使用Kyverno自动标记Kubernetes资源

最新推荐文章于 2024-08-07 09:59:07 发布
最新推荐文章于 2024-08-07 09:59:07 发布
阅读量255 收藏
点赞数
文章标签: kubernetes 云原生 容器 运维 云计算
原文链接:https://mp.weixin.qq.com/s/pjGViaBudaDW7YeYPy4iyw
版权

你填了吗?

10人将获赠CNCF商店$100美元礼券!

来参与2020年CNCF中国云原生调查

Image

问卷链接(https://www.wjx.cn/jq/97146486.aspx

客座文章作者:Nirmata业务发展和客户成功副总裁Anubhav Sharma,最初在Nirmata的博客上发表。

介绍

随着Kubernetes已经成为企业转向云原生的基本构建块,过去几年已经出现了许多简化集群创建过程的解决方案。但是,Kubernetes周边的Day-2运营仍然是一个复杂的过程,会减缓采用速度,增加运营成本。Kubernetes的复杂性和技能差距仍然是阻碍企业采用Kubernetes的最大因素。

许多Day-2操作用例包括要求中央平台团队尽可能有效地向开发人员交付安全和兼容的环境,并预先配置必要的服务和最佳实践。这类用例的一些例子包括使用Kubernetes最佳实践(如资源配额、网络策略和pod安全性)来配置环境。这需要工具在环境创建时进行评估,然后按照中央平台团队定义的标准对环境进行配置。

Kyverno:一个针对K8s的灵活的操作工具

Kubernetes提供了强大的构造,如准入控制webhook,可以用于验证和更改资源。Nirmata的Kyverno是专门设计用来使用声明式范式处理这些类型的用例的。Kyverno是一个为Kubernetes设计的开源策略引擎,它为用户提供了熟悉的结构来编写定制规则,并可根据需要轻松实现验证、修改和生成新资源。

大规模地管理Kubernetes需要遵循最佳实践和跨配置应用标准化。其中一种模式是使用Kubernetes标签。在Kubernetes中,每个资源都可以有一个或多个标签,Kubernetes使使用标签查找和管理资源变得很容易。

Day-2操作的一个非常常见的用例是跨命名空间和pod管理标签,以便其他Kubernetes控制器和操作人员可以轻松地实现证书更新、自助日志/监控、备份等用例。

自动标记命名空间

下面是一个使用Kyverno在Kubernetes集群中创建命名空间时如何实现命名空间标记的示例。

在集群中安装Kyverno:

kubectl create -f https://github.com/kyverno/kyverno/raw/master/definitions/install.yaml

这里有详细的安装说明

下面是一个向命名空间添加标签的示例Kyverno策略:

apiVersion: kyverno.io/v1
kind: ClusterPolicy
metadata: 
 name: add-labels
spec: 
 background: false
 rules:
 - name: add-ns-label
 match:
 resources:
 kinds: 
 - Namespace
 exclude:
 clusterroles: ["cluster-admin"]
 mutate: 
 patchStrategicMerge:
 metadata:
 labels:
 kyverno/user: "{{ request.userInfo.username }}"
 +(kyverno/network): "default"

该策略插入一个标签’kyverno/user’,其中包含发出API请求以创建命名空间的用户的值。该策略还会插入一个标签’kyverno/network’,但只有在用户尚未指定标签时才会如此。这个简单的策略演示了Kyverno中的一些强大功能,如变量替换条件锚

在集群中配置了策略之后,创建一个新的命名空间,并自动验证标签已经添加到该命名空间。

创建一个新的命名空间:

kubectl create ns test

查看命名空间:

kubectl get ns test -o yaml

这应该显示类似于:

apiVersion: v1
kind: Namespace
metadata:
 labels:
 kyverno/network: default
 kyverno/user: docker-for-desktop

现在,如果你想确保用户不能更新特定的标签,该怎么办呢?

Kyverno也让这很容易做到!以下是一个阻止“kyverno/network”标签更新的策略:

apiVersion: kyverno.io/v1
kind: ClusterPolicy
metadata:
 name: protect-label
spec:
 validationFailureAction: enforce
 background: false
 rules:
 - name: block-updates-for-label
 match:
 resources:
 kinds:
 - Namespace
 validate:
 message: Updating label `kyverno/network` is not allowed
 deny:
 - key: "{{ request.operation }}"
 operator: "EQUALS"
 value: UPDATE

总结

管理Kubernetes配置可能很复杂,策略引擎提供了标准化、自动验证以及更改和生成配置的能力。

Kyverno是一个为Kubernetes设计的开源政策引擎。它具有最小的学习曲线,并为Kubernetes管理员提供了极大的灵活性,可以使用Kubernetes强大的声明式管理功能和原生工具解决Day-2操作挑战。

