Настройка Kyverno & Kyverno Policies

Приложение Kyverno и его расширение Kyverno policies используются для управления политиками безопасности Kubernetes. Они представлены в Kyverno как ресурсы Kubernetes.

Чтобы интегрировать Kyverno & Kyverno Policies в Managed Service for Kubernetes:

1. Установите приложение Kyverno & Kyverno Policies.
2. Проверьте работу политики для профиля baseline.
3. Создайте собственную политику Kyverno policies и проверьте ее работу.

Если созданные ресурсы вам больше не нужны, удалите их.

Необходимые платные ресурсыНеобходимые платные ресурсы

В стоимость поддержки описываемого решения входят:

• Плата за кластер Managed Service for Kubernetes: использование мастера и исходящий трафик (см. тарифы Managed Service for Kubernetes).
• Плата за узлы кластера (ВМ): использование вычислительных ресурсов, операционной системы и хранилища (см. тарифы Compute Cloud).
• Плата за публичный IP-адрес, если он назначен узлам кластера (см. тарифы Virtual Private Cloud).

Перед началом работыПеред началом работы

1. Создайте кластер и группу узлов Managed Service for Kubernetes.

   Вручную

   Terraform

   1. Если у вас еще нет сети, создайте ее.

   2. Если у вас еще нет подсетей, создайте их в зонах доступности, где будут созданы кластер Kubernetes и группа узлов.

   3. Создайте группы безопасности для кластера Managed Service for Kubernetes и входящих в него групп узлов.

      Важно

      От настройки групп безопасности зависит работоспособность и доступность кластера, а также запущенных в нем сервисов и приложений.

   4. Создайте кластер Managed Service for Kubernetes и группу узлов любой подходящей конфигурации. При создании укажите группы безопасности, подготовленные ранее.

   1. Если у вас еще нет Terraform, установите его.

   2. Получите данные для аутентификации. Вы можете добавить их в переменные окружения или указать далее в файле с настройками провайдера.

   3. Настройте и инициализируйте провайдер. Чтобы не создавать конфигурационный файл с настройками провайдера вручную, скачайте его.

   4. Поместите конфигурационный файл в отдельную рабочую директорию и укажите значения параметров. Если данные для аутентификации не были добавлены в переменные окружения, укажите их в конфигурационном файле.

   5. Скачайте в ту же рабочую директорию файл конфигурации кластера k8s-cluster.tf. В файле описаны:

      • Сеть.

      • Подсеть.

      • Кластер Managed Service for Kubernetes.

      • Сервисный аккаунт, необходимый для работы кластера и группы узлов Managed Service for Kubernetes.

      • Группы безопасности, которые содержат необходимые правила для кластера Managed Service for Kubernetes и входящих в него групп узлов.

        Важно

        От настройки групп безопасности зависит работоспособность и доступность кластера, а также запущенных в нем сервисов и приложений.

   6. Укажите в файле конфигурации:

      • Идентификатор каталога.
      • Версию Kubernetes для кластера и групп узлов Managed Service for Kubernetes.
      • CIDR кластера Kubernetes.
      • Имя сервисного аккаунта. Оно должно быть уникальным в рамках каталога.

   7. Проверьте корректность файлов конфигурации Terraform с помощью команды:

      terraform validate
      

      Если в файлах конфигурации есть ошибки, Terraform на них укажет.

   8. Создайте необходимую инфраструктуру:

      1. Выполните команду для просмотра планируемых изменений:

         terraform plan
         

         Если конфигурации ресурсов описаны верно, в терминале отобразится список изменяемых ресурсов и их параметров. Это проверочный этап: ресурсы не будут изменены.

      2. Если вас устраивают планируемые изменения, внесите их:

         1. Выполните команду:

            terraform apply
            

         2. Подтвердите изменение ресурсов.

         3. Дождитесь завершения операции.

      В указанном каталоге будут созданы все требуемые ресурсы. Проверить появление ресурсов и их настройки можно в консоли управления.

2. Установите kubectl и настройте его на работу с созданным кластером.

Установите приложение Kyverno & Kyverno PoliciesУстановите приложение Kyverno & Kyverno Policies

Установите приложение Kyverno & Kyverno Policies согласно инструкции со следующими настройками:

• Pod Security Standard profile — baseline.
• Validation failure action — enforce.

Профиль Pod Security Standard baseline уже содержит минимально ограничительную политику, которая предотвращает известные превышения привилегий.

Проверьте работу политики для профиля baselineПроверьте работу политики для профиля baseline

• Создайте под nginx со стандартными параметрами:

  kubectl run nginx --image nginx
  

  Результат:

  pod/nginx created
  

  Такой под удовлетворяет требованиям правил политики для профиля baseline.

• Создайте под nginx в привилегированном режиме:

  kubectl run nginx --image nginx --privileged=true
  

  Результат:

  Error from server: admission webhook "validate.kyverno.svc-fail" denied the request:
  
  policy Pod/default/nginx for resource violation:
  
  disallow-privileged-containers:
    privileged-containers: 'validation error: Privileged mode is disallowed. The fields
      spec.containers[*].securityContext.privileged and spec.initContainers[*].securityContext.privileged
      must be unset or set to `false`. rule privileged-containers failed at path /spec/containers/0/securityContext/privileged/'
  

  Правила политики для профиля baseline запрещают создание подов в привилегированном режиме.

Создайте собственную политику Kyverno policies и проверьте ее работуСоздайте собственную политику Kyverno policies и проверьте ее работу

1. Создайте политику, которая будет требовать, чтобы все поды имели метку app.kubernetes.io/name:

   1. Сохраните спецификацию для создания объекта ClusterPolicy в YAML-файл с названием policy.yaml:

      apiVersion: kyverno.io/v1
      kind: ClusterPolicy
      metadata:
        name: require-labels
      spec:
        validationFailureAction: Enforce
        rules:
        - name: check-for-labels
          match:
            any:
            - resources:
                kinds:
                - Pod
          validate:
            message: "label 'app.kubernetes.io/name' is required"
            pattern:
              metadata:
                labels:
                  app.kubernetes.io/name: "?*"
      

   2. Выполните команду:

      kubectl apply -f policy.yaml
      

      Результат:

      clusterpolicy.kyverno.io/require-labels created
      

2. (Опционально) Установите Policy Reporter в кластер Managed Service for Kubernetes, чтобы получить возможность сохранять и обрабатывать результаты срабатывания политики.

Проверьте работу Kyverno & Kyverno PoliciesПроверьте работу Kyverno & Kyverno Policies

• Создайте под nginx без Kubernetes-метки app.kubernetes.io/name:

  kubectl run nginx --image nginx
  

  Результат:

  Error from server: admission webhook "validate.kyverno.svc-fail" denied the request:
  resource Pod/default/nginx was blocked due to the following policies
  
  require-labels:
    check-for-labels: 'validation error: label ''app.kubernetes.io/name'' is required.
      Rule check-for-labels failed at path /metadata/labels/app.kubernetes.io/name/'
  

• Создайте под nginx с меткой app.kubernetes.io/name:

  kubectl run nginx --image nginx --labels app.kubernetes.io/name=nginx
  

  Результат:

  pod/nginx created
  

Удалите созданные ресурсыУдалите созданные ресурсы

Некоторые ресурсы платные. Чтобы за них не списывалась плата, удалите ресурсы, которые вы больше не будете использовать: