Kyverno — это приложение для управления политиками безопасности Kubernetes. Политики безопасности представлены в Kyverno как ресурсы Kubernetes.
Kyverno поддерживает такие инструменты, как kubectl, git и kustomize. Интерфейс командной строки Kyverno можно использовать для тестирования политик и проверки ресурсов как часть конвейера CI/CD.
Kyverno-policies — это расширение для Kyverno.
Kyverno-policies содержит реализацию Kubernetes Pod Security Standards (PSS). При установке расширения можно выбрать режим работы политик: audit (только оповещение) или enforce (блокировка). Оригиналы политик загружены в отдельный репозиторий Kyverno-policies.
Отправлять оповещения из Kyverno в другие системы можно с помощью расширения kyverno-policy-reporter. Kyverno-policy-reporter поддерживает выгрузку в Yandex Object Storage (s3).
Совет
Чтобы выявить уязвимости в работе кластера Kubernetes, используйте приложение Chaos Mesh. Нахождение уязвимостей поможет настроить политики безопасности.
- Установите kubectl и настройте его на работу с вашим кластером.
- Создайте группу узлов для Kyverno.
- Задайте настройки приложения:
- Пространство имен — выберите пространство имен или создайте новое. В нем не должны находиться какие-либо приложения или объекты, иначе Kyverno будет работать некорректно.
- Название приложения — укажите название приложения.
- Включение Kyverno policies — выберите для автоматической установки расширения kyverno-policies в Kyverno.
- Pod Security Standard profile — выберите профиль Pod Security Standard:
baseline,restrictedилиprivileged. Если поле не заполнено, по умолчанию будет установлено значениеbaseline. - Validation failure action — выберите способ реагирования на срабатывания Kyverno:
audit(режим оповещения) илиenforce(режим блокировки). Если поле не заполнено, по умолчанию будет установлено значениеaudit.
- Нажмите кнопку Установить.
Подробнее о том, как отслеживать срабатывания Kyverno, читайте в инструкции.
Если приложение вам больше не нужно, удалите его. После этого очистите конфигурации веб-хуков приложения, иначе кластер будет работать некорректно.
Версии приложения
Для каждой версии Kubernetes поддерживается определенная версия Kyverno. Нужная версия Kyverno устанавливается по умолчанию в зависимости от вашей версии Kubernetes.
| Версия Kubernetes | Версия Kyverno | Документация |
|---|---|---|
| До 1.21 включительно | 1.6 | Документация Kyverno 1.6 |
| 1.22 | 1.7 | Документация Kyverno 1.7 |
| 1.23 | 1.8 | Документация Kyverno 1.8 |
| 1.24 и выше | 1.9 | Документация Kyverno 1.9 |
- Управление конфигурациями среды независимо от конфигураций рабочей нагрузки.
- Сканирование существующих рабочих нагрузок для оптимизации работы кластеров Kubernetes.
- Блокирование или изменение запросов API для оптимизации работы кластеров Kubernetes.
- Проверка, изменение и генерация ресурсов Kubernetes.
- Обеспечение безопасности цепочки поставок образов OCI.
Служба технической поддержки Yandex Cloud отвечает на запросы 24 часа в сутки, 7 дней в неделю. Доступные виды запросов и срок их обработки зависят от тарифного плана. Подключить платную поддержку можно в консоли управления. Подробнее о порядке оказания технической поддержки.
| Helm-чарт | Версия | Pull-команда | Документация |
|---|---|---|---|
| multi-kyverno | 1.0.0 | Открыть |
| Docker-образ | Версия | Pull-команда |
|---|---|---|
| yandex-cloud/marketplace/kyvernopre | v1.6.3 | |
| yandex-cloud/marketplace/kyverno | v1.6.3 | |
| yandex-cloud/marketplace/kyvernopre | v1.7.5 | |
| yandex-cloud/marketplace/kyverno | v1.7.5 | |
| yandex-cloud/marketplace/kyvernopre | v1.8.5 | |
| yandex-cloud/marketplace/kyverno | v1.8.5 | |
| yandex-cloud/marketplace/kyvernopre | v1.9.2 | |
| yandex-cloud/marketplace/kyverno | v1.9.2 | |
| yandex-cloud/marketplace/cleanup-controller | v1.9.2 | |
| yandex-cloud/marketplace/bitnami/kubectl | 1.27.2 | |
| yandex-cloud/marketplace/busybox | 1.36.1 |
