gatekeeper调研

最新推荐文章于 2023-06-17 11:40:31 发布
最新推荐文章于 2023-06-17 11:40:31 发布
阅读量581 收藏 1
点赞数
分类专栏: 云计算 访问控制 文章标签: gatekeeper webhook
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sysushui/article/details/102769767
版权

动机及简介

如果你的组织在运行 Kubernetes,那么你可能一直在寻找控制终端用户可以在集群上做什
么,以及确保集群符合公司或组织政策的方法。这些政策可能是用来满足治理和法律需求,或者
执行最佳实践和组织约定。使用 Kubernetes,你如何在不牺牲开发灵活性和操作独立性的情况下
确保遵从性?例如,你可以执行以下政策:

  • 所有镜像必须来自已批准的存储库
  • 所有pod都必须有资源限制
  • 所有 namespace都必须有一个列出联系点的标签
  • 所有的 namespace都必须有一个所有者信息

技术出发点:上面的需求,需要为 Kubernetes实现一个准入控制, Kubernetes允许通过准入控制器( admission controller) webhook将政策决策与API服务器解耦,以便在将它们持久化为
Kubernetes中的对象之前拦截允许请求。

Gatekeeper是 Kubernetes一个可定制的准入 webhook,它执行 open Policy Agent
(OPA)的政策,OPA是CNCF托管的云原生环境的政策引擎;除了准入控制功能之外, gatekeeper的
审计功能可以允许管理者查看哪些资源正在违反哪些政策,也就是让管理者意识到集群的状态
而不仅仅是单个对象

更多详细的介绍可以参考 官网 链接1 链接2

功能及场景

gatekeeper的功能主要有两个,一个是准入控制( admission controller),另一个是审计(audit);

准入控制

当k8s集群中安装了所有 Gatekeeper组件,无论何时创建、更新或删除k8s集群中的资源,API服务器都触发 Gatekeeper准入webhook来处理准入请求。
在验证过程中, Gatekeeper充当API服务器和OPA之间的桥梁。API服务器将强制执行OPA执行的所
有政策。

审计
审计功能支持根据集群中强制的约束对复制资源进行定期评估,以检测预先存在的错误配
置。 Gatekeeper将审计结果存储为相关约束的 status字段中列出的违规行为( violations)

 

