日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
使用Kyverno進(jìn)行Kubernetes策略管理

云原生開源 Kyverno 是來自 Nirmata 的開源項(xiàng)目,后來也捐贈(zèng)給了 CNCF。和 Gatekeeper一樣,Kyverno 也是一個(gè)具有驗(yàn)證和變異能力的 Kubernetes 策略引擎,但是它還有生成資源的功能,還加入了 API 對(duì)象查詢的能力。

金東ssl適用于網(wǎng)站、小程序/APP、API接口等需要進(jìn)行數(shù)據(jù)傳輸應(yīng)用場(chǎng)景,ssl證書未來市場(chǎng)廣闊!成為成都創(chuàng)新互聯(lián)公司的ssl證書銷售渠道,可以享受市場(chǎng)價(jià)格4-6折優(yōu)惠!如果有意向歡迎電話聯(lián)系或者加微信:18982081108(備注:SSL證書合作)期待與您的合作!

OPA 的 Gatekeeper 以及 Kyverno 是 CNCF 的兩個(gè)頭部策略管理項(xiàng)目,兩個(gè)產(chǎn)品各有千秋,前面我們已經(jīng)學(xué)習(xí)了 Gatekeeper,接下來我們就來了解下如何使用 Kyverno。

Kyverno 是來自 Nirmata 的開源項(xiàng)目,后來也捐贈(zèng)給了 CNCF。和 Gatekeeper一樣,Kyverno 也是一個(gè)具有驗(yàn)證和變異能力的 Kubernetes 策略引擎,但是它還有生成資源的功能,還加入了 API 對(duì)象查詢的能力。與 Gatekeeper 不同,Kyverno 原本就是為 Kubernetes 編寫的。和 Gatekeeper 相比,Kyverno 除了對(duì)象生成功能之外,還無需專用語言即可編寫策略,從實(shí)現(xiàn)語言的角度上來看,Kyverno 的模型更為簡(jiǎn)潔。畢竟 Gatekeeper 的 Rego 語言有一定的門檻。

同樣 Kyverno 在 Kubernetes 集群中也是作為動(dòng)態(tài)準(zhǔn)入控制器運(yùn)行的。Kyverno 從 kube-apiserver 接收驗(yàn)證和修改準(zhǔn)入 webhook HTTP 回調(diào),并應(yīng)用匹配策略返回執(zhí)行準(zhǔn)入策略或拒絕請(qǐng)求的結(jié)果。Kyverno 策略可以使用資源 Kind、name 和標(biāo)簽選擇器匹配資源,而且名稱中支持通配符。

策略執(zhí)行是通過 Kubernetes events 來捕獲的,Kyverno 還報(bào)告現(xiàn)有資源的策略違規(guī)行為。下圖顯示了 Kyverno 的整體架構(gòu):

Kyverno架構(gòu)

Kyverno 的高可用安裝可以通過運(yùn)行多個(gè)副本來完成,并且 Kyverno 的每個(gè)副本將具有多個(gè)執(zhí)行不同功能的控制器。Webhook 處理來自 Kubernetes APIServer 的 AdmissionReview 請(qǐng)求,其 Monitor 組件創(chuàng)建和管理所需的配置。PolicyController watch 策略資源并根據(jù)配置的掃描間隔啟動(dòng)后臺(tái)掃描,GenerateController 管理生成資源的生命周期。

對(duì)比

由于 Gatekeeper 與 Kyverno 都是策略管理的項(xiàng)目,所以自然我們要對(duì)這兩個(gè)項(xiàng)目的優(yōu)劣勢(shì)做一個(gè)對(duì)比。

Gatekeeper 的優(yōu)勢(shì)

  • 能夠表達(dá)非常復(fù)雜的策略。
  • 社區(qū)更為成熟。
  • 支持多副本模式,更好的可用性和伸縮性。

Gatekeeper 的劣勢(shì)

