Gatekeeper — настраиваемый контроллер и аудитор политик для Kubernetes. Gatekeeper принимает поступающие в кластер запросы и в реальном времени проверяет их на соответствие предварительно настроенным политикам.
Gatekeeper является развитием Open Policy Agent (OPA) и имеет следующие преимущества:
- Расширяемая параметризованная библиотека политик.
- Собственные Kubernetes CRDs (constraints и constraint templates) для создания экземпляров и расширения библиотеки политик.
- Собственные Kubernetes CRDs для мутаций.
- Работа в режиме аудита.
- Поддержка внешних источников данных.
-
Задайте настройки приложения:
-
Пространство имен — выберите пространство имен или создайте новое.
-
Название приложения — укажите название приложения.
-
Интервал между аудитами — задайте время в секундах между запусками аудитов. Значение
0
отключает выполнение аудитов. -
Лимит нарушений ограничения — укажите максимальное количество нарушений, которое будет фиксироваться для каждого ограничения.
-
Только совпадающие типы ресурсов — выберите эту опцию, если для каждого ограничения нужно проверять только те типы ресурсов Kubernetes, которые указаны в ограничении в явном виде. Если типы ресурсов не указаны или опция выключена, будут проверяться все ресурсы.
-
Создавать события при аудите — выберите эту опцию, если для каждого выявленного при аудите нарушения ограничения нужно создавать событие (Kubernetes event) с подробной информацией о нарушении.
-
События в затронутом пространстве имён — выберите эту опцию, если события с подробной информацией о нарушении нужно создавать в том пространстве имен, где было зафиксировано нарушение ограничения. Применимо только при включенной опции Создавать события при аудите.
Если опция События в затронутом пространстве имён выключена, события будут создаваться в пространстве имен, в котором установлен Gatekeeper.
-
Разрешить внешние данные — выберите эту опцию, если нужно включить экспериментальную поддержку внешних источников данных.
-
-
Нажмите кнопку Установить.
-
Дождитесь перехода приложения в статус
Deployed
.
- Создание политик для ресурсов кластера Kubernetes.
- Автоматическое применение установленных политик ко всему кластеру.
- Аудит ресурсов кластера.
Служба технической поддержки Yandex Cloud отвечает на запросы 24 часа в сутки, 7 дней в неделю. Доступные виды запросов и срок их обработки зависят от тарифного плана. Подключить платную поддержку можно в консоли управления. Подробнее о порядке оказания технической поддержки.
Helm-чарт | Версия | Pull-команда | Документация |
---|---|---|---|
gatekeeper | 3.12.0 | Открыть |
Docker-образ | Версия | Pull-команда |
---|---|---|
yandex-cloud/gatekeeper/manager1692970899580962032404619931866420091548227214435 | 3.12.0 | |
yandex-cloud/gatekeeper/crds1692970899580962032404619931866420091548227214435 | 3.12.0 | |
yandex-cloud/gatekeeper/crds1692970899580962032404619931866420091548227214435 | 3.12.0 | |
yandex-cloud/gatekeeper/crds1692970899580962032404619931866420091548227214435 | 3.12.0 | |
yandex-cloud/curl/curl1692970899580962032404619931866420091548227214435 | 7.83.1 | |
yandex-cloud/gatekeeper/crds1692970899580962032404619931866420091548227214435 | 3.12.0 |