部署与尝试

推荐按github上的方法进行部署之后,使用下面的demo进行体验过程

https://github.com/open-policy-agent/gatekeeper/tree/master/demo

Khalid Jobs
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
losttype-gatekeeper
05-18
因此,我们构建了Gatekeeper,这是您使其正常工作所需的缺少的部分。 Gatekeeper与配合,可帮助您从浏览器访问 。原料药 GET http://localhost:9999/authenticate/TEMPORARY_CODEOAuth步骤另请参阅的。 重定向用户...
【翻译】在Kubernetes中用Gatekeeper执行策略
超级码力
12-25 348
在管理Kubernetes集群时,集群管理员需要确保系统的整体稳定性。为了实现这一目标,有必要避免控制平面的中断,也要避免用户能够升级他们的权限从而导致进一步的问题的任何风险。考虑到这一点,保护kube-system命名空间和执行pod安全策略以运行具有必要权限的有效载荷是必须的。 为了实现我们的目标,我们看了一下Kubernetes的原生方式,但发现RBAC不足以覆盖一些用例。最终我们决定使用...
kubernetes--OPA Gatekeeper策略引擎
m0_57911290的博客
02-17 3903
将在1.21版本弃用PSP,在1..25版本删除仅支持pod策略使用复杂,权限模型存在缺陷,控制不明确。
使用gatekeeper限制kubernetes创建特定类型的资源
老段工作室
05-17 679
使用gatekeeper限制kubernetes创建特定类型的资源
K8s进阶6——pod安全上下文、Linux Capabilities、OPA Gatekeeper、gvisor
百慕卿君博客
05-27 3055
1、pod安全上下文Security Context,特权容器替代方案Linux Capabilities。 2、pod安全策略psp简介,psp替代方案OPA Gatekeepe,包括rego模板、策略编写。 3、gvisor容器沙箱技术,与docker集成,与containerd集成。 4、Linux内核升级。
OPA Gatekeeper对Kubernetes资源操作限制
最新发布
yu_handsome的专栏
06-17 1154
gatekeeper 限制用户修改ingress
GateKeeper-crx插件
03-21
GateKeeper扩展程序与GateKeeper Core桌面应用程序一起使用,以提供基于接近度的Web凭据访问。 无需再输入密码。用手机或钥匙登录网站。使用GateKeeper密钥和软件来安全访问计算机时,可以使用GateKeeper Chrome扩展...
Gatekeeper:关守
05-16
Gatekeeper:远程RFID窃取和克隆 关守是远程RFID窃贼发展的下一步。 该项目以先前的几个项目为基础,同时增加了新功能并扩展了可能性。 在继续进行之前,我想确保感谢在不知情的情况下帮助了该项目的人们。 Mike ...
Gatekeeper-Middleware
05-14
网关守卫中间件挑战的快速解决方案 |
Gatekeeper-开源
04-22
HughesNet工具箱! 轻巧的多合一显示器,可监控HughesNet卫星Internet系统的各个方面。
gatekeeper-operator:OPA Gatekeeper的操作员
04-01
OPA网守操作员 OPA Gatekeeper的操作员 设计 有关某些背景信息,请参阅的Gatekeeper操作员设计文档。 安装 要安装Gatekeeper Operator,您可以在集群外部运行它,以便在开发过程中更快地进行迭代,也可以在集群内部运行它。 但是首先我们需要安装操作员CRD: make install 然后,继续执行下面您喜欢的安装方法。 集群外 如果要在群集外部运行Gatekeeper Operator,则该操作员将使用默认名称空间来部署Gatekeeper。 相反,如果您希望操作员将Gatekeeper部署到其他名称空间,则设置NAMESPACE环境变量。 为此,只需执行: make run NAMESPACE= < namespace> 集群内部 如果要在集群中运行Operator,则需要构建一个容器映像。 您可以使用本地私有注册表,也可以将其托管在类的
k8s安全03--云安全工具 kube-bench & OPA
脚步不能达到的地方,眼光可以达到;眼光不能达到的地方,精神可以飞到
11-08 795
k8s安全03--云安全工具 kube-bench & OPA1 介绍2 安全工具2.1 kube-bench2.2 OPA Gatekeeper3 注意事项4 说明 1 介绍 本文基于 k8s安全02–云安全工具与安全运行时 继续介绍几个 常用的安全工具,包括 kube-bench 和 OPA(Open Policy Agent)。 2 安全工具 2.1 kube-bench kube-bench 努力像 Center for Internet Security, Inc. (CIS®), CIS
Kubernetes集群安装 gatekeeper
Just so-so
08-23 406
Kubernetes集群安装 gatekeeper概述先决条件添加仓库安装gatekeeper安装Web UI使用说明创建约束模板创建约束数据复制审计卸载 概述 Kubernetes 允许通过准入控制器 Webhook 将策略决策与 API Server 的内部工作分离,每当创建、更新或删除资源时都会执行这些 WebhookGatekeeper 是一个验证网络钩子,它强制执行由 Open Policy Agent 执行的基于 CRD 的策略,Open Policy Agent 是一个由 CNCF 作为孵
OPA Gatekeeper 策略入门
k8s 生态
09-21 1391
Gatekeeper 是基于 OPA(Open Policy Agent) 的一个 Kubernetes 策略解决方案。在之前的文章中说过,在 PSP/RBAC 等内置方案之外,在 Ku...
gatekeeper实践
kevin的专栏
10-27 2585
环境要求 gatekeeper是基于k8s的 admission controller webhooks实现的,需要k8s的 kube-apiserve开启相应的准入控制,也就是 validating admission webhook和mutating admissionwebhook. 关于admission controller webhooks可以参考:链接 kube-apiserv...
k8s--访问管理opa
0x00的博客
02-24 374
介绍 使用 下载 按照系统或指定的版本,下载对应的命令行执行文件, 如下(我的是mac): curl -L -o opa https://openpolicyagent.org/downloads/v0.37.2/opa_darwin_amd64 chmod +x opa ln -s /usr/opa /usr/local/bin 模版 input/input1.json { "action": { "operation": "read", "resource":
Kubernetes安全之Open Policy Agent
qq_44005305的博客
01-11 434
无论是在业务开发还是在业务直接的访问,很多时候,Policy 的实现都与具体的服务耦合在一起,这导致 Policy 很难被单独抽象描述和灵活变更(比如动态加载新的规则)。而且,不同的服务对 Policy 有着不同的描述,比如采用 JSON、YAML 或其他 DSL,这样很难进一步将 Policy 以代码的形式进行管理(Policy As Code)。因此,为了更灵活和一致的架构,我们必须将 Policy 的决策过程从具体的服务接耦出去,这也是 OPA 整体架构的核心理念。
Open Policy Agent (OPA) 【3】实战
爱死亡机器人
05-17 976
介绍 Practice - Install OPA gatekeeper.yaml 下载 root@master:~/cks/opa# k create -f gatekeeper.yaml namespace/gatekeeper-system created Warning: apiextensions.k8s.io/v1beta1 CustomResourceDefinition is deprecated in v1.16+, unavailable in v1.22+; use api
OPA-Gatekeeper使用
whz-emm的博客
10-26 861
文档地址:https://open-policy-agent.github.io/gatekeeper/website/docs/install 安装 赋予集群管理员权限 kubectl create clusterrolebinding cluster-admin-binding \ --clusterrole cluster-admin \ --user admin 安装opa-gatekeeper 版本需要与k8s版本匹配,目前测试1.15版本使用3.4,1.19版本使用...
gatekeeper auth token
04-28
Gatekeeper Auth Token是指通过OAuth认证授权框架获取的令牌,用于访问受保护的资源。Gatekeeper是一个用于在GitHub上实现安全应用程序的中间层服务,它允许应用程序在授权过程中提供必要的认证信息,以便保护API...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值