  • 需要編程語言支持,該語言的學(xué)習(xí)曲線較為陡峭,可能會(huì)產(chǎn)生大量技術(shù)債,并延長(zhǎng)交付時(shí)間。
  • 沒有生成能力,意味著它的主要應(yīng)用場(chǎng)景就在驗(yàn)證方面。
  • 策略復(fù)雜冗長(zhǎng),需要多個(gè)對(duì)象協(xié)同實(shí)現(xiàn)。

Kyverno 的優(yōu)勢(shì)

  • Kubernetes 風(fēng)格的策略表達(dá)方式,非常易于編寫。
  • 成熟的變異能力。
  • 獨(dú)特的生成和同步能力,擴(kuò)展了應(yīng)用場(chǎng)景。
  • 快速交付,場(chǎng)景豐富。

Kyverno 的劣勢(shì)

  • 受到語言能力的限制,難以實(shí)現(xiàn)復(fù)雜策略。
  • 較為年輕,社區(qū)接受度不高。
  • API 對(duì)象查詢能力還很初級(jí)。

從上面對(duì)比可以看出來 Gatekeeper 最大的弱點(diǎn)是它需要 Rego 這門語言來實(shí)現(xiàn)策略邏輯,而這種語言在其他地方都無法使用,這也大大增加了門檻,當(dāng)然同樣這也是一種優(yōu)勢(shì),因?yàn)榫幊陶Z言可以實(shí)現(xiàn)非常強(qiáng)大的邏輯。相比 Gatekeeper 來說,Kyverno 的第一印象就是沒有那么復(fù)雜的技術(shù)需求,因?yàn)樗菍iT為 Kubernetes 構(gòu)建的,并且用聲明式的方法來表達(dá)策略,所以它的模型與 Kubernetes 對(duì)象的描述和協(xié)調(diào)方式是相同的,這種模式導(dǎo)致策略的編寫方式得到了極大的簡(jiǎn)化,全面降低了策略引擎的使用難度。此外 Kyverno 的編譯和生成能力,使它從一個(gè)簡(jiǎn)單的準(zhǔn)入控制器轉(zhuǎn)變?yōu)橐粋€(gè)真正的自動(dòng)化工具。通過結(jié)合這三種能力,再加上最近增加的 API 查詢能力,Kyverno 能夠執(zhí)行 Gatekeeper 所不能執(zhí)行的任務(wù)。這種簡(jiǎn)單性加上它的自動(dòng)化能力和對(duì)其他工具的整合,為新用戶以及有經(jīng)驗(yàn)的用戶和操作者帶來了巨大的價(jià)值。

當(dāng)然具體選擇哪一個(gè)工具,還是應(yīng)該根據(jù)自己的需求和限制條件進(jìn)行評(píng)估,但是有一點(diǎn)是所有生產(chǎn)環(huán)境的用戶都應(yīng)該計(jì)劃使用策略引擎來保護(hù)集群的安全并簡(jiǎn)化 Kubernetes 管理。

安裝

你可以選擇直接從最新版本的資源清單安裝 Kyverno,直接執(zhí)行下面的命令即可:

 kubectl create -f https://raw.githubusercontent.com/kyverno/kyverno/main/config/install.yaml

此外同樣可以使用 Helm 來進(jìn)行一鍵安裝:

 helm repo add kyverno https://kyverno.github.io/kyverno/
 helm repo update
# Install the Kyverno Helm chart into a new namespace called "kyverno"
 helm install kyverno kyverno/kyverno -n kyverno --create-namespace

