Gatekeeper

Gatekeeper — настраиваемый контроллер и аудитор политик для Kubernetes. Gatekeeper принимает поступающие в кластер запросы и в реальном времени проверяет их на соответствие предварительно настроенным политикам.

Gatekeeper является развитием Open Policy Agent (OPA) и имеет следующие преимущества:

• Расширяемая параметризованная библиотека политик.
• Собственные Kubernetes CRDs (constraints и constraint templates) для создания экземпляров и расширения библиотеки политик.
• Собственные Kubernetes CRDs для мутаций.
• Работа в режиме аудита.
• Поддержка внешних источников данных.

1. Задайте настройки приложения:

   • Пространство имен — выберите пространство имен или создайте новое.

   • Название приложения — укажите название приложения.

   • Интервал между аудитами — задайте время в секундах между запусками аудитов. Значение 0 отключает выполнение аудитов.

   • Лимит нарушений ограничения — укажите максимальное количество нарушений, которое будет фиксироваться для каждого ограничения.

   • Только совпадающие типы ресурсов — выберите эту опцию, если для каждого ограничения нужно проверять только те типы ресурсов Kubernetes, которые указаны в ограничении в явном виде. Если типы ресурсов не указаны или опция выключена, будут проверяться все ресурсы.

   • Создавать события при аудите — выберите эту опцию, если для каждого выявленного при аудите нарушения ограничения нужно создавать событие (Kubernetes event) с подробной информацией о нарушении.

   • События в затронутом пространстве имён — выберите эту опцию, если события с подробной информацией о нарушении нужно создавать в том пространстве имен, где было зафиксировано нарушение ограничения. Применимо только при включенной опции Создавать события при аудите.

     Если опция События в затронутом пространстве имён выключена, события будут создаваться в пространстве имен, в котором установлен Gatekeeper.

   • Разрешить внешние данные — выберите эту опцию, если нужно включить экспериментальную поддержку внешних источников данных.

2. Нажмите кнопку Установить.

3. Дождитесь перехода приложения в статус Deployed.

• Создание политик для ресурсов кластера Kubernetes.
• Автоматическое применение установленных политик ко всему кластеру.
• Аудит ресурсов кластера.

Служба технической поддержки Yandex Cloud отвечает на запросы 24 часа в сутки, 7 дней в неделю. Доступные виды запросов и срок их обработки зависят от тарифного плана. Подключить платную поддержку можно в консоли управления. Подробнее о порядке оказания технической поддержки.