Связаться с намиПодключиться

Установка Gatekeeper

Статья создана
Обновлена 13 сентября 2024 г.

Gatekeeper — настраиваемый контроллер и аудитор политик для Kubernetes. Gatekeeper принимает поступающие в кластер запросы и в реальном времени проверяет их на соответствие предварительно настроенным политикам.

Перед началом работы

Убедитесь, что группы безопасности для кластера Managed Service for Kubernetes и его групп узлов настроены корректно. Если отсутствует какое-либо из правил — добавьте его.

Важно

От настройки групп безопасности зависит работоспособность и доступность кластера, а также запущенных в нем сервисов и приложений.

Установка с помощью Yandex Cloud Marketplace

  1. Перейдите на страницу каталога и выберите сервис Managed Service for Kubernetes.

  2. Нажмите на имя нужного кластера и выберите вкладку Marketplace.

  3. В разделе Доступные для установки приложения выберите Gatekeeper и нажмите кнопку Перейти к установке.

  4. Задайте настройки приложения:

    • Пространство имен — выберите пространство имен или создайте новое.

    • Название приложения — укажите название приложения.

    • Интервал между аудитами — задайте время в секундах между запусками аудитов. Значение 0 отключает выполнение аудитов.

    • Лимит нарушений ограничения — укажите максимальное количество нарушений, которое будет фиксироваться для каждого ограничения.

    • Только совпадающие типы ресурсов — выберите эту опцию, если для каждого ограничения нужно проверять только те типы ресурсов Kubernetes, которые указаны в ограничении в явном виде. Если типы ресурсов не указаны или опция выключена, будут проверяться все ресурсы.

    • Создавать события при аудите — выберите эту опцию, если для каждого выявленного при аудите нарушения ограничения нужно создавать событие (Kubernetes event) с подробной информацией о нарушении.

    • События в затронутом пространстве имен — выберите эту опцию, если события с подробной информацией о нарушении нужно создавать в том пространстве имен, где было зафиксировано нарушение ограничения. Применимо только при включенной опции Создавать события при аудите.

      Если опция События в затронутом пространстве имен выключена, события будут создаваться в пространстве имен, в котором установлен Gatekeeper.

    • Разрешить внешние данные — выберите эту опцию, если нужно включить экспериментальную поддержку внешних источников данных.

  5. Нажмите кнопку Установить.

  6. Дождитесь перехода приложения в статус Deployed.

Установка с помощью Helm-чарта

  1. Установите kubectl и настройте его на работу с созданным кластером.

  2. Установите менеджер пакетов Helm версии не ниже 3.8.0.

  3. Для установки Helm-чарта с Gatekeeper выполните команду:

    helm pull oci://cr.yandex/yc-marketplace/gatekeeper \
  --version 3.12.0 \
  --untar && \
helm install \
  --namespace <пространство_имен> \
  --create-namespace \
  gatekeeper ./gatekeeper/

Необязательные параметры можно переопределить в команде установки с помощью ключа --set <имя_параметра>=<новое_значение>.

Список доступных для переопределения параметров и их значения по умолчанию приведены в таблице:

Имя параметра Описание Значение по умолчанию
auditInterval Время в секундах между запусками аудитов 60
constraintViolationsLimit Максимальное количество нарушений, которое будет фиксироваться для каждого ограничения 20
auditMatchKindOnly Только совпадающие типы ресурсов false
emitAuditEvents Создавать события при аудите false
auditEventsInvolvedNamespace Создавать события в затронутом пространстве имен false
enableExternalData Экспериментальная поддержка внешних источников данных true

См. также

Предыдущая
Установка Fluent Bit
Следующая
Установка Gateway API