安裝完成會(huì)創(chuàng)建一個(gè) kyverno 命名空間,同樣也包含一些相關(guān)的 CRD:

 kubectl get pods -n kyverno
NAME                       READY   STATUS    RESTARTS   AGE
kyverno-69bdfcfc7c-dbtlt   1/1     Running   0          29m
 kubectl get validatingwebhookconfiguration
NAME                                      WEBHOOKS   AGE
kyverno-policy-validating-webhook-cfg     1          14m
kyverno-resource-validating-webhook-cfg   2          14m
 kubectl get mutatingwebhookconfigurations
NAME                                    WEBHOOKS   AGE
kyverno-policy-mutating-webhook-cfg     1          14m
kyverno-resource-mutating-webhook-cfg   2          14m
kyverno-verify-mutating-webhook-cfg     1          14m
 kubectl get crd |grep kyverno
clusterpolicies.kyverno.io               2022-03-29T07:21:22Z
clusterreportchangerequests.kyverno.io   2022-03-29T07:21:22Z
generaterequests.kyverno.io              2022-03-29T07:21:22Z
policies.kyverno.io                      2022-03-29T07:21:22Z
reportchangerequests.kyverno.io          2022-03-29T07:21:23Z

可以看出安裝完成后創(chuàng)建了幾個(gè) validatingwebhookconfiguration 與 mutatingwebhookconfigurations 對(duì)象。

策略與規(guī)則

使用 Kyverno 其實(shí)就是對(duì)策略和規(guī)則的應(yīng)用,Kyverno 策略是規(guī)則的集合,每個(gè)規(guī)則都包含一個(gè) match 聲明、一個(gè)可選的 exclude 聲明以及 validate、mutate、generate 或 verifyImages 聲明之一組成,每個(gè)規(guī)則只能包含一個(gè) validate、mutate、generate 或 verifyImages 子聲明。

Kyverno策略

策略可以定義為集群范圍的資源(ClusterPolicy)或命名空間級(jí)別資源(Policy)。

  • Policy 將僅適用于定義它們的 namespace 內(nèi)的資源。
  • ClusterPolicy 應(yīng)用于匹配跨所有 namespace 的資源。

策略定義

編寫策略其實(shí)就是定義 Policy 或者 ClusterPolicy 對(duì)象。

驗(yàn)證資源

驗(yàn)證規(guī)則基本上是我們使用最常見和最實(shí)用的規(guī)則類型,當(dāng)用戶或進(jìn)程創(chuàng)建新資源時(shí),Kyverno 將根據(jù)驗(yàn)證規(guī)則檢查該資源的屬性,如果驗(yàn)證通過,則允許創(chuàng)建資源。如果驗(yàn)證失敗,則創(chuàng)建被阻止。比如現(xiàn)在我們添加一個(gè)策略,要求所有的 pod 都包含一個(gè) kyverno 的標(biāo)簽:

# kyverno-require-label.yaml
apiVersion: kyverno.io/v1
kind: ClusterPolicy
metadata:
  name: require-label
spec:
  validationFailureAction: enforce
  rules:
  - name: check-for-labels
    match:
      resources:
        kinds:
        - Pod
    validate:
      message: "label 'kyverno' is required"
      pattern:
        metadata:
          labels:
            kyverno: "?*"

上面策略文件中添加了一個(gè) validationFailureAction=[audit, enforce] 屬性:

  • 當(dāng)處于 audit 模式下 ,每當(dāng)創(chuàng)建違反規(guī)則集的一個(gè)或多個(gè)規(guī)則的資源時(shí),會(huì)允許 admission review 請(qǐng)求,并將結(jié)果添加到報(bào)告中。
  • 當(dāng)處于 enforce 模式下 ,資源在創(chuàng)建時(shí)立即被阻止,報(bào)告中不會(huì)有。

然后就是下面使用 rules 屬性定義的規(guī)則集合,match 用于表示匹配的資源資源,validate 表示驗(yàn)證方式,這里我們定義 kyverno: "?*" 這樣的標(biāo)簽表示必須有這樣的一個(gè)標(biāo)簽 key。

直接應(yīng)用上面的策略對(duì)象即可:

 kubectl apply -f kyverno-require-label.yaml
clusterpolicy.kyverno.io/require-label created
 kubectl get clusterpolicy
NAME            BACKGROUND   ACTION    READY
require-label   true         enforce   true

