    spec:
      containers:
        - name: cloudru-nginx-allowed-pod
          image: mk8s.registry.smk.sbercloud.dev/nginx@sha256:d2eb56950b84efe34f966a2b92efb1a1a2ea53e7e93b94cdf45a27cf3cd47fc0

  2. Выполните команду:

     
    kubectl create -f cloudru-nginx-allowed-pod.yaml

Под будет успешно создан.

Шаг 5. Удалите ресурсы

Если вы закончили работать с примером, удалите созданные ресурсы.

  1. Удалите правило:

     
    kubectl delete K8sImageDigests cloudru-constraint-image-digests

    Результат:

     
    k8simagedigests.constraints.gatekeeper.sh "cloudru-constraint-image-digests" deleted

  2. Удалите шаблон:

     
    kubectl delete constrainttemplate k8simagedigests

    Результат:

     
    constrainttemplate.templates.gatekeeper.sh "k8simagedigests" deleted

  3. Удалите под:

     
    kubectl delete pod cloudru-nginx-allowed-pod

    Результат:

     
    pod "cloudru-nginx-allowed-pod" deleted
См.также
Была ли статья полезной ?
Предыдущая статья
Gatekeeper
Следующая статья
Контейнерная безопасность
/ DOCS
Evolution