Установка Gatekeeper
Gatekeeper — настраиваемый контроллер и аудитор политик для Kubernetes. Gatekeeper принимает поступающие в кластер запросы и в реальном времени проверяет их на соответствие предварительно настроенным политикам.
Перед началом работы
Убедитесь, что группы безопасности для кластера Managed Service for Kubernetes и его групп узлов настроены корректно. Если отсутствует какое-либо из правил — добавьте его.
Важно
От настройки групп безопасности зависит работоспособность и доступность кластера, а также запущенных в нем сервисов и приложений.
Установка с помощью Yandex Cloud Marketplace
-
Перейдите на страницу каталога и выберите сервис Managed Service for Kubernetes.
-
Нажмите на имя нужного кластера и выберите вкладку Marketplace.
-
В разделе Доступные для установки приложения выберите Gatekeeper и нажмите кнопку Перейти к установке.
-
Задайте настройки приложения:
-
Пространство имен — создайте новое пространство имен (например,
gatekeeper-space). Если вы оставите пространство имен по умолчанию, Gatekeeper может работать некорректно. -
Название приложения — укажите название приложения.
-
Интервал между аудитами — задайте время в секундах между запусками аудитов. Значение
0отключает выполнение аудитов. -
Лимит нарушений ограничения — укажите максимальное количество нарушений, которое будет фиксироваться для каждого ограничения.
-
Только совпадающие типы ресурсов — выберите эту опцию, если для каждого ограничения нужно проверять только те типы ресурсов Kubernetes, которые указаны в ограничении в явном виде. Если типы ресурсов не указаны или опция выключена, будут проверяться все ресурсы.
-
Создавать события при аудите — выберите эту опцию, если для каждого выявленного при аудите нарушения ограничения нужно создавать событие (Kubernetes event) с подробной информацией о нарушении.
-
События в затронутом пространстве имен — выберите эту опцию, если события с подробной информацией о нарушении нужно создавать в том пространстве имен, где было зафиксировано нарушение ограничения. Применимо только при включенной опции Создавать события при аудите.
Если опция События в затронутом пространстве имен выключена, события будут создаваться в пространстве имен, в котором установлен Gatekeeper.
-
Разрешить внешние данные — выберите эту опцию, если нужно включить экспериментальную поддержку внешних источников данных.
-
-
Нажмите кнопку Установить.
-
Дождитесь перехода приложения в статус
Deployed.
Установка с помощью Helm-чарта
-
Установите kubectl и настройте его на работу с созданным кластером.
-
Установите менеджер пакетов Helm версии не ниже 3.8.0.
-
Для установки Helm-чарта с Gatekeeper выполните команду:
helm pull oci://cr.yandex/yc-marketplace/gatekeeper \ --version 3.12.0 \ --untar && \ helm install \ --namespace <пространство_имен> \ --create-namespace \ gatekeeper ./gatekeeper/
Если вы укажете в параметре namespace пространство имен по умолчанию, Gatekeeper может работать некорректно. Рекомендуем указывать значение, отличное от всех существующих пространств имен (например, gatekeeper-space).
Необязательные параметры можно переопределить в команде установки с помощью ключа --set <имя_параметра>=<новое_значение>.
Список доступных для переопределения параметров и их значения по умолчанию приведены в таблице:
| Имя параметра | Описание | Значение по умолчанию |
|---|---|---|
auditInterval |
Время в секундах между запусками аудитов | 60 |
constraintViolationsLimit |
Максимальное количество нарушений, которое будет фиксироваться для каждого ограничения | 20 |
auditMatchKindOnly |
Только совпадающие типы ресурсов | false |
emitAuditEvents |
Создавать события при аудите | false |
auditEventsInvolvedNamespace |
Создавать события в затронутом пространстве имен | false |
enableExternalData |
Экспериментальная поддержка внешних источников данных | true |