了解Kyverno还可以做什么请到:

https://kyverno.io

点击阅读网站原文

CNCF (Cloud Native Computing Foundation)成立于2015年12月,隶属于Linux Foundation,是非营利性组织。
CNCF(云原生计算基金会)致力于培育和维护一个厂商中立的开源生态系统,来推广云原生技术。我们通过将最前沿的模式民主化,让这些创新为大众所用。扫描二维码关注CNCF微信公众号。
在这里插入图片描述

lfcncf
关注
云原生之深入解析Kubernetes策略引擎对比:OPA/Gatekeeper与Kyverno
╰つ栺尖篴夢ゞ
12-04 849
Kubernetes 的 Pod Security Policy,正如其名字所暗示的,仅是针对 Pod 工作的,是一种用来验证和控制 Pod 及其属性的机制。另外 PSP 只能屏蔽非法 Pod 的创建,无法执行任何补救/纠正措施。而 Gatekeeper 和 Kyverno 的作用范围就不是局限在 Pod 上,并且也有更多更深入的功能,而不只是简单的验证功能。策略引擎是一种能对整个 Kubernetes 环境进行全局控制的方法。
云原生策略引擎 Kyverno (上)
k8s 生态
03-03 1411
大家好,我是张晋涛。在之前的 『K8S生态周报』 和 《搞懂 Kubernetes 准入控制(Admission Controller)》 等文章中,我曾提到过 Kyverno 这个云原生...
Kyverno|为Kubernetes设计的策略引擎
lfcncf的博客
12-17 403
客座文章作者:Jim Bugwadia,Nirmata创始人和首席执行官。最初在Nirmata的博客上发表。 图片由Pixabay的Dominic Wunderlich拍摄 Forrester在其最近的企业容器采用报告中发现,86%的IT领导者优先考虑增加容器使用,以提高开发人员的敏捷性,改善IT运营团队和开发人员之间的协作。然而,报告也指出: 使用容器管理平台的公司在遵从性(满足行业法规和实施政策)和可移植性(跨多个云环境构建和部署)方面遇到了难题。 让我们探索为什么Kubernetes配置管理可以被
Kyverno 开源项目教程
最新发布
gitblog_01136的博客
08-07 437
Kyverno 开源项目教程 kyverno一个Kubernetes原生的策略管理器,用于实施和强制执行策略。 - 功能:策略管理;安全策略执行;Kubernetes集群安全。 - 特点:与Kubernetes无缝集成;支持多种策略类型;易于使用;高度可定制。项目地址:https://gitcode.com/gh_mirrors/ky/kyverno 1. 项目介绍 Kyverno 是一...
K8S策略引擎Kyverno
Blue summer的博客
08-19 707
Kyverno是专为k8s设计的策略引擎,有以下特性, - policy作为k8s原生资源,不需额外语言支持,面向yaml编程即可 - 可以校验,修改或者生成任何资源 - 可以审计镜像来源和元数据 - 可以使用label和通配符来选择资源 - 可以通过admission controls阻止不符合规范的资源,并给出报告信息 - 可以在应用到集群前进行测试
kyverno-app
03-20
kyverno图表 Giant Swarm提供了一个kyverno应用程序,可以将其安装在工作负载集群中。在这里,我们定义了kyverno图表及其模板和默认配置。 信用
推荐:Kyverno - Kubernetes原生策略管理器
gitblog_00077的博客
05-11 466
推荐:Kyverno - Kubernetes原生策略管理器 kyverno一个Kubernetes原生的策略管理器,用于实施和强制执行策略。 - 功能:策略管理;安全策略执行;Kubernetes集群安全。 - 特点:与Kubernetes无缝集成;支持多种策略类型;易于使用;高度可定制。项目地址:https://gitcode.com/gh_mirrors/ky/kyverno Ky...
kyvernoKubernetes本机策略管理
02-04
Kyverno策略是Kubernetes资源,不需要学习新的语言。 Kyverno旨在与您已经在使用的工具(如kubectl,kustomize和Git)配合使用。 文献资料 有关Kyverno的指南和参考文档,请访问: 。 尝试使用来安装Kyverno并...
GitOps:用于自动Kubernetes集群部署的GitOps存储库
05-24
1. `k8s-configs`:这个目录可能包含了YAML文件,定义了Kubernetes资源,如Deployment、Service、ConfigMap等。 2. `.gitignore`:列出应该从Git版本控制中排除的文件或目录,以避免不必要的混乱。 3. `README.md`:...
demo-policy-groups:在演示中使用Kyverno策略组
03-16
Kyverno 是一个强大的 Kubernetes 原生策略管理工具,它允许用户通过自定义策略来管理和验证集群资源,确保资源的配置符合安全和合规性标准。"demo-policy-groups" 提供了一系列示例策略,旨在帮助用户理解和实践 ...
