Подключиться
Yandex Managed Service for Kubernetes

Установка Kyverno & Kyverno Policies

Статья создана
,
улучшена

Kyverno — приложение для управления политиками безопасности Kubernetes. Политики безопасности представлены в Kyverno как ресурсы Kubernetes. Kyverno поддерживает инструменты kubectl, git и kustomize. Интерфейс командной строки Kyverno можно использовать для тестирования политик и проверки ресурсов как части конвейера CI/CD.

Kyverno policies — расширение для Kyverno. Kyverno policies содержит реализацию Kubernetes Pod Security Standards (PSS). Оригиналы политик загружены в отдельный репозиторий Kyverno policies.

Отправлять оповещения из Kyverno в другие системы можно с помощью расширения Policy reporter.

Установка с помощью Yandex Cloud Marketplace

  1. Перейдите на страницу каталога и выберите сервис Managed Service for Kubernetes.
  2. Нажмите на имя нужного кластера Kubernetes и выберите вкладку Marketplace.
  3. В разделе Доступные для установки приложения выберите Kyverno & Kyverno Policies и нажмите кнопку Использовать.
  4. Задайте настройки приложения:
    • Пространство имен — выберите пространство имен для Kyverno или создайте новое.
    • Название приложения — укажите название приложения.
    • Включение Kyverno Policies — выберите, чтобы установить расширение Kyverno Policies.
    • Pod Security Standard profile — выберите профиль Pod Security Standard:
      • baseline — минимально ограничительная политика, которая предотвращает известные превышения привилегий.
      • restricted — политика с жесткими ограничениями, соответствующая современным методам защиты подов.
      • privileged — политика без ограничений, предоставляющая максимально широкий уровень разрешений.
    • Validation failure action — выберите способ реагирования на срабатывания Kyverno:
      • audit — режим оповещения.
      • enforce — режим блокировки.
  5. Нажмите кнопку Установить.
  6. Дождитесь перехода приложения в статус Deployed.

Установка с помощью Helm-чарта

  1. Установите менеджер пакетов Helm версии не ниже 3.7.0.

  2. Для установки Helm-чарта с Kyverno выполните команду:

    export HELM_EXPERIMENTAL_OCI=1 && \
helm pull oci://cr.yandex/yc-marketplace/yandex-cloud/marketplace/charts/kyverno \
  --version <версия Helm-чарта> \
  --untar && \
helm install \
  --namespace <пространство имен> \
  --create-namespace \
  kyverno kyverno/kyverno

    Актуальную версию Helm-чарта можно посмотреть на странице приложения.

См. также

В этой статье: