Установка Kyverno & Kyverno Policies

Kyverno — приложение для управления политиками безопасности Kubernetes. Политики безопасности представлены в Kyverno как ресурсы Kubernetes. Kyverno поддерживает инструменты kubectl, git и kustomize. Интерфейс командной строки Kyverno можно использовать для тестирования политик и проверки ресурсов как части конвейера CI/CD.

Kyverno policies — расширение для Kyverno. Kyverno policies содержит реализацию Kubernetes Pod Security Standards (PSS). Оригиналы политик загружены в отдельный репозиторий Kyverno policies.

Отправлять оповещения из Kyverno в другие системы можно с помощью расширения Policy reporter.

Перед началом работыПеред началом работы

Убедитесь, что группы безопасности для кластера Managed Service for Kubernetes и его групп узлов настроены корректно. Если отсутствует какое-либо из правил — добавьте его.

Установка с помощью Yandex Cloud MarketplaceУстановка с помощью Yandex Cloud Marketplace

1. Перейдите на страницу каталога и выберите сервис Managed Service for Kubernetes.
2. Нажмите на имя нужного кластера Managed Service for Kubernetes и выберите вкладку Marketplace.
3. В разделе Доступные для установки приложения выберите Kyverno & Kyverno Policies и нажмите кнопку Перейти к установке.
4. Задайте настройки приложения:
   • Пространство имен — создайте новое пространство имен (например, kyverno-space). Если вы оставите пространство имен по умолчанию, Kyverno может работать некорректно.
   • Название приложения — укажите название приложения.
   • Включение Kyverno Policies — выберите, чтобы установить расширение Kyverno Policies.
   • Pod Security Standard profile — выберите профиль Pod Security Standard:
     • baseline — минимально ограничительная политика, которая предотвращает известные превышения привилегий.
     • restricted — политика с жесткими ограничениями, соответствующая современным методам защиты подов.
     • privileged — политика без ограничений, предоставляющая максимально широкий уровень разрешений.
   • Validation failure action — выберите способ реагирования на срабатывания Kyverno:
     • audit — режим оповещения.
     • enforce — режим блокировки.
5. Нажмите кнопку Установить.
6. Дождитесь перехода приложения в статус Deployed.

Установка с помощью Helm-чартаУстановка с помощью Helm-чарта

1. Установите менеджер пакетов Helm версии не ниже 3.8.0.

2. Установите kubectl и настройте его на работу с созданным кластером.

3. Для установки Helm-чарта с Kyverno выполните команду:

   helm pull oci://cr.yandex/yc-marketplace/multi-kyverno \
     --version 1.0.0 \
     --untar && \
   helm install \
     --namespace <пространство_имен> \
     --create-namespace \
     multi-kyverno ./multi-kyverno/
   

   Если вы укажете в параметре namespace пространство имен по умолчанию, Kyverno может работать некорректно. Рекомендуем указывать значение, отличное от всех существующих пространств имен (например, kyverno-space).

   Примечание

   Если вы используете версию Helm ниже 3.8.0, добавьте в начало команды строку export HELM_EXPERIMENTAL_OCI=1 && \, чтобы включить поддержку Open Container Initiative (OCI) в клиенте Helm.

Версии приложенияВерсии приложения

Для каждой версии Kubernetes поддерживается определенная версия Kyverno. Нужная версия Kyverno устанавливается по умолчанию в зависимости от вашей версии Kubernetes.

Удаление приложенияУдаление приложения

Если приложение Kyverno вам больше не нужно, удалите его:

Примеры использованияПримеры использования

• Настройка Kyverno & Kyverno Policies.

См. такжеСм. также

• Документация Kyverno.