現(xiàn)在我們添加一個(gè)不帶標(biāo)簽 kyverno 的 Pod:

 kubectl run busybox --image=busybox:1.28.4  --restart=Never -- sleep 1000000
Error from server: admission webhook "validate.kyverno.svc-fail" denied the request:
resource Pod/default/busybox was blocked due to the following policies
require-label:
  check-for-labels: 'validation error: label ''kyverno'' is required. Rule check-for-labels
    failed at path /metadata/labels/kyverno/'

可以看到提示,需要一個(gè) kyverno 標(biāo)簽,同樣我們也可以通過查看 Events 事件來了解策略應(yīng)用情況:

 kubectl get events -A -w
......
metallb-system    9m25s       Warning   PolicyViolation     daemonset/speaker                      policy 'require-label' (Validation) rule 'autogen-check-for-labels' failed. validation error: label 'kyverno' is required. Rule autogen-check-for-labels failed at path /spec/template/metadata/labels/kyverno/
default           0s          Warning   PolicyViolation     clusterpolicy/require-label

如果創(chuàng)建的 Pod 帶有 kyverno 標(biāo)簽則可以正常創(chuàng)建:

 kubectl run busybox --image=busybox:1.28.4 --labels kyverno=demo --restart=Never -- sleep 1000000
pod/busybox created

如果將 validationFailureAction 的值更改為 audit,則即使我們創(chuàng)建的 Pod 不帶有 kyverno 標(biāo)簽,也可以創(chuàng)建成功,但是我們可以在 PolicyReport 對(duì)象中看到對(duì)應(yīng)的違規(guī)報(bào)告:

 kubectl get policyreports
NAME              PASS   FAIL   WARN   ERROR   SKIP   AGE
polr-ns-default   0      2      0      0       0      20m
 kubectl describe policyreports |grep "Result: \+fail" -B10
  UID:               90d1dfc7-0e42-4133-8a65-4bbf559533a2
Results:
  Message:  validation error: label 'kyverno' is required. Rule autogen-check-for-labels failed at path /spec/template/metadata/labels/kyverno/
  Policy:   require-label
  Resources:
    API Version:  apps/v1
    Kind:         Deployment
    Name:         minio
    Namespace:    default
    UID:          86ccd8fc-07f6-47a4-a9ed-b9dec665dff3
  Result:         fail
--
    Nanos:    0
    Seconds:  1648541980
  Message:    validation error: label 'kyverno' is required. Rule check-for-labels failed at path /metadata/labels/kyverno/
  Policy:     require-label
  Resources:
    API Version:  v1
    Kind:         Pod
    Name:         busybox
    Namespace:    default
    UID:          7e593177-4366-462b-81cf-1057657ae099
  Result:         fail

從上面的報(bào)告資源中可以看到違反策略的資源對(duì)象。

變更規(guī)則

變更規(guī)則可以用于修改匹配到規(guī)則的資源(比如規(guī)則設(shè)置了 metadata 字段可以和資源的 metadata 進(jìn)行合并),就是根據(jù)我們?cè)O(shè)置的規(guī)則來修改對(duì)應(yīng)的資源。

比如現(xiàn)在我們添加如下所示一個(gè)策略,給所有包含 nginx 鏡像 的 pod 都加上一個(gè)標(biāo)簽(kyverno=nginx):

# kyverno-mutate-label.yaml
apiVersion: kyverno.io/v1
kind: ClusterPolicy
metadata:
  name: nginx-label
spec:
  rules:
    - name: nginx-label
      match:
        resources:
          kinds:
          - Pod
      mutate:
        patchStrategicMerge:
          metadata:
            labels:
              kyverno: nginx
          spec:
            (containers):
            - (image): "*nginx*"  # 容器鏡像包含 nginx 即可

直接應(yīng)用上面這個(gè)策略對(duì)象即可:

 kubectl apply -f kyverno-mutate-label.yaml
clusterpolicy.kyverno.io/nginx-label created
 kubectl get clusterpolicy
NAME            BACKGROUND   ACTION    READY
nginx-label     true         audit     true
require-label   true         enforce   true

現(xiàn)在我們使用 nginx 鏡像直接創(chuàng)建一個(gè) Pod:

 kubectl run --image=nginx nginx
pod/nginx created
 kubectl get pod nginx --show-labels
NAME    READY   STATUS    RESTARTS   AGE   LABELS
nginx   1/1     Running   0          29s   kyverno=nginx,run=nginx

可以看到 Pod 創(chuàng)建成功后包含了一個(gè) kyverno=nginx 標(biāo)簽,由于有 kyverno 標(biāo)簽,所以上面的驗(yàn)證策略也是通過的,可以正常創(chuàng)建。

生成資源

生成規(guī)則可用于在創(chuàng)建新資源或更新源時(shí)創(chuàng)建其他資源,例如為命名空間創(chuàng)建新 RoleBindings 或 Secret 等。

比如現(xiàn)在我們一個(gè)需求是將某個(gè) Secret 同步到其他命名空間中去(比如 TLS 密鑰、鏡像倉(cāng)庫(kù)認(rèn)證信息),手動(dòng)復(fù)制這些 Secret 比較麻煩,則我們可以使用 Kyverno 來創(chuàng)建一個(gè)策略幫助我們同步這些 Secret。比如在 default 命名空間中有一個(gè)名為 regcred 的 Secret 對(duì)象,需要復(fù)制到另外的命名空間,如果源 Secret 發(fā)生更改,它還將向復(fù)制的 Secret 同步更新。

# kyverno-generate-secret.yaml
apiVersion: kyverno.io/v1
kind: ClusterPolicy
metadata:
  name: sync-secrets
spec:
  rules:
  - name: sync-image-pull-secret
    match:
      resources:
        kinds:
        - Namespace
    generate:  # 生成的資源對(duì)象
      kind: Secret
      name: regcred
      namespace: "{{request.object.metadata.name}}"  # 獲取目標(biāo)命名空間
      synchronize: true
      clone:
        namespace: default
        name: regcred

先在 default 命名空間中準(zhǔn)備我們的 Secret 對(duì)象:

 kubectl create secret docker-registry regcred --docker-server=DOCKER_REGISTRY_SERVER --docker-username=DOCKER_USER --docker-password=DOCKER_PASSWORD --docker-email=DOCKER_EMAIL
secret/regcred created

然后應(yīng)用上面的同步 Secret 策略:

 kubectl apply -f kyverno-generate-secret.yaml
clusterpolicy.kyverno.io/sync-secrets created
 kubectl get clusterpolicy
NAME            BACKGROUND   ACTION    READY
nginx-label     true         audit     true
require-label   true         enforce   true
sync-secrets    true         audit     true

現(xiàn)在我們創(chuàng)建一個(gè)新的命名空間:

 kubectl create ns test
namespace/test created
 kubectl get secret -n test
NAME                  TYPE                                  DATA   AGE
default-token-7b7cv   kubernetes.io/service-account-token   3      7s
regcred               kubernetes.io/dockerconfigjson        1      6s

可以看到在新建的命名空間中多了一個(gè) regcred 的 Secret 對(duì)象。

更多的 Kyverno 策略可以直接查看官方網(wǎng)站:https://kyverno.io/policies,可以在該網(wǎng)站上面根據(jù)策略類型、分類、主題等進(jìn)行篩選。Kyverno 在靈活、強(qiáng)大和易用之間取得了一個(gè)很好的平衡,不需要太多學(xué)習(xí)時(shí)間,就能夠提供相當(dāng)方便的功能,官網(wǎng)提供了大量的針對(duì)各種場(chǎng)景的樣例,非常值得使用。


文章題目:使用Kyverno進(jìn)行Kubernetes策略管理
網(wǎng)址分享:http://www.5511xx.com/article/cdgghjd.html