Kubernetes本机策略管理-Golang开发
05-26
Kubernetes支持使用声明为Kub Kyverno的策略进行声明式验证,更改和生成资源配置-Kubernetes本机策略管理Kyverno是为Kubernetes设计的策略引擎。 Kyverno使用声明为Kubernetes资源的策略支持声明性验证,更改和资源...
规范战:OPA Gatekeeper与Kyverno
03-04
介绍 在本指南中,我们将演示OPA Gatekeeper和Kyverno是什么,它们之间有什么区别,以及如何通过动手演示在Kubernetes集群中设置和使用它们。 因此,如果您对这些主题之一感兴趣,请继续阅读,以下各节中有很多详细信息 :flexed_biceps: 。 让我们开始定义什么是“策略即代码”概念。 :toolbox: :shield_selector: :performing_arts: :adult::laptop_computer: :eyes: 先决条件 迷你库v1.17.1 kubectl v1.20.2 什么是政策即代码? 类似于“ Infrastructure-as-Code (IaC)的概念以及使用软件开发实践对基础结构设置进行Infrastructure-as-Code (IaC)所获得的好处,“ Policy-as-Code (PaC)是Policy-as-Code (PaC) Infrastructure-as-Code (IaC) 。 PaC是用高级语言编写代码以管理和自动化策略的想
如何使用 Kyverno 和 ArgoCD 实施 Kubernetes/EKS 最佳实践?
aliyuncloud的博客
08-21 155
这是Kyverno 和 ArgoCD 的诞生的原因,两者共同构成了一个完整的云原生应用实现环境,企业可以使用Kyverno 控制策略自动化,ArgoCD 自动化无缝部署Kubernetes应用程序.通过Kyverno自动化策略控制和ArgoCD的可视化部署功能,企业可以在容器环境中实现安全和高效的应用部署。ArgoCD是可视化部署工具,可以将映像/应用程序部署到多种Kubernetes集群上,并且使用GitOps实现配置管理,使Kubernetes环境更加安全和高效.一. 什么是Kyverno
在 Amazon EKS 通过 Kyverno 实现策略即代码
亚马逊云科技专栏
12-22 413
点击上方【凌云驭势 重塑未来】一起共赴年度科技盛宴!前 言Amazon Elastic Kubernetes Service(Amazon EKS) 是一项云上的托管 Kubernetes(K8S)服务,使用该服务您可以轻松地在亚马逊云上部署、管理和扩展容器化的应用程序。Amazon EKS:https://aws.amazon.com/cn/eks/在越来越多用户采用 Amazo...
强化您的Kubernetes集群安全:利用Kyverno策略生成器与ArgoCD的自动化之旅
gitblog_00086的博客
06-06 506
强化您的Kubernetes集群安全:利用Kyverno策略生成器与ArgoCD的自动化之旅 项目地址:https://gitcode.com/iam-veeramalla/k8s-kyverno-argocd 在当今云原生时代,确保Kubernetes(k8s)集群的安全合规性成为任何DevOps团队不可忽视的关键任务。Enforce Automated k8s cluster security...
Kubernetes 生态下的 GitOps 常用工具大盘点
easylife206的专栏
07-26 537
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !在本文中,我将回顾一些我比较喜欢的GitOps[1]工具,这些工具目前在Kubernetes中可用。在我看来,Kubernetes 的优势主要在于它的声明式性质与控制循环相结合,并通过这些控制循环持续监控集群的活动状态,确保它与etcd[2]中存储的期望状态保持一致。这种方式非常强大...
kubectl 重启pod_记一次kyverno重启解决
weixin_39861669的博客
12-03 810
收到报警kyverno的pod一直重启,查看一下发现重启了1w+次,还是有点疯狂# lishuai @ MacBook-Pro in ~/.kube [10:22:22]$ kubectl --kubeconfig config-test -n kyverno get podNAME READY STATUS RESTARTS A...
Kubernetes 必备工具:2021
架构师小秘圈
07-29 966
文档翻译自Kubernetes Essential Tools: 2021[1],篇幅较长,做了部分增删。介绍在本文中,我将尝试总结我最喜欢的Kubernetes[2]工具,并特别强...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值