Связаться с экспертомПопробовать бесплатно
Создавайте контент и получайте гранты!Готовы написать своё руководство? Участвуйте в контент-программе и получайте гранты на работу с облачными сервисами!
Подробнее о программе
Проект Яндекса
© 2026 ООО «Яндекс.Облако»

Policy Manager

Статья создана
Обновлена 23 марта 2026 г.

Policy Manager объединяет инструменты, которые проверяют ресурсы Kubernetes на соответствие политикам и генерируют отчеты в формате OpenReports. За уведомлениями Policy Manager можно следить в консоли управления в разделе Система > События. Текущая реализация проверки политик основана на Kyverno.

В Policy Manager можно выбрать один из двух пресетов политик:

  • baseline — пресет, основанный на базовом (baseline) стандарте безопасности Kubernetes для подов.
  • restricted — пресет, основанный на защищенном (restricted) стандарте безопасности Kubernetes для подов.

Выбрать пресет политик кластера по умолчанию можно с помощью кастомного ресурса PolicyManagerConfig. Активировать дополнительный пресет можно с помощью ресурса ClusterPolicySet.

Как выбрать пресет

Пресет baseline применяется по умолчанию. Он подойдет для приложений, сбой или недоступность которых не приводит к серьезным последствиям. Этот пресет защищает от известных способов превышения привилегий в контейнерных средах. Он прост в применении и подойдет для случаев, когда не нужен широкий набор политик для настройки. Посмотреть доступные политики можно в документации Kubernetes.

Пресет restricted обеспечивает соблюдение текущих рекомендаций по защите подов. Он ориентирован на приложения, критически важные с точки зрения безопасности, а также на пользователей с низким уровнем доверия. Посмотреть доступные политики можно в документации Kubernetes.

Чтобы добавить новый пресет в кластер, обратитесь к инструкции Активировать пресет с политиками. Чтобы изменить пресет по умолчанию, нужно изменить настройки PolicyManagerConfig.

Конфигурация

Пример:

apiVersion: stackland.yandex.cloud/v1alpha1
kind: PolicyManagerConfig
metadata:
  name: main # Поле обязательно и должно иметь значение main
spec:
  enabled: true
  settings:
    defaultPolicySet:
      engines:
        kyverno: # имя инструмента
          presets:
            - baseline      # основан на Pod Security Standards Baseline (default)
            # - restricted  # основан на Pod Security Standards Restricted (optional)

Где:

  • enabled — включает использование компонента. Если выбрать enabled: false, то все компоненты Policy Manager (Controller, Kyverno, Policy Reporter, ClusterPolicySet) будут удалены.
  • settings.defaultPolicySet.engines — задает список пресетов политик и инструментов для их проверки.
Предыдущая
Поддержка NVIDIA® GPU
Следующая
